Autore: Fab.Gianc

Introduzione

Telegram è un’applicazione di messaggistica focalizzata su velocità e sicurezza, è semplice e gratuita.

Telegram è sostenuto da Pavel Durov^[1] e suo fratello Nikolai. Pavel supporta Telegram finanziariamente e ideologicamente, mentre il contributo di Nikolai è tecnologico.

Il team di sviluppo di Telegram ha la sua sede a Dubai e la maggior parte degli sviluppatori viene da San Pietroburgo. Il team di Telegram ha dovuto lasciare la Russia a causa delle normative legate al mondo IT, e ha cercato posizioni diverse come base, incluse Berlino, Londra e Singapore.

Caratteristiche di Telegram

• Una delle caratteristiche distintive di Telegram è la sua filosofia orientata alla privacy e alla sicurezza.
• Supporta due livelli di crittografia[2]:
•  crittografia server-client che è usata nelle Chat Cloud (chat private e di gruppo);
• crittografia end-to-end: opzionale per le chat segrete che garantisce che solo mittente e il destinatario possano leggere i messaggi scambiati in una chat segreta. Non è abilitata di default.

Tutti i dati, a prescindere dal tipo, sono crittografati nella stessa maniera, sia che siano testi, media o altro tipo.

• Chat segrete: le chat segrete sono chat cifrate end-to-end, che offrono una maggiore sicurezza per le conversazioni. In queste chat, i messaggi possono essere autodistrutti dopo un certo periodo di tempo o dopo la lettura e non permettono l’inoltro.  Un messaggio eliminato nella conversazione, viene eliminato anche “dall’altra parte”. Inoltre, per garantire una maggiore privacy, i messaggi scambiati non lasciano tracce sui server Telegram, non fanno parte del cloud di Telegram e vi si può accedere solo dal dispositivo di origine[3].
• Cloud storage illimitato: offre uno spazio di archiviazione cloud gratuito e illimitato, rendendo facile il recupero dei dati in caso di perdita del dispositivo.
• È basato sul cloud con sincronizzazione istantanea. Ciò consente di accedere ai propri messaggi da diversi dispositivi contemporaneamente e condividere un numero illimitato di file fino a 2 GB ciascuno.
• Gruppi di chat: è possibile creare gruppi di chat fino a 200.000 partecipanti e condividerli con il mondo o mantenerli privati. Gli amministratori di gruppo hanno il controllo su chi può unirsi al gruppo e quali azioni possono essere seguite all’interno.
• Canali Telegram: i canali sono simili ai gruppi, ma consentono agli amministratori di inviare messaggi in un solo senso, a un pubblico illimitato. Sono spesso usati per diffondere notizie, aggiornamenti e contenuti a un pubblico vasto.
• Multi-piattaforma: Telegram è disponibile su diverse piattaforme, tra cui iOS, Android, Windows, macOS e anche come versione web.
• Chiamate vocali e video: supporta chiamate vocali e video. Supporta inoltre le chiamate vocali con crittografia end-to-end.
• Bot Telegram: è possibile aggiungere bot di terze parti alle proprie chat o ai propri gruppi per svolgere una varietà di compiti, come ricevere aggiornamenti meteo, notizie o eseguire attività automatizzate.
• L’infrastruttura con più data center e la crittografia implementata, permette a Telegram di essere più veloce e molto più sicuro.
• È possibile eliminare tutti i messaggi inviati o ricevuti in una chat individuale, mentre nei gruppi eliminare solo i propri messaggi. È possibile anche cancellare l’intera cronologia della chat individuale e del gruppo: i messaggi eliminati non lasciano traccia nella chat.

Gruppi e canali, le differenze

Sono entrambi strumenti di comunicazione che consentono agli utenti di condividere messaggi, contenuti e comunicare con altri membri. Tuttavia, ci sono alcune differenze chiave tra i due:

• Interazione bidirezionale nei gruppi, unidirezionale nei canali
• Gruppi: tutti i membri possono inviare messaggi e partecipare attivamente alla conversazione. Gli amministratori del gruppo possono moderare i messaggi e gestire i membri. È possibile attivare la cronologia permanente per consentire ai nuovi membri di accedere ai messaggi precedenti.
• Canali: la comunicazione è unidirezionale. Gli amministratori o i proprietari del canale possono inviare messaggi, ma i membri possono solo leggere e reagire ai messaggi inviati.
• Privacy e visibilità
• Gruppi: possono essere pubblici o privati. Nei gruppi pubblici, chiunque può cercare e unirsi al gruppo, mentre nei gruppi privati, è necessario un invito da parte di un amministratore per partecipare (solitamente un link).
• Canali: possono essere pubblici, il che significa che chiunque può iscriversi al canale senza bisogno di un invito. Per i canali privati occorre essere aggiunto dal creatore o avere un link di invito per unirsi.
• Numeri di partecipanti
• Gruppi: possono ospitare fino a 200.000 membri.
• Canali: possono ospitare un numero virtualmente illimitato di iscritti.
• Moderazione:
• Gruppi: gli amministratori di gruppo hanno il controllo su chi può unirsi al gruppo, chi può inviare messaggi e quali azioni possono essere eseguite all’interno del gruppo. Possono rimuovere o bandire membri inappropriati o disturbatori.
• Canali: gli amministratori dei canali possono moderare i commenti nei messaggi, ma non possono impedire a nessuno di iscriversi o di visualizzare i messaggi del canale.

Gli utenti

Gli utentiÈ possibile contattare un utente su Telegram attraverso il suo numero di telefono[4], altrimenti:

• quando si è membri dello stesso gruppo;
• se viene impostato un username pubblico altri utenti potranno usare la “ricerca globale” in base a quell’username;
• se si sceglie di comparire nella sezione “Persone vicine”^[5] (questa opzione è disattivata di default).

Inoltre:

• non è necessario avere un username di Telegram e averne uno serve solamente perché le persone possano trovare quell’utente nella ricerca globale senza conoscere il numero telefonico;
• è possibile avere solo un username di base e un numero qualsiasi di username collezionabili contemporaneamente. Questo vale anche per i gruppi pubblici e i canali pubblici. Gli username collezionabili[6] funzionano esattamente come gli username base, appaiono nei risultati della “ricerca globale”, e hanno i propri link dedicati che possono essere usati al di fuori di Telegram[7];
• nessuno degli interlocutori vedrà gli altrui numeri telefonici a meno che questo non sia permesso nelle impostazioni della privacy;
• è possibile eliminare l’account dalla pagina di disattivazione[8]. L’operazione rimuoverà permanentemente tutti i propri messaggi, i propri gruppi e i propri contatti. Tale azione deve essere confermata dal proprio account Telegram[9] e non può essere annullata. Infine, l’account Telegram viene eliminato dopo 6 mesi di inutilizzo[10].

Informativa sulla privacy di Telegram

Telegram ha due principi fondamentali quando si tratta di raccogliere ed elaborare dati privati:

• non utilizza i dati personali per mostrare annunci pubblicitari;
• conserva solo i dati di cui ha bisogno per funzionare come servizio di messaggistica sicuro e funzionale.

Nella fattispecie Telegram:

• ai fini della legislazione applicabile sulla protezione dei dati, è il titolare del trattamento dei dati, responsabile dei dati personali quando si utilizzano i suoi servizi;
• per i paesi dello Spazio Economico Europeo (SEE), poiché si trova al di fuori dello SEE, Telegram ha designato una terza parte: l’Ufficio Europeo per la Protezione dei Dati (EDPO) come rappresentante ai sensi dell’articolo 27 del GDPR. È possibile indirizzare all’EDPO qualsiasi domanda relativa al GDPR utilizzando il modulo di richiesta online all’indirizzo https://edpo.com/gdpr-data-request/ oppure scrivendo all’EDPO in Avenue Huart Hamoir 71, 1030 Bruxelles, Belgio;
• tratta i dati personali sulla base del fatto che tale trattamento è necessario per garantire i propri interessi legittimi (tra cui: (1) fornire servizi efficaci e innovativi agli utenti; (2) rilevare, prevenire o altrimenti affrontare frodi o problemi di sicurezza in relazione alla fornitura di servizi), a meno che tali interessi non siano superati dall’interesse o dai diritti e libertà fondamentali che richiedono la protezione dei dati personali dell’utente.

Come vengono utilizzati i dati personali

Di seguito come Telegram utilizza e gestisce dati personali dell’utente:

• dati dell’account di base: utilizza il numero di cellulare e i dati di base dell’account (ovvero: nome del profilo, immagine del profilo e informazioni), ma specifica che “…non vogliamo sapere il tuo vero nome, sesso, età o cosa ti piace” e non è necessario che il nickname sia il vero nome[11];
• l’indirizzo di posta elettronica: quando si abilita la verifica in due passaggi per l’account o si archivia documenti utilizzando la funzione Telegram Passport, è possibile scegliere di impostare un’e-mail di recupero password. Questo indirizzo verrà utilizzato solo per l’invio di un codice di recupero password. In caso di accesso con Google o Apple, Telegram potrebbe chiedere ad alcuni utenti di fornire un indirizzo email per ricevere i codici di accesso via email anziché via SMS, in questo caso tale indirizzo email verrà archiviato separatamente dall’email di recupero e verrà utilizzato solo per l’invio dei codici di autenticazione per l’accesso all’account;
• i messaggi: Telegram è un servizio cloud sul quale tutti i dati (messaggi, foto, video e documenti delle chat cloud), vengono archiviati e fortemente crittografati e le chiavi di crittografia sono archiviate in diversi altri data center in diverse giurisdizioni. In questo modo nessuno può accedere ai dati dell’utente.

Le chat segrete utilizzano la crittografia end-to-end, ciò significa che tutti i dati vengono crittografati con una chiave che solo mittente e destinatario conoscono. Non c’è modo per Telegram o chiunque altro senza accesso diretto al dispositivo di conoscere quei messaggi. Telegram non memorizza le chat segrete sui server e per tanto le chat segrete non sono disponibili nel cloud: è possibile accedere a quei messaggi solo dal dispositivo a o da cui sono stati inviati[12].

Oltre ai messaggi privati, Telegram supporta anche canali pubblici e gruppi pubblici. Tutte le chat pubbliche sono chat cloud e sono crittografate, sia in archiviazione che in transito;

• numero di telefono e contatti: Telegram utilizza i numeri di telefono come identificatori univoci in modo che sia facile passare dagli SMS e da altre app di messaggistica e mantenere così la rete sociale. Telegram chiede il consenso prima di sincronizzare i contatti (solo numero e nome e cognome)[13];
• dati sulla posizione: se si condivide una posizione in una chat, questi dati sulla posizione vengono trattati rispettivamente come altri messaggi nel cloud o nelle chat segrete;cookies: vengono utilizzati solo quelli necessari per operare e fornire i servizi sul web[14];
• memorizzazione dei dati: per iscritti a Telegram dal Regno Unito o dallo Spazio Economico Europeo, i dati vengono archiviati in data center nei Paesi Bassi[15]. Tutti i dati vengono archiviati pesantemente crittografati in modo che nessuno possa accedere al loro contenuto.

Trattamento dei dati personali[16]

In quanto un servizio cloud, Telegram elabora i dati per fornire la cronologia della chat cloud, inclusi messaggi, contenuti multimediali e file, a qualsiasi dispositivo di a scelta dell’utente senza la necessità di utilizzo di backup di terze parti.

• Sicurezza e protezione: data l’enorme popolarità, per migliorare la sicurezza dell’account utente, nonché per prevenire spam, abusi e altre violazioni ai termini di servizio, Telegram potrebbe raccogliere metadati come l’indirizzo IP, i dispositivi e le app Telegram utilizzate, la cronologia delle modifiche al nome utente, ecc. Se raccolti, questi metadati possono essere conservati per un massimo di 12 mesi. I moderatori possono controllare i messaggi che sono stati segnalati loro dai loro destinatari, in caso accertata violazione su un messaggio inviato l’account mittente potrebbe essere limitato dal contattare estranei, temporaneamente o permanentemente. In caso di violazioni più gravi, l’account potrebbe essere bannato. Telegram può anche utilizzare algoritmi automatizzati per analizzare i messaggi nelle chat cloud per bloccare spam e phishing.
• Nessuna pubblicità basata sui dati dell’utente: Telegram non utilizza i dati utente per il targeting degli annunci o altri scopi commerciali.I bot: Telegram ha un’API che consente agli sviluppatori di terze parti di creare bot, utilizzandoli, l’utente invierà alcuni dei propri dati dell’account pubblico ai rispettivi sviluppatori di bot di terze parti: nome utente e immagine/i del profilo.
• I diritti riguardo ai dati personali forniti: ai sensi della legislazione applicabile sulla protezione dei dati, in determinate circostanze, l’utente ha i il diritto di:richiedere una copia di tutti i propri dati personali conservati e di trasmettere tale copia a un altro titolare del trattamento;cancellare o modificare i dati personali;limitare o opporsi al trattamento dei propri dati personali;correggere eventuali dati personali inesatti o incompleti.

Autorità preposte all’applicazione della legge

Se Telegram riceve un’ordinanza del tribunale che conferma che un utente è sospettato di terrorismo, potrebbe divulgare l’indirizzo IP e numero di telefono alle autorità competenti. In tal caso, l’esecuzione di tale ordinanza verrà inclusa in un rapporto semestrale sulla trasparenza pubblicato all’indirizzo: https://t.me/transparency. Alla data di redazione di questo documento, 26/08/2024, non vi sono report per l’Italia:

Nota: affinché una decisione giudiziaria sia rilevante, deve provenire da un paese con un indice di democrazia sufficientemente alto per essere considerato una democrazia (https://en.wikipedia.org/wiki/Democracy_Index). Possono essere condivisi solo l’indirizzo IP e il numero di telefono.

Cancellazione dei dati

Account

L’eliminazione di un account è possibile nella pagina di disattivazione. L’eliminazione dell’account rimuove tutti i messaggi, i contenuti multimediali, i contatti e ogni altro dato archiviato nel cloud di Telegram. Questa azione deve essere confermata tramite l’account Telegram e non può essere annullata. Per impostazione predefinita, se si smette di usare Telegram e non si è online per almeno 6 mesi, l’account verrà eliminato insieme a tutti i messaggi, i media, i contatti e ogni altro dato nel cloud di Telegram. Su Impostazioni è possibile modificare tale periodo;

Messaggi

• nelle chat segrete, l’eliminazione di un messaggio indica sempre all’app dall’altra parte di eliminarlo;
• nelle chat individuali qualsiasi parte può scegliere di eliminare qualsiasi messaggio, sia inviati che ricevuti, per entrambe le parti. Non c’è limite di tempo. Qualsiasi parte può anche scegliere di cancellare l’intera cronologia della chat per entrambe le parti, nel qual caso alle app verrà richiesto di rimuovere tutti i messaggi in quella chat, indipendentemente dal numero di messaggi conservati da uno dei partecipanti;
• nei supergruppi e nei canali, l’eliminazione di un messaggio lo rimuove per tutti i partecipanti. I messaggi eliminati e le versioni originali dei messaggi modificati dei supergruppi vengono archiviati per 48 ore dopo l’eliminazione per poter essere visualizzati nel registro degli amministratori;
• è possibile ordinare ai messaggi nelle chat segrete di autodistruggersi non appena viene letto. Allo scadere del timer, ad entrambi i dispositivi che partecipano ad una chat segreta viene richiesto di eliminare il messaggio (foto, video, ecc.).

Alcuni link utili

• Informativa sulla Privacy
• @EURegulation per richiedere una copia di tutti i propri dati archiviati da Telegram o altre info sulla privacy dei dati;
• contenuto illegale su Telegram[17]: i set di sticker, i canali e i bot su Telegram sono disponibili pubblicamente, se ritenuti illegali o pornografici è possibile segnalarli a abuse@telegram.org;
• set di sticker che violano i diritti di proprietà intellettuale: dmca@telegram.org;
• inviare una richiesta relativa al Regolamento UE 2021/784: il Regolamento (UE) 2021/784 del Parlamento europeo e del Consiglio, del 29 aprile 2021, relativo al contrasto della diffusione di contenuti terroristici online (Terrorist Content Online Regulation, o regolamento TCO), consente alle autorità dei Paesi dell’UE di inviare richieste di rimozione di contenuti terroristici, se scoperti sulla piattaforma pubblica di Telegram; quest’ultimo inoltre ha designato una terza parte, l’European Digital Services Representative (EDSR), per assistere nelle comunicazioni relative al TCO. Gli utenti le cui pubblicazioni sono state rimosse in seguito al regolamento TCO possono richiedere dettagli sul motivo per cui le loro pubblicazioni sono state considerate terroristiche e su come contestare la rimozione:
  • scrivendo a EDSR, Avenue Huart Hamoir 71, 1030 Bruxelles, Belgio;
  • contattando il bot @EURegulation su Telegram e usando il comando /tco_ask.
• stopCA@telegram.org: per segnalare abusi sui minori. Mentre t.me/stopCA è il canale che pubblica aggiornamenti giornalieri sui contenuti vietati relativi alle CA – Child Abuse.

^[1] https://it.wikipedia.org/wiki/Pavel_Durov

[2] Basata sulla crittografia AES simmetrica a 256-bit, sulla crittografia RSA 2048 e sullo scambio di chiavi di sicurezza Diffie-Hellman.

[3] Tutte le chat segrete su Telegram sono specifiche del dispositivo e non fanno parte del cloud di Telegram. Questo significa che vi si può accedere solo dal dispositivo di origine.

[4] Il numero di telefono è l’unico modo per identificare un utente Telegram. Telegram non raccoglie ulteriori informazioni sull’utente, quindi chi ha il numero ha l’account.

^[5] Persone vicine è una funzione opzionale che permette agli utenti di Telegram di scoprire i gruppi locali, trovare amici con cui chattare nella loro zona, o scambiare rapidamente contatti con chi si trova nelle vicinanze. Nota: Persone vicine non è mai attivo di default – gli utenti devono abilitarlo manualmente.

[6] Gli username collezionabili possono essere acquistati e venduti attraverso la piattaforma d’asta Fragment, uno strumento per acquisire e scambiare domini Telegram di valore. L’acquisto di un username tramite la piattaforma conferisce una proprietà permanente, verificata dalla blockchain TON. I proprietari di username collezionabili possono liberamente assegnarli alle chat, venderli ad altri o conservarli per un uso successivo.

[7] username.t.me e t.me/username.

[8] https://my.telegram.org/auth?to=delete

[9] Verrà ricevuto un codice via Telegram e non via SMS,

[10] Assieme a tutti i messaggi, media, contatti e ogni altro dato archiviato nel cloud di Telegram. È possibile cambiare tale periodo.

[11] Tieni presente che gli utenti che ti hanno tra i loro contatti ti vedranno con il nome che hanno salvato e non con il tuo nickname. In questo modo tua madre può avere il nome pubblico “Johnny Depp” mentre appare come “mamma” per te.

[12] I media nelle chat segrete: prima di essere caricato, ogni elemento viene crittografato con una chiave separata, non nota al server. Questa chiave e la posizione del file vengono quindi nuovamente crittografate, questa volta con la chiave della chat segreta e inviate al destinatario. Ciò significa che tecnicamente il file si trova su uno dei server di Telegram, ma a tutti tranne che al mittente e al destinatario sembra un pezzo di spazzatura indecifrabile e casuale. Telegram elimina periodicamente questi dati casuali dai server per risparmiare spazio.

[13] È possibile interrompere la sincronizzazione dei contatti o eliminarli dai server Telegram: Impostazioni > Privacy e sicurezza > Contatti.

[14] Il browser utilizzato dall’utente, inoltre, consente di controllare questi cookie, incluso se accettarli o meno e come rimuoverli.

[15] Si tratta di data center forniti da terze parti in cui Telegram affitta uno spazio designato, tuttavia, i server e le reti che si trovano all’interno di questi data center e su cui sono archiviati i dati personali sono di proprietà di Telegram. Pertanto, non vengono condivisi i dati personali con tali data center.

[16] https://telegram.org/privacy/eu

[17] Tutte le chat e i gruppi di Telegram sono territorio privato dei loro rispettivi partecipanti. Telegram non eseguirà alcuna richiesta relativa ad esse.

Tutela amministrativa e giurisdizionale. Ruolo del Garante privacy e poteri di indagine e correttivi. Sanzioni amministrative pecuniarie, accessorie e risarcimento del danno. Big data e dati non personali.

La tutela giurisdizionale e amministrativa, ovvero come in qualche modo ci si tutela di fronte ad una violazione del trattamento, dei principi del trattamento, comunque in generale delle regole sul trattamento dei dati personali disposte dal GDPR. Andiamo quindi a vedere le regole di cui agli articoli 77 e seguenti del GDPR che prevedono diversi strumenti di tutela. A tutela di cosa? Ovviamente dei diritti dell’interessato che è sempre il soggetto di cui ci dobbiamo accertare che il trattamento sia eseguito in modo corretto. In particolare le forme di tutela, appunto, sono tre. La prima, articolo 77, è la tutela in via amministrativa di fronte a quella che il GDPR chiama l’autorità di controllo. L’autorità di controllo che interviene rispetto ad un trattamento che viola il GDPR è nel nostro ordinamento il Garante Privacy, quindi l’Autorità per la protezione per il trattamento dei dati personali e che chiamiamo in generale o l’autorità o il garante. Quindi tutela amministrativa di fronte all’Autorità garante della privacy. Un secondo profilo di tutela, articolo 78, tutela in via giurisdizionale, quindi di fronte al giudice, rispetto ad una decisione dell’autorità. Quindi quando l’Autorità prende una decisione poi ci si può rivolgere al giudice perché intervenga in seconda battuta rispetto alla decisione presa appunto dall’Autorità. Ultima forma di tutela, di nuovo in via giurisdizionale, quindi di fronte al giudice, per l’esercizio di un diritto riconosciuto dal GDPR. Quindi direttamente mi rivolgo al giudice per far valere un diritto che il GDPR mi riconosce. Innanzitutto partiamo dall’autorità. Qual è l’autorità? Perché ovviamente noi siamo di fronte al GDPR, quindi di fronte a un Regolamento che vale in tutti i Paesi dell’Unione europea. Per individuare l’autorità competente quindi andremo ad applicare il cosiddetto criterio di prossimità con l’interessato, quindi per riconoscere qual è l’autorità competente a intervenire rispetto ad una nostra supposta violazione, quella che noi riteniamo essere una violazione del GDPR andremo a rivolgerci all’autorità o del luogo dove noi come interessati risiediamo, quindi il luogo di residenza abituale dell’interessato, oppure il luogo in cui l’interessato lavora, in alternativa, oppure ancora il luogo in cui è stata effettuata la violazione. Perché la violazione ovviamente inerisce al trattamento e quindi andiamo a rivolgerci all’autorità del luogo in cui il trattamento ha concretamente luogo, quindi se quel certo titolare ha il suo stabilimento in un certo Paese noi ci rivolgeremo all’autorità di quel Paese. Rispetto invece all’autorità giudiziaria, quindi quando adiamo il giudice, quando scegliamo la tutela giurisdizionale, anche qui la regola è quella del rivolgerci al tribunale del luogo in cui il titolare ha lo stabilimento, quindi del luogo in cui si realizza il trattamento di dati oppure il luogo in cui l’interessato ha la sua residenza. Ciò a meno che il titolare non sia una autorità pubblica, quindi se il titolare invece è l’autorità pubblica, allora ci rivolgiamo al giudice del luogo in cui ha sede l’autorità in questione.

Ci soffermiamo sulla tutela dei dati personali all’interno del quadro normativo del Regolamento Generale sulla Protezione dei Dati (GDPR) e la sua implementazione nel diritto italiano, particolarmente attraverso il Codice Privacy aggiornato con il decreto legislativo 101 del 2018. Esploriamo la figura dell’Autorità di controllo, in Italia rappresentata dal Garante per la protezione dei dati personali, e le modalità con cui gli individui possono rivolgersi a questa autorità o al sistema giudiziario per far valere i propri diritti.

Il GDPR prevede strumenti specifici per la tutela dei diritti degli interessati, iniziando con la possibilità di presentare un reclamo amministrativo all’Autorità di controllo qualora si ritenga che sia stata violata la normativa sulla protezione dei dati. Se l’Autorità prende una decisione che non soddisfa l’interessato, quest’ultimo ha il diritto di rivolgersi al sistema giurisdizionale per impugnare tale decisione. Inoltre, esiste la possibilità di avviare azioni giurisdizionali dirette per esercitare i diritti riconosciuti dal GDPR, come il diritto di accesso ai dati, o per ottenere un risarcimento in caso di danni subiti a seguito di violazioni del regolamento.

Un aspetto importante è il principio di alternatività degli strumenti di tutela introdotto dall’articolo 140 bis del Codice Privacy. Questo principio stabilisce che la scelta di una via di tutela (amministrativa o giurisdizionale) preclude automaticamente l’uso dell’altra per lo stesso motivo, a meno che non siano presenti condizioni particolari, come il mancato riscontro da parte del Garante entro i termini massimi stabiliti.

Un accenno, inoltre, alla questione delle sanzioni amministrative pecuniarie, che devono essere effettive, proporzionate e dissuasive, seguendo i criteri stabiliti dall’articolo 83 del GDPR. Viene sottolineato il ruolo del Garante, che può esercitare una varietà di poteri correttivi, da semplici ammonimenti a sanzioni pecuniarie, per garantire la conformità al regolamento.

Diamo un’occhiata ora alle implicazioni più ampie della protezione dei dati nell’era digitale, quando toccano temi come i big data e la distinzione tra dati personali e non personali. In particolare, come il trattamento di grandi volumi di dati spesso unisce informazioni di natura diversa, sollevando sfide significative per quanto riguarda la protezione e l’autodeterminazione degli individui. Questo contesto richiede una regolamentazione che bilanci efficacemente le esigenze economiche e i diritti fondamentali delle persone, una sfida che continua a evolvere con il progresso tecnologico. Le implicazioni dei big data, un concetto che si riferisce all’immensa quantità di dati generati costantemente dall’interazione tra persone e tecnologie digitali. Il trattamento dei big data presenta una serie di sfide particolari per la protezione dei dati personali, poiché spesso combina dati personali e non personali, rendendo il confine tra questi due tipi sempre più sfumato. Il GDPR, che si focalizza sulla protezione dei dati personali, trova applicazione anche nei contesti in cui i dati non personali e personali si intrecciano così strettamente da non poter essere distinti. Questo è particolarmente rilevante in contesti in cui il trattamento di enormi volumi di dati da parte delle tecnologie digitali può influenzare decisioni che hanno impatti diretti sugli individui, come nel caso delle raccomandazioni personalizzate o delle previsioni comportamentali.

L’analisi dei big data può permettere alle organizzazioni di scoprire pattern e tendenze nascoste nei comportamenti umani, offrendo così possibilità predittive che possono essere usate in vari settori, dalla pubblicità al monitoraggio della salute. Queste capacità predittive, tuttavia, sollevano questioni significative riguardo al consenso e alla trasparenza. Per esempio, le persone sono veramente consapevoli e in grado di autorizzare l’uso dei loro dati quando accettano i termini di servizio di app o piattaforme che fanno largo uso di algoritmi di analisi?

Inoltre, l’accento va posto anche su come la normativa europea stia evolvendo per rispondere a questi cambiamenti. Un esempio è il Data Act, un regolamento dell’UE recentemente proposto che mira a regolamentare non solo i dati personali ma anche i dati non personali, riflettendo così la crescente importanza economica e sociale di entrambi i tipi di dati. Questo regolamento si propone di garantire che i dati siano trattati in modo equo e trasparente, cercando di bilanciare le esigenze del mercato digitale con i diritti fondamentali delle persone.

In conclusione, il trattamento dei big data impone una riflessione critica su come le informazioni vengono utilizzate e sulla necessità di garantire che i diritti alla privacy e all’autodeterminazione informativa rimangano centrali nel contesto di una società sempre più guidata dai dati.

Minori e privacy. Età del consenso digitale e liceità del trattamento, identità personale, intervento dell’esercente la responsabilità genitoriale. Riferimenti a casi giurisprudenziali.

L’articolo 8 del GDPR riguarda il tema dei dati personali dei minori. Quindi facciamo un focus proprio sui minori di età, i soggetti under 18. È un tema che da alcuni punti di vista può sembrare ovvio, il fatto che si parli di dati personali di minori di età, ma in realtà è una cosa relativamente nuova perché prima del GDPR non era previsto nulla che riguardasse in modo specifico il modo in cui si trattano i dati personali dei minori. È una novità del GDPR, a cui poi ha fatto seguito ovviamente il coordinamento da parte del legislatore italiano con il decreto legislativo 101 del 2018. Però è anche un tema abbastanza nuovo per motivi diversi. Sicuramente quello più immediato è il contesto storico di riferimento di questa normativa, normativa del 2016. Però ovviamente la specifica attenzione ai minori è data dal fatto che negli ultimi anni, nell’ultimo decennio, i minori di età hanno una possibilità di accedere a strumenti, computer, telefoni, tablet e così via, che permettono di trattare direttamente i loro dati personali. Quindi l’esigenza di tutela specifica del minore non più in generale come soggetto da tutelare al pari anche dell’adulto, ma come soggetto da tutelare in modo più specifico e più dettagliato perché proprio per le vulnerabilità che caratterizzano la minore età è necessario apprestare degli strumenti di tutela ad hoc, proprio perché non si può paragonare il minore all’adulto rispetto a quella che è la consapevolezza dell’utilizzo degli strumenti digitali, proprio perché nel nostro ordinamento c’è un’attenzione rispetto al minore in quanto tale, in quanto soggetto che deve godere di una tutela specifica anche dal punto di vista del trattamento dei dati personali. Quindi in qualche modo abbiamo un passaggio dovuto proprio all’utilizzo di quelli che vengono chiamati i nuovi media. Quindi se rispetto al passato, se rispetto al momento storico si tutelava la riservatezza in quanto tale e quindi anche la riservatezza del minore veniva tutelata di fronte all’utilizzo delle figure, riferimenti delle figure dei minori rispetto a quello che poteva essere diffuso sui giornali o in televisione, l’utilizzo dei nuovi media e cioè di tutte quelle tecnologie che utilizzano i dati personali, ha richiesto questa attenzione in più. La logica quando noi parliamo di minori di età è sempre quella di dover prestare attenzione, la massima attenzione al processo di formazione dell’identità personale, mentre per un adulto questa formazione può dirsi conclusa o comunque si può continuare a realizzare in delle modalità che sicuramente sono più consapevoli, il minore è per antonomasia il soggetto la cui identità personale è in divenire, è informazione, è infatti un processo, parliamo di formazione, di costruzione dell’identità personale e il punto di vista che si adotta è che l’utilizzo degli strumenti digitali che i minori utilizzano sia ormai talmente diffuso nella quotidianità del minore che lo può utilizzare per svago, per studio. Pensiamo anche ai tempi pandemici a come il minore più che in altre in altre occasioni era perennemente di fronte ad uno schermo, questo utilizzo sempre più diffuso, pensiamo anche a quanto sempre di più i minori utilizzino gli strumenti tecnologici anche dei genitori o pensiamo a tutti gli strumenti che sono proprio nelle case, tutta una serie di strumenti dell’Internet of Things, tutta una serie di strumenti che i minori hanno a disposizione in modo semplicissimo. Però interagendo con tutti questi strumenti, inevitabilmente, l’utilizzo degli strumenti che sono connessi alla rete e quello che poi è il modo in cui i dati vengono trattati e quindi le risposte che la rete da al minore stesso che la utilizza sono tali da essere in grado di incidere sulla formazione dell’identità personale. Proprio rispetto a questo elemento è necessario prestare delle tutele nuove, un’attenzione nuova. Il tema dell’attenzione alla privacy in senso ampio del minore, comunque, non è completamente nuovo. Perché di privacy del minore si inizia a parlare addirittura nell’89, quindi in tempi abbastanza risalenti, ben prima della diffusione della rete per come la conosciamo oggi, però la Convenzione di New York che è la Convenzione sui diritti del fanciullo del 1989, poi ratificata in Italia nel 91, più o meno in quello stesso periodo, prevede che il minore debba essere tutelato da qualsiasi interferenza arbitraria o illegale nella sua vita privata, nella sua famiglia, nella sua corrispondenza, in generale, nella sua privacy. Ricordiamoci che anni 80, anni 90 siamo ancora in una concezione di privacy come riservatezza, principalmente. Quindi il riconoscimento di questa tutela da qualsiasi interferenza arbitraria o illegale, quindi qualsiasi tipo di intromissione dall’esterno che può incidere appunto sulla sua vita privata, sulla sua famiglia, sul suo domicilio, sulla sua corrispondenza e addirittura va oltre perché dice e neppure di affronti illegali contro il suo onore e la sua reputazione, quindi in tutte le varie sfaccettature della riservatezza che abbiamo già descritto, e questa è la disposizione dell’articolo 16 della Convenzione di New York. In più, l’articolo 17, non parlando della riservatezza, però dice che il minore deve essere garantito, il fanciullo anzi dice la convenzione, deve essere garantito rispetto all’accesso ai media e alle tecnologie. Quindi vediamo come pure in un tempo in cui ancora non si parlava di privacy come trattamento dei dati personali distinto dalla riservatezza, abbiamo un’attenzione particolare nei confronti del minore: da un lato dal punto di vista della tutela della sua sfera più intima, dall’altro si cerca di incentivare l’accesso dei minori, dei fanciulli verso l’utilizzo delle tecnologie, del tipo di tecnologie che si potevano creare anche in prospettiva futura. E quindi questa doppia anima da un lato di tutela particolarmente mirata verso la riservatezza, dall’altro questo riconoscimento del minore come soggetto che deve poter accedere alle tecnologie perché è qualcosa che sicuramente può essere utile ai fini del suo sviluppo ai fini della sua crescita. Quindi in qualche modo viene veicolata dalla Convenzione di New York dell’89 un’immagine abbastanza moderna del minore come soggetto che poteva incidere sul proprio processo educativo, formativo, proprio anche attraverso l’utilizzo delle delle tecnologie.

Da un punto di vista di diritto interno, in realtà di privacy del minore non abbiamo per lungo tempo nessun tipo di riferimento. Un riferimento era però presente già nel codice di procedura penale: in particolare l’articolo 114 del codice di procedura penale, in forza del quale si tutelava il minore attraverso un divieto di pubblicazione delle sue generalità e delle sue immagini. Quelli che oggi chiamiamo dati perché sicuramente le generalità di una persona o l’immagine di una persona rientrano nella nozione di dati. Quindi il divieto di pubblicare informazioni come generalità e immagini che ritraessero dei minori che fossero coinvolti in senso ampio da un procedimento di fronte all’autorità giudiziaria penale e quindi che fossero testimoni, persone offese, danneggiati dal reato, insomma qualsiasi tipo di situazione attorno alla quale potesse posizionarsi la figura di un minore rispetto ad un procedimento penale, quanto meno fino al momento in cui non avessero raggiunto questi minori la maggiore età. Quindi una tutela di fronte a insomma alla circolazione delle notizie riferite a determinati procedimenti penali che coinvolgessero dei minori. In un secondo momento il codice della privacy, quindi siamo nel 2003, estende questa stessa tutela che il codice di procedura penale prevedeva rispetto ai procedimenti penali, a qualsiasi altro procedimento di fronte all’autorità giudiziaria. Quindi a livello proprio di riservatezza del minore si ha questa particolare attenzione. Attenzione che tra l’altro era prevista anche all’interno dei codici deontologici di alcune categorie professionali, in particolare il Codice deontologico dell’attività giornalistica che è molto legato ovviamente ai temi dei procedimenti giudiziari. E nel codice deontologico dell’attività giornalistica che è del 96, già si faceva riferimento in particolare all’articolo 7, al fatto che il giornalista, dal punto di vista deontologico, non dovesse procedere alla pubblicazione dei nomi dei minori coinvolti in fatti di cronaca e comunque non soltanto i nomi, qualsiasi tipo di informazione che potesse permettere poi di ricondurre alla sua identificazione. Perché la logica che viene sancita, il principio che viene sancito in questo codice deontologico dell’attività giornalistica è che la riservatezza del minore deve essere tutelata anche quando ci sono delle ragioni che giustificano il diritto di cronaca. Quindi quando si svolge attività di cronaca, attività di critica, comunque bisogna prestare la massima attenzione al minore. Ovviamente tutte queste cose poi sono sì previste nel codice, però poi sono oggetto delle pronunce giurisprudenziali della Cassazione. La Suprema Corte ad esempio nel 2013 si esprime espressamente nel senso di richiedere che nell’ambito dell’attività giornalistica sia doveroso evitare qualsiasi riferimento che possa ledere la riservatezza dei minori. Quindi proprio questa attenzione che anche ovviamente a livello di giurisprudenza si ha sempre rispetto a queste categorie più vulnerabili di soggetti che appunto anche quando si esercita il diritto di cronaca, il diritto di critica è sempre necessario che siano destinatari di una specifica attenzione. A tutto ciò ovviamente non sta attenta soltanto la giurisprudenza ma anche il Garante privacy, in particolare con tutta una serie di provvedimenti, ne riporto uno del 2001, quindi in un tempo anche precedente al Codice della privacy ma successivo al Codice deontologico dell’attività giornalistica del 96, perché proprio già nel 2001, quindi in tempi non sospetti rispetto all’utilizzo, al riconoscimento del diritto alla protezione dei dati personali, comunque si faceva riferimento al diritto alla riservatezza dei minori anche di fronte alle notizie o a fatti di cronaca riportati che riguardano personaggi noti. Quindi anche prima della Cassazione, già il Garante riconosceva l’assoluta necessità di fare attenzione a tutelare i figli anche rispetto a fatti che riguardano soggetti noti nel caso di specie era figlio di un di un parlamentare, perché in tutti questi casi non si deve per far valere il diritto di critica, il diritto di cronaca, non si deve mai perciò affievolire quello che è il diritto alla privacy dei soggetti che sono coinvolti, a maggior ragione appunto se i soggetti in questione sono dei minori. Insomma, già prima del GDPR, per quanto non si facesse riferimento esplicito alla tutela di minori nel trattamento di dati personali, comunque si faceva particolare attenzione a garantire che il minore non subisse delle interferenze idonee ad incidere negativamente, ad impattare negativamente sulla formazione della sua identità personale.

Passiamo quindi al GDPR. Già nei considerando del GDPR sono presenti una serie di riferimenti espliciti ai minori. In particolare, la logica che seguono i considerando è che quando si ha di fronte al trattamento dei dati personali dei minori di età, è necessario rendersi conto che si è di fronte ad un soggetto che è meno consapevole del significato della portata che il trattamento dei suoi dati può avere e dei rischi che quindi ciò può comportare, quindi è necessario prestare attenzione alla sua personalità. Il considerando 38, ad esempio, dice espressamente che i minori meritano una specifica protezione perché sono meno consapevoli dei rischi di Internet. Devono essere particolarmente tutelati da misure di salvaguardia che permettano l’esercizio dei loro diritti di fronte a qualsiasi attività di trattamento dei loro dati personali. In particolare si richiede attenzione di fronte a tutte quelle attività di trattamento dei dati personali che hanno finalità di marketing, oppure che svolgono attività di profilazione del minore, perché ovviamente profilare il minore al fine di rivolgergli, per esempio, delle determinate pubblicità mirate e personalizzate rispetto alle sue preferenze può incidere effettivamente sulla sua sfera giuridica soggettiva e quindi è necessaria una specifica attenzione. Ancora, il considerando 65 fa riferimento all’esercizio del diritto all’oblio e dedica un passaggio anche al minore perché addirittura: dice che il diritto all’oblio è particolarmente fondamentale che sia riconosciuto nei confronti del minore nel momento in cui acquista l’età del consenso digitale, perché potrebbe volerlo esercitare rispetto ad un consenso al trattamento dei dati personali prestato quando era al di sotto della soglia dell’età del consenso digitale e quindi era meno consapevole, sotto quell’età, e quindi una volta che compie l’età del consenso digitale deve riconfermare il consenso già prestato e altrimenti esercitare il diritto all’oblio rispetto ai dati che erano stati trattati, aveva consentito che venissero trattati prima del compimento dell’età per il consenso digitale. Ancora un altro considerando è il considerando 58 che fa riferimento in generale al principio di trasparenza e che quando descrive il principio di trasparenza dice rispetto ai minori è necessaria una particolare protezione, una protezione specifica, perché il minore è meno consapevole e quindi deve ricevere delle informazioni che riguardano il trattamento, che devono essere elaborate in un linguaggio particolarmente chiaro, particolarmente semplice, proprio perché devono essere dei termini che anche il minore possa facilmente comprendere. Insomma già nei considerando troviamo delle linee di attenzione alla figura del minore rispetto all’adulto. Poi vi è la norma che è espressamente dedicata al minore, è la norma di cui all’articolo 8. Già nella rubrica dell’articolo 8 del GDPR, la rubrica è il titolo della norma, dice: condizioni applicabili al consenso dei minori in relazione ai servizi della società dell’informazione. E poi ci sono i tre paragrafi dell’articolo 8 che ci descrivono la disciplina. Innanzitutto si fa riferimento appunto nella rubrica ai servizi della società dell’informazione. Diciamo che la definizione di servizi della società dell’informazione è contenuta in una direttiva del 2015, la 1535 del 2015 dice che i servizi della società dell’informazione sono tutti i servizi prestati a distanza, normalmente dietro una retribuzione e per via elettronica nei confronti di un destinatario dei servizi stessi. Diciamo che in generale sono un po’ tutte le attività che vengono svolte in rete che possono consentire l’accesso alle informazioni o ad attività di comunicazione. Quindi sono servizi della società dell’informazione: la posta elettronica, i social network, le banche dati, le newsletter. Vediamo quindi la norma perché si fa riferimento alle condizioni applicabili al loro consenso. Quindi, innanzitutto parliamo del consenso dei minori. Infatti il paragrafo 1 dice qualora si applichi l’articolo 6, paragrafo 1, lettera a, che è la condizione di liceità del trattamento che si fonda sulla prestazione del consenso. Quindi, innanzitutto, rispetto al minore è fondamentale che ci sia il suo consenso alla luce delle precisazioni che vengono fatte in questo articolo. Allora sempre il paragrafo 1 fa riferimento all’offerta diretta dei servizi della società dell’informazione. Questo riferimento all’offerta diretta vuol dire che la disciplina dell’articolo 8 non si applica a tutti i servizi della società dell’informazione, ma si applica soltanto a quelli che sono offerti in modo diretto ai minori. Quindi se sono il titolare di un trattamento ed esplicito che il servizio che offro è rivolto soltanto ai maggiorenni, allora non sono tenuto ad applicare le regole di quell’articolo 8. Ovviamente nella misura in cui, pur se io lo dovessi esplicitare, questa esplicitazione non venga poi smentita da altri elementi. Per esempio, il fatto che sia un tipo di servizio che per il contenuto che ha è evidente che verrà utilizzato anche da dei minori. Il problema è che il GDPR non ci dà delle precisazioni rispetto a come individuare quali siano gli elementi che possono smentire il fatto che il servizio sia offerto soltanto ai maggiorenni. Da questo punto di vista, quindi, possiamo fare riferimento un po’ al dato comparatistico, possiamo guardare all’esperienza statunitense che è un’esperienza in cui invece vengono espressamente delineati alcuni fattori, alcuni esempi, che sono utili a capire quando un certo servizio sia destinato o meno ai minori di età. E in particolare guardiamo alla disciplina in materia statunitense che è facile ricordare con l’acronimo COPPA che sta per Children’s Online Privacy Protection Act, che è la disciplina statunitense sulla privacy dei minori e che descrive una serie di fattori che ci permettono di capire se il servizio è offerto in modo diretto ai minori o meno, a prescindere appunto da quello che poi il titolare possa sostenere. E questi fattori sono per esempio il contenuto del sito, il tipo di attività che viene svolta su quel sito e il tipo di contenuti che sono fruibili su un certo sito, contenuti audio o contenuti visivi o il fatto che ci siano delle pubblicità che sono rivolte ad un target di bambini o comunque di soggetti minori, o il fatto che all’interno del sito, insomma del servizio, ci siano dei riferimenti a personaggi famosi tra i più piccoli o insomma celebrità che sono facilmente riconoscibili per i bambini o il fatto che ci siano dei modelli o dei soggetti a loro volta di minore età. Quindi,tutta una serie di esempi che effettivamente creano un contesto digitale a misura di bambino o comunque a misura di minore. Tutti questi fattori possono contribuire a ritenere che quel certo servizio sia effettivamente destinato, rivolto a dei soggetti minori. Questo è descritto nella disciplina statunitense, però sono dei parametri, delle linee che effettivamente poi facendo riferimento al dato comparatistico, anche il Garante privacy di qualsiasi Stato europeo o il giudice può sicuramente guardare a questi come esempi utili anche nella propria attività svolta a livello nazionale ed europeo. Siamo di fronte a tutta una serie di possibili contesti in cui effettivamente è necessario, è opportuno garantire queste figure che noi presumiamo essere più fragili, bisognose di tutela rispetto agli adulti, proprio perché su tutte queste piattaforme, su tutti questi siti, su tutti questi servizi che il minore si vede offerto, poi lui stesso può generare dei dati attraverso l’attività che poi realizza nella fruizione di questi servizi, pensiamo all’attività che realizza quando fruisce di un social network, durante un utilizzo di questi servizi, la fruizione di questi servizi genera dei dati personali. Questi dati personali possono poi essere utilizzati dal gestore di questo stesso sito per profilare la loro figura del minore e quindi poi presentare delle pubblicità che possono incidere sulla sua attività, sulla sua formazione.

Il paragrafo 1 fa riferimento all’età di 16 anni, quindi 16 anni per il legislatore europeo è l’età soglia in qualche modo dopo la quale il minore può prestare il consenso. In realtà però, l’ultimo inciso del paragrafo 1 dice che gli Stati membri possono stabilire per legge un’età inferiore a tali fini, purché non inferiore a 13 anni. Quindi, con ciò il legislatore europeo permette agli Stati membri di stabilire al loro interno, quale sia l’età del consenso digitale, l’età del consenso digitale, che però è al massimo individuata in 16 anni o al minimo in 13 anni. E questo è un esempio in cui il regolamento, il GDPR, pur essendo un regolamento, non riesce nell’obiettivo di uniformazione, perché quello che è successo è che tutti gli Stati membri dell’Unione europea hanno scelto età diverse, in alcuni paesi hanno scelto 13 anni, in altri 14, in altri 15, in altri 16. Quindi abbiamo una disciplina che da questo punto di vista è leggermente diversa in base ai Paesi, l’Italia con il decreto legislativo 101 del 2018, che è il decreto legislativo non di recepimento del Regolamento, perché il Regolamento non si recepisce, ma il decreto legislativo che è servito a uniformare la normativa interna con il GDPR. L’articolo 2 quinquies del nuovo Codice, del Codice privacy rinnovato appunto dal decreto legislativo 101, prevede che nel nostro Paese l’età del consenso digitale sia 14 anni. Quindi vuol dire che il minore ultraquattordicenne potrà prestare il consenso. Quindi in Italia l’età del consenso digitale è quella di anni 14. Il minore ultraquattordicenne presta il consenso, il minore infraquattordicenne, quindi più piccolo di 14 anni (paragrafo 1), dice che il trattamento è lecito soltanto se e nella misura in cui il consenso è prestato o autorizzato dal titolare della responsabilità genitoriale (noi tutto l’articolo 8, laddove indica l’età di anni 16, lo dobbiamo rileggere come se al posto di 16 ci fosse scritto 14). Quindi il trattamento dei dati personali del minore è lecito ove il minore abbia almeno 14 anni, ove il minore abbia un’età inferiore a 14 anni il trattamento è lecito solo e nella misura in cui tale consenso sia prestato, autorizzato dal titolare della responsabilità genitoriale. Ovviamente le due situazioni richiedono una serie di considerazioni. Partiamo dal minore ultraquattordicenne, quindi il minore che presta il consenso in modo autonomo. Ovviamente questa l’abbiamo chiamata età del consenso digitale perché la regola che conosciamo tutti è che il minore in realtà, proprio perché minore non abbia una capacità d’agire, perché la capacità di agire, l’articolo 2 del Codice civile dice che viene raggiunta al raggiungimento della maggiore età. Quindi questo vuol dire che il consenso digitale si pone come strumento di esercizio della propria capacità in un’ottica di eccezione rispetto alla regola. Quindi la regola è che la capacità di agire si acquisisce, la capacità di agire è la capacità di incidere sulla propria sfera giuridica soggettiva, si acquisice ai 18 anni. Però questa prestazione del consenso si pone appunto come eccezione rispetto alla regola. E in realtà non ci sono grossi problemi nel considerare il fatto che ci siano delle eccezioni alla regola, perché da questo punto di vista il GDPR non ha introdotto una regola completamente nuova o diciamo inaspettata, perché nel codice civile, ma anche in leggi speciali, ci sono tutta una serie di riferimenti che riconoscono la necessità del minore di autodeterminarsi e quindi rispetto a specifiche situazioni conosciamo la possibilità che il minore incida in tutto ciò che riguarda un po’ le estrinsecazione della propria personalità. Quindi, insomma, ci sono già una serie di riferimenti nel nostro ordinamento che anticipano la capacità del minore di autodeterminarsi, quindi ecco da questo punto di vista non è una cosa totalmente nuova però appunto dobbiamo tenere conto del fatto che è una eccezione, un aspetto comunque particolare. Per quanto riguarda invece il minore infraquattordicenne, lì è necessaria una attenzione in più perché è vero che sicuramente non si vuole in nessun modo impedire l’accesso alle tecnologie che utilizzano i dati da parte dei minori infraquattordicenni però è necessario che questo incentivo all’utilizzo delle tecnologie o comunque questa anche inevitabilità dell’utilizzo di tecnologie da parte dei minori sia appunto realizzata in un modo che presti la massima attenzione al fatto che siamo di fronte a dei soggetti più vulnerabili; sempre nella logica per cui per il nostro legislatore fino ai 14 anni è necessario stare più attenti rispetto al processo di formazione dell’identità personale. Ecco quindi che l’articolo 8 dice che il trattamento dell’infraquattordicenne è lecito solo se e nella misura in cui è prestato o autorizzato dal titolare della responsabilità genitoriale. Allora innanzitutto con titolare della responsabilità genitoriale non includiamo soltanto il genitore ma chiunque svolga la responsabilità genitoriale per il minore, quindi anche per esempio il tutore, quindi va inteso in un senso ampio. Ci concentriamo sui verbi prestato e o autorizzato, perché sembrano sinonimi, però vanno interpretati in un modo diverso. Quindi prestato ci dice l’ipotesi in cui il rappresentante legale del genitore manifesta egli stesso una volontà positiva al trattamento dei dati. Quindi è come in questo caso della prestazione il genitore o comunque il tutore, colui che esercita la responsabilità genitoriale, in qualche modo si va a sostituire, in questo caso nell’attività di prestazione il consenso quindi è direttamente l’esercente la responsabilità genitoriale che presta il consenso per il minore. Invece autorizzato lo dobbiamo leggere in un modo diverso, autorizzato è quindi la situazione in cui il minore presta il proprio consenso direttamente, però ai fini del trattamento è necessario che il consenso del minore venga integrato o comunque confermato dall’esercente la responsabilità genitoriale proprio perché è una sorta di autorizzazione rispetto al consenso che il minore ha prestato in un’iniziale diciamo autonomia. Ovviamente qual è il problema, che tutta questa bella regola si scontra un po’ con la realtà, perché nella realtà è facile immaginare che un minore che utilizza autonomamente gli strumenti digitali sia in grado di aggirare il consenso o comunque la partecipazione del genitore, perché il minore conferma magari che il genitore è d’accordo semplicemente al posto del genitore, il genitore nemmeno sa di questa prestazione del consenso e non ha nemmeno modo di controllarlo, quindi diciamo la questione che si pone è come assicurarsi che questa regola rispetto all’infraquattordicenne venga rispettata.

Qui subentra il principio di accountability del titolare. È il titolare ad essere responsabile per fare di tutto affinché effettivamente vengano rispettati i requisiti della norma. Come fa a fare di tutto, ovviamente come al solito alla luce delle tecnologie a disposizione, dovrà realizzare, dovrà predisporre delle misure necessarie idonee a garantire che la regola venga effettivamente applicata. Quindi c’è proprio l’obbligo del titolare seppure non sia scritto espressamente nell’articolo 8 però in virtù del principio dell’accountability, di responsabilizzazione del titolare, riconosciamo, individuiamo questo dovere del titolare di adoperarsi al meglio in ogni modo ragionevole, quindi sempre anche nel rispetto della proporzionalità, affinché sia possibile verificare che il consenso sia stato prestato o autorizzato da un esercente la responsabilità genitoriale, quindi sostanzialmente che il minore non abbia prestato il consenso senza che il genitore ne sia a conoscenza. Anche qui, piccolo problema: ricaviamo questo dovere del titolare, ma al titolare non vengono date delle linee per rispettare o comunque per sapere in modo definitivo come è giusto adoperarsi. E quindi anche qui, proprio perché il GDPR su questo è lacunoso, possiamo ricorrere al dato comparatistico, riguardiamo di nuovo alla disciplina statunitense che anche rispetto a questo è più completa. Abbiamo tutta una serie di esempi che ritroviamo nella disciplina degli Stati Uniti. Per esempio il titolare può adoperarsi fornendo dei moduli da compilare, quindi il genitore deve compilare un modulo, deve riempire delle caselle da cui effettivamente poi fornisce in modo diretto il consenso al trattamento dei dati da inviare magari via mail o da compilare in un form al momento della registrazione su un certo servizio. Un altro esempio può essere che il genitore debba dare conferma attraverso l’indicazione delle generalità di una carta di credito, oppure che debba fare un collegamento web, quindi una videochiamata attraverso la quale presti effettivamente il consenso. O ancora vengono applicati degli strumenti di riconoscimento facciale attraverso la somministrazione, l’upload di una fotografia. Oppure il genitore può caricare un documento, la fotocopia del documento. Oppure ancora rispondere a specifiche domande. Insomma, tutta una serie di possibilità attraverso cui il titolare può far sì che sia il più vero possibile, il più quasi sicuro possibile che il genitore sia effettivamente partecipe alla prestazione di questo consenso. Rimanendo sul GDPR, quello che possiamo dire è che sicuramente qualsiasi richiesta venga fatta al titolare che risponde del principio di responsabilizzazione, però d’altra parte facciamo sempre valere anche il principio di proporzionalità, quindi il titolare sarà chiamato a predisporre le misure più idonee possibili però sempre sempre all’interno di un approccio proporzionato. Quindi in base a quelli che sono i rischi per il minore che il trattamento porta con sé, dovrà predisporre delle misure più o meno elastiche. Quindi se si tratta di una situazione a basso rischio, magari una conferma via e-mail o di compilazione del form della registrazione è più che sufficiente. Invece se si tratta di attività di trattamento ad alto rischio, allora magari può essere richiesta quella misura più stringente, più complicata, che dia maggiori certezze del fatto che il genitore abbia partecipato. Quindi sempre un approccio al rischio, che in base alla valutazione del rischio che il minore in questo caso corre rispetto al trattamento dei suoi dati, ricordiamoci sempre che la misura della gravità del rischio la stabilisce il titolare stesso, poi però sarà responsabile della sua valutazione nel caso in cui non sia corretta, e poi predisporre le misure che alla luce di queste considerazioni vengono considerate più idonee. Ovviamente i problemi permangono perché resta il fatto che se il metodo di verifica del consenso genitore è troppo blando, allora il minore magari riesce ad aggirarlo, così come se è troppo stringente pensiamo a quelle riguardanti il caricamento della carta di credito, che è un metodo particolarmente difficile per il minore, magari da aggirare, allora lì il problema che si pone è che possano essere magari limitate le possibilità del minore di accedere al servizio perché un genitore sicuramente è più restio dal lasciare i dati della sua carta di credito su un certo sito che poi magari utilizza il minore stesso. Quindi da un lato il rischio di aggiramento del minore, dall’altro il rischio che il consenso non venga prestato, però un bilanciamento poi di volta in volta da fare in relazione al caso concreto perché la logica per quanto poi ci sia questo rischio è comunque che bisogna sempre bilanciare da un lato il diritto del minore ad accedere ai servizi digitali, dall’altro però l’esigenza della sua sicurezza e in questo ovviamente il ruolo del titolare della responsabilità genitoriale è fondamentale. Peraltro teniamo comunque conto del fatto che questa regola riguarda gli infraquattordicenni, quindi comunque dal compimento del 14º anno poi il minore può intervenire direttamente.

Peraltro anche rispetto al modo in cui intervengono i genitori si pongono delle questioni, in particolare i genitori devono essere per forza d’accordo? O basta la volontà di uno dei due? Per esempio questo è un altro tema che si pone in realtà ben prima del discorso specifico sul trattamento dei dati personali perché è un tema che si è posto in generale rispetto alla pubblicazione delle immagini dei minori. E su questo la giurisprudenza più risalente era effettivamente più incline a riconoscere il fatto che bastasse la volontà di uno. Un esempio antecedente ovviamente le dinamiche social è quello trattato da una Cassazione del 2006, in particolare la 21172 che era riferito a una domanda di risarcimento dei danni che la madre di un minore avanzava nei confronti dell’altro genitore perché questo genitore, personaggio noto, aveva portato i figli con sé in spiaggia, con la nuova compagna e le fotografie della giornata in spiaggia erano state pubblicate da dei giornali. La nuova compagna in particolare era un personaggio televisivo e in queste fotografie risultava in topless. La madre agisse per risarcimento dei danni provocati nei confronti della propria dignità e della dignità del minore che risultava essere state lese da questa pubblicazione. La Cassazione invece diceva che la partecipazione, la volontà del genitore che aveva permesso che queste foto venissero scattate era sufficiente ad integrare la volontà necessaria alla pubblicazione anche delle immagini dei minori in queste fotografie e che quindi la domanda di risarcimento del danno che la madre aveva avanzato andava rigettata. Un secondo esempio un po’ più recente e che si va più diffondendo è quello per cui si richiede la volontà congiunta dei due genitori. Da questo punro di vista citiamo una ordinanza del Tribunale di Mantova del 2017, che è stata particolarmente studiata e commentata perché è stata una ordinanza abbastanza rilevante, perché qui, per la prima volta, c’è questo cambio di passo un po’ più netto della giurisprudenza, che poi è stato seguito anche da sentenze successive di altri tribunali. In questo caso invece entrando in gioco lo specifico aspetto dei social network (che invece nel caso di prima non c’era perché abbiamo detto che era del 2006), e con riferimento specifico ai social network, invece, la Corte, il giudice mantovano si è pronunciato nel senso di ritenere fondamentale la partecipazione di entrambi i genitori. Il caso qui era quello di genitori tra loro separati, ma con un affido condiviso dei figli minori e nell’accordo di separazione addirittura i genitori avevano scritto di non ammettere la pubblicazione delle foto dei figli su Facebook o comunque i social network. La madre in particolare, si impegnava a non farlo, tuttavia non rispettava questo impegno che era stato preso nell’accordo di separazione e quindi non solo continuava a pubblicare foto dei figli su Facebook, ma nemmeno aveva rimosso quelle che aveva già postato come con il marito si erano detti. Quindi il marito, il padre dei bambini d,ei figli minori, si rivolgeva al giudice chiedendo di inibire questa attività che la moglie continuava a porre in essere e a obbligare alla rimozione delle immagini già pubblicate. Il tribunale dà pienamente ragione al padre. Conferma questa richiesta del padre e il tribunale mantovano in questa ordinanza appunto del 2017 afferma proprio l’imprescindibilità del consenso di entrambi per la pubblicazione delle foto, perché la logica è che la circolazione delle foto dei minori su internet, in particolare i network, è una pubblicazione che non è fine a se stessa, perché nel momento in cui ho posto la foto di mio figlio minore non la sto pubblicando su internet e poi ho la certezza che la posso vedere solo io. Ma il giudice afferma che nel funzionamento dei social network, nel funzionamento della rete è implicita la pericolosità, è implicito il rischio per il minore dato dal fatto che la circolazione dell’immagine poi è incontrollabile. Un’immagine, una volta che viene postata effettivamente, poi può circolare, può giungere anche a dei soggetti sconosciuti che la possono utilizzare in qualsiasi modo. Quindi la pubblicazione dell’immagine del minore è in sé potenzialmente lesiva, potenzialmente rischiosa, potenzialmente pregiudizievole e quindi la soglia di accettabilità della pubblicazione richiede il consenso di entrambi, quindi senza il consenso di entrambi non è possibile, perché il rischio è talmente elevato che è più opportuno evitare questa combinazione.

Altro esempio, Tribunale di Rieti che è di poco successivo perché del 2019 però questa è una sentenza e non ordinanza e qui siamo di fronte ad una situazione invece di genitori separati in cui il padre aveva una relazione con un’altra donna. Questa donna stessa postava le foto dei figli del compagno, figli minori su Facebook e su determinati social e la madre di questi bambini interveniva per richiedere la cancellazione. E anche il giudice di Rieti ha fatto riferimento allo stesso identico principio sancito dal giudice mantovano due anni prima, perché proprio si sancisce la necessità di questa attività condivisa da parte dei genitori perché la diffusione e la circolazione delle immagini sui social network va considerata potenzialmente lesiva. Questa tendenza rientra perfettamente in quello che è in generale la disciplina del rapporto tra genitori e figli, perché il principio che regola l’attività dei genitori nei confronti dei figli, guardiamo gli articoli 315, 315 bis del codice civile, ci dicono proprio che i genitori devono sempre realizzare nei confronti dei figli attività che siano volte a rispondere a quelle che sono le inclinazioni dei figli, le volontà dei figli. La volontà del figlio deve essere presa in considerazione. Quindi anche la volontà del figlio capace di discernimento può essere considerato dal giudice anche nel caso di disaccordo dell’altro genitore. Però sono tutte situazioni che vanno viste nel caso concreto, ciò che occorre è che di fronte allo scontro tra l’esercente la responsabilità genitoriale interviene il giudice e il giudice quando deve decidere rispetto a delle vicende dei fatti che riguardano un minore deve sempre valutare il principio che è riconosciuto a livello ONU del “best interest of the child“. La logica è sempre quella di prendere una decisione che nel caso concreto sia in grado di soddisfare i migliori interessi del minore i best interest of the child. Un esempio in tal senso,sempre di merito, è una decisione del giudice romano in questo caso, in cui c’era uno scontro tra madre e figlio, quindi non tra i genitori ma tra madre e figlio, perché il figlio si scontrava con la madre in quanto questa pubblicava continuamente immagini su Facebook del figlio minore, non solo pubblicava le immagini, ma pubblicava anche post quindi per iscritto in cui descriveva che il figlio aveva determinati problemi e aveva determinate questioni per cui non stava bene e pubblicava tutto ciò su Facebook. Il figlio si rivolgeva quindi al giudice e il giudice riteneva effettivamente di dover intervenire rispetto a questo comportamento della madre perché andava a considerare il comportamento della madre come tale da incidere in modo potenzialmente irrimediabile sul rapporto tra madre e figlio. In particolare, il figlio chiedeva anche che gli venisse consentito di andare a studiare all’estero per allontanarsi dalla madre per tutto il malessere che gli aveva provocato questo suo attivismo sui social e il giudice effettivamente accoglieva la richiesta del figlio sostenendo che il rapporto madre figlio era talmente compromesso dall’utilizzo dei social da parte della madre che solo attraverso l’allontanamento magari si sarebbe potuto ristabilire. Insomma il ruolo del giudice da questo punto di vista è molto importante e sempre deve andare a verificare le situazioni del caso concreto.

Chiudendo sul tema del consenso, il considerando sul diritto all’oblio torna a questo punto del discorso perché rispetto al minore infraquattordicenne il cui consenso viene prestato o autorizzato dal genitore, dobbiamo tenere conto che al compimento dell’età del consenso digitale il minore deve avere la possibilità di confermare quel consenso o altrimenti esercitare il diritto all’oblio rispetto al consenso precedentemente prestato. Proprio perché la logica è che una volta compiuta l’età del consenso digitale, deve essere lui personalmente a prendere una decisione rispetto alla liceità del trattamento dei dati personali. Infatti tornando all’articolo 8, al testo dell’articolo 8, il riferimento è che il trattamento è lecito, le condizioni sono proprio quelle di liceità che richiedono la partecipazione diretta dell’interessato una volta che giunge all’età del consenso digitale.

Ultimo aspetto, il paragrafo 3 dell’articolo 8 che ci dice che il paragrafo 1 (quindi quello riferito alla prestazione, alla liceità del trattamento) non pregiudica le disposizioni generali di diritto dei contratti e questo è un aspetto importante perché il porre un’età del consenso digitale sotto la maggiore età è qualcosa che si pone come eccezione rispetto alla regola e la conferma che sia un’eccezione in realtà, la da lo stesso paragrafo 3 proprio perché dice che questa previsione dell’articolo 8 non incide, non intacca sulle regole, sulle norme degli Stati membri. Quindi tutte le regole che gli Stati membri abbiano rispetto alla validità, all’efficacia di un contratto, non sono minimamente intaccate da questa previsione. Quindi qui cosa succede, succede che poi di volta in volta bisognerà far interagire le norme di diritto dei contratti con le norme sulla protezione dei dati personali, laddove le due debbano essere applicate in un medesimo contesto, perché potremmo essere di fronte ad una situazione in cui il minore ha l’età del consenso digitale, perché magari a 15 anni, però, non avendo raggiunto la maggiore età, non può stipulare un contratto valido. Quindi potremmo essere di fronte ad una situazione in cui il trattamento dei dati personali è lecito, però il contratto a cui il trattamento afferisce è un contratto annullabile perché il rimedio previsto per il contratto stipulato da minori di età è l’annullabilità. Quindi, di fronte all’eventuale annullamento, perché l’annullamento non è automatico, l’annullamento deve essere chiesto dall’interessato entro cinque anni da quando è stipulato il contratto, siamo di fronte a quelle situazioni in cui effettivamente potremmo avere un contratto annullabile, ma un consenso validamente prestato, quindi un trattamento di dati personali è lecito. Ecco, in questi casi l’interazione fra le due discipline ovviamente sarà tale che, in caso di annullamento del contratto, appunto perché stipulato dal minore di età, nell’eventualità di annullamento del contratto allora automaticamente dovrà cessare anche il trattamento di dati personali che da quel contratto dipende, proprio perché non toccandosi le regole sulla esecuzione, l’efficacia e la validità dei contratti stipulati dai minori, sarà necessario poi di volta in volta far interagire le due discipline.

I diritti dell’interessato: accesso ai dati, rettifica dei dati, cancellazione dei dati, oblio, limitazione del trattamento, portabilità dei dati, opposizione al trattamento.

Passiamo a vedere quali sono i diritti dell’interessato che fanno un po’ da contraltare rispetto a quelli che sono gli obblighi dei titolari del trattamento proprio perché tutti i vari obblighi poi vanno a specificarsi nei diversi diritti che vengono riconosciuti, guardiamo agli articoli da 15 in poi del GDPR e in particolare il diritto di accesso ai dati personali, il diritto di rettifica, di integrazione, di cancellazione e che sono diritti un po’ più noti anche nella disciplina della privacy precedente e poi in particolare il diritto all’oblio e il diritto alla portabilità dei dati sono invece dei diritti di introduzione recente perché sono del GDPR stesso. Nel complesso quello che ci interessa è avere chiaro che tutti questi diritti in modo appunto complessivo vanno a rendere esercitabile in concreto il più ampio diritto all’autodeterminazione per quanto riguarda il controllo, il trattamento, la protezione dei dati personali, quindi in generale parliamo di autodeterminazione rispetto alle proprie informazioni. Iniziamo con l’accesso, l’accesso di cui all’articolo 15 del GDPR. L’accesso come già dal nome possiamo facilmente intuire è volto ad accedere, a reperire, a ottenere delle informazioni. Informazioni rispetto alle finalità del trattamento, alle categorie di dati che vengono trattati (sono dati comuni o se sono i dati particolari dell’articolo nove), informazioni rispetto al soggetto titolare del trattamento, al periodo per cui è previsto il trattamento dei dati o informazioni rispetto ai propri diritti. Banalmente un interessato che non conosce quali sono i propri diritti perché non conosce la normativa ha diritto di accedere a queste informazioni, di chiederle al titolare, o ancora importante il diritto a conoscere se delle proprie informazioni saranno utilizzate per attività interamente automatizzate, ovvero i processi decisionali automatizzati. La logica è sempre quella di garantire che il soggetto interessato al trattamento dei propri dati possa nel tempo mantenere un controllo, anche dopo che il trattamento è iniziato e quindi, per esempio, verificare se effettivamente le condizioni di liceità del trattamento perdurano, se il soggetto titolare sta rispettando le finalità che aveva dichiarato e così via.

Proprio perché riguarda il mantenimento del controllo rispetto alle proprie informazioni, il diritto all’accesso è un diritto che possiamo esercitare sempre. Quindi non è possibile un rapporto tra titolare e interessato in cui il diritto d’accesso sia subordinato, ad esempio, ad un certo tempo. Posso chiedere l’accesso in qualsiasi momento per cui perduri il trattamento. Questa logica è fondamentale proprio perché in ogni momento si ha diritto di conoscere come si sta svolgendo questo rapporto che riguarda il trattamento dei nostri dati e poi perché l’accesso tra tutti i diritti è un po’ il diritto che viene esercitato in apertura, l’accesso in qualche modo è strumentale all’esercizio dei diritti successivi, perché se voglio esercitare il diritto alla cancellazione magari prima esercito un accesso per conoscere meglio le dinamiche e poi valuto che effettivamente voglio procedere alla cancellazione di dati. Quindi nessun vincolo temporale. E poi l’altra cosa importante è che nel momento in cui lo esercito, il titolare mi deve rispondere innanzitutto entro un tempo ragionevole quindi così come io interessato non ho limiti di tempo per fare la richiesta, dall’altra parte invece il titolare ha dei limiti di tempo per rispondere alla mia richiesta. Si dice entro un termine ragionevole, ovviamente in considerazione delle tecnologie a disposizione del titolare e delle sue esigenze organizzative, però deve farlo entro un tempo appunto ragionevole, al più tardi entro un mese dalla richiesta. Questo periodo di un mese può essere anche prorogato fino a un massimo di due mesi, purché il titolare, quindi questo è fondamentale, purché il titolare comunichi all’interessato il ritardo, quindi la necessità di questa proroga che deve essere effettivamente necessaria al titolare e quali sono le ragioni che la rendono necessaria, quindi deve essere trasparente al massimo rispetto al motivo per cui questa risposta esiterà ad essere fornita all’interessato proprio perché la regola sarebbe che deve farlo entro un tempo ragionevole e senza ingiustificato ritardo. Per quanto riguarda poi la forma di questa risposta, la forma di questa risposta è libera, le informazioni che il titolare fornirà all’interessato possono essere fornite in qualunque forma, quindi sia cartacea, telematica o che sia in formato audio o che sia in formato video, purché la forma in questione sia intellegibile. Inoltre, oltre al limite diciamo della intellegibilità, l’altra caratteristica fondamentale delle informazioni che vengono fornite a seguito di accesso è che devono essere fornite in modo completo e chiaro.

Di regola, l’esercizio dell’accesso non prevede un pagamento. Per evitare però che un interessato possa abusare del diritto che ha di accedere alle informazioni, allora di fronte ad una richiesta reiterata delle informazioni, il titolare può richiedere, può addebitare un contributo di spese all’interessato, e sarà un contributo che ovviamente dovrà essere parametrato in base ai costi amministrativi necessari all’adempimento della richiesta e quindi per giudicare che questi costi richiesti siano corrispondenti a quanto effettivamente ammonta l’onere amministrativo in questione, bisogna anche documentare queste spese. Quindi di regola non si paga nulla però, purché siano documentati e di fronte a richieste reiterate è possibile addebitare il costo dell’accesso. Ultimo aspetto legato all’accesso è che l’esercizio dell’accesso è subordinato dall’articolo 15 alla identificazione dell’interessato, quindi il titolare deve poter identificare il soggetto interessato. Oltre a dare le proprie generalità per il resto l’interessato non deve addurre nessun tipo di motivazione, quindi qualunque sia il motivo per cui sto esercitando l’accesso non devo giustificarmi con il titolare, lo esercito senza dover motivare il perché della mia richiesta. Se ponesse degli ostacoli, se ponesse limitazioni rispetto all’esercizio dei suoi diritti allora andrebbe contro a quel principio di correttezza già trattato. Quindi qui ritroviamo un’altra concretizzazione del principio della correttezza che è proprio quella da parte del titolare di permettere all’interessato di esercitare nel modo più semplice possibile i suoi diritti. Le stesse regole legate ai tempi di esercizio del diritto e di risposta da parte del titolare, valgono per l’accesso e valgono anche per i diritti di integrazione, di rettifica (articolo 16 del GDPR). Questi diritti sono dei diritti che in qualche modo vanno a tutelare in modo più specifico, più mirato, il diritto all’identità personale dell’interessato perché la rettifica e l’integrazione sono dei diritti che permettono attraverso il loro esercizio di contestualizzare, di completare, di aggiornare le informazioni che compongono la rappresentazione verso l’esterno della persona e quindi in questo modo rendere questa rappresentazione pienamente aderente alla realtà attuale di quel soggetto e quindi a tutelarne l’identità personale. Perché la logica è che se rispetto alla mia identità personale, la rappresentazione che si fa della stessa è una rappresentazione che si basa su informazioni incomplete o informazioni non aggiornate, allora la rappresentazione che esce fuori della mia persona è una rappresentazione falsata, non corretta e quindi lesiva della mia identità personale. Attraverso l’esercizio del diritto alla rettifica e all’integrazione si interviene proprio da questo punto di vista e quindi si ricostituisce con il maggior grado possibile di accuratezza la mia rappresentazione perché andiamo a completare tutte le informazioni che non dovessero essere aderenti. Quello che dobbiamo sempre pensare è che tutto ciò che è incompleto in questo tipo di contesto, inesatto, poco chiaro, rende l’informazione in qualche modo falsata e in generale la logica è sempre quella per cui l’informazione falsata può divenire in determinati modi lesiva della nostra identità personale.

In modo complementare a questi diritti di accesso, rettifica, integrazione è la cancellazione e l’oblio, siamo nell’articolo 17. Se io interessato mi rendo conto che sono di fronte a determinati motivi che l’articolo 17 mi elenca, posso chiedere la cancellazione dei dati che mi riguardano. Alcuni esempi sono per esempio il fatto che quei dati non siano necessari alle finalità che il titolare sta perseguendo e qui stiamo concretizzando per esempio il principio di minimizzazione, oppure i dati che ho fornito non sono necessari davvero alle finalità che il titolare persegue, quindi li cancello perché non li servono. Ancora, il trattamento ha come condizione di liceità il mio consenso, io revoco il mio consenso, quindi viene meno la condizione di liceità, chiedo la cancellazione. Oppure scopro che il trattamento dei dati si sta realizzando in modo illecito e quindi chiedo la cancellazione; tutta una serie di motivi per cui posso chiedere la cancellazione. Però proprio perché ci sono delle situazioni in cui mi devo trovare, riguardo alla cancellazione non siamo di fronte ad un diritto esercitabile senza motivarlo, proprio perché è necessario ritrovarsi in determinate situazioni che appunto l’articolo 17 ci elenca. Peraltro anche quando la nostra richiesta è fondata, la cancellazione, nel senso di distruzione di dati, non è l’unico modo in cui si può soddisfare la richiesta dell’interessato perché sicuramente la distruzione dei dati che sono nella disponibilità del titolare è un primo modo, però sono idonei a soddisfare il diritto di cancellazione anche altre attività, in particolare la anonimizzazione dei dati, qualsiasi attività che renda impossibile reidentificare il soggetto. Quindi cancellare questi dati non è l’unica cosa che il titolare può fare, ma lo stesso scopo si può raggiungere anche rendendo anonimi questi dati con le tecnologie a disposizione, purché appunto sia fatto in un modo tale da rendere impossibile che i dati anonimi che restano, permettano di reidentificare il soggetto a cui si riferivano. Tant’è che mentre la anonimizzazione è possibile perché caratteristica della anonimizzazione è proprio questa scissione in qualche modo definitiva tra informazione e persone a cui si riferiscono, d’altra parte lo stesso scopo non si potrebbe raggiungere con la pseudonimizzazione, quindi con l’attribuzione ai dati di uno pseudonimo, pseudonimizzazione dei dati. Proprio perché nella pseudonimizzazione, rispetto alla anonimizzazione dei dati, non c’è questo elemento di definitività, perché se attribuisco uno pseudonimo rispetto ad un dato, in un secondo momento potrei di nuovo identificare il soggetto, invece se lo rendo anonimo automaticamente non posso reidentificare la persona a cui si riferivano. Quindi la cancellazione si può realizzare in tutti i modi con cui rendo irreversibile il collegamento tra un dato, un’informazione e una persona. Ovviamente anche qui teniamo sempre conto che a tutela del titolare vige sempre il principio di proporzionalità, per cui tutte queste attività si possono pretendere nella misura in cui il titolare abbia poi la possibilità a livello di costi, di tecnologie e di organizzazione propria, per soddisfare la richiesta. Ovviamente nel caso in cui il titolare aveva anche trasmesso a dei terzi i nostri dati di cui chiediamo la cancellazione, quindi rispetto ai quali esercitiamo il diritto alla cancellazione, il titolare dovrà rivolgere anche a questi terzi l’indicazione rispetto alle attività che ha svolto per la cancellazione e quindi questi terzi che avevano ricevuto i nostri dati saranno tenuti a fare altrettanto.

Nella pratica quello che succede è che il soggetto interessato spesso e volentieri esercita il diritto alla cancellazione principalmente in casi in cui si rende conto che il trattamento viene realizzato in assenza di un fondamento, in assenza di una condizione di liceità. In tutti questi casi il titolare può effettivamente rispondere anche in modo diverso rispetto all’accoglimento della richiesta, ad esempio il titolare potrebbe non accogliere la mia richiesta e dimostrare che il fondamento giustificativo del trattamento sussiste perché siamo nelle condizioni di liceità dell’articolo sei, e allora potrebbe respingere la nostra richiesta e quindi continuare il trattamento, verificando che effettivamente la richiesta non sia fondata.

L’articolo 17 fa anche riferimento al diritto all’oblio. Il diritto all’oblio è un diritto di nuova introduzione nel GDPR. È un diritto che conosciamo già da prima però se ne parla per la prima volta a livello normativo nel contesto del trattamento dei dati. Quindi noi conoscevamo già il diritto all’oblio con riferimento alla tutela di quella che oggi chiamiamo riservatezza, la privacy intesa come riservatezza. Con il GDPR a livello normativo entra in gioco l’oblio anche rispetto al trattamento dei dati. Sottolineo a livello normativo perché, come vi dico tra poco, la giurisprudenza aveva iniziato già a toccare questo aspetto. Allora in generale mi pare che lo avessimo già accennato nella prima lezione, il diritto all’oblio è il diritto ad essere dimenticati. Quindi il diritto di una persona a chiedere che determinate notizie sul suo conto, trascorso un certo periodo di tempo, vengano cancellate. Perché? Perché ormai risultano dimenticate o comunque sconosciute, ignote alla generalità dei consociati e quindi non c’è più interesse a venirne a conoscenza. Quindi anche delle notizie che tempo addietro erano state legittimamente divulgate, erano state pubblicate in un certo momento storico in modo del tutto legittimo, tempo dopo si può richiedere che vengano cancellate proprio perché non rivestono più un interesse, non hanno più interesse ad essere conosciute. Ed essere conosciute vuol dire ad essere divulgate attraverso i circuiti dell’informazione che un tempo erano soltanto i giornali o al massimo la televisione, ormai anche e quasi principalmente su internet. Quindi il criterio principale, sicuramente per verificare la fondatezza della richiesta di esercitare il diritto all’oblio è il trascorrere del tempo. Quindi è necessario che sia trascorso un tempo tale che abbia fatto perdere rilevanza alla notizia. A meno che poi non siano nel frattempo emersi dei fatti nuovi o comunque determinate dinamiche che in qualche modo riescono ad integrare il quadro che si era delimitato anni addietro, tempo addietro. Però a meno che non ci siano questi fatti nuovi o comunque questi aspetti che un tempo non erano noti allora diciamo effettivamente passato un certo periodo di tempo si può dire che la notizia non sia più di interesse per la collettività. 

Un altro diritto è quello alla limitazione del trattamento. Il diritto alla limitazione del trattamento è previsto dall’articolo 18 del GDPR. Ed è un diritto che può essere esercitato soltanto nei casi indicati dall’articolo 18 che sono quattro. Sono quindi delle ipotesi tassative. Vuol dire che non sono degli esempi di situazioni in cui può essere esercitato, ma sono proprio le uniche ipotesi in cui si può esercitare la limitazione. La prima ipotesi è quella in cui l’interessato contesta l’esattezza dei dati, quindi sostiene che i dati non siano esatti, i dati sul suo conto, e quindi per il periodo necessario a verificare l’esattezza o meno di questi dati, il titolare per rispondere al diritto di limitazione, sospende – limitazione nel senso di sospensione in questo caso – sospende il trattamento. Una seconda ipotesi, quella alla lettera b dell’articolo 18, è quella situazione in cui il trattamento risulti essere illecito, però l’interessato chiede al titolare di limitare l’utilizzo dei dati ma comunque di non interrompere definitivamente il trattamento. Quindi evidentemente sono situazioni in cui il trattamento si rivela essere illecito però l’interessato ha comunque dei motivi per preferire che il trattamento continui seppur in modo limitato e quindi chiede la limitazione ma anche la prosecuzione del trattamento stesso. Una terza ipotesi, lettera c dell’articolo 18, è quella in cui i dati non sono più necessari al titolare, però di nuovo l’interessato chiede che ci sia una limitazione del trattamento alla sola conservazione dei dati perché evidentemente questa conservazione gli serve per l’accertamento o l’esercizio dei suoi diritti in sede giudiziaria. Quindi se magari quei dati li devo utilizzare perché mi servono in sede giudiziaria allora chiedo che seppure il titolare non abbia più motivo per trattare i dati, comunque limiti il trattamento alla sola conservazione e li conservi così che io li possa utilizzare in sede giudiziaria. Poi ultima ipotesi, quella della lettera d, in cui l’interessato si oppone al trattamento che è necessario per un legittimo interesse del titolare e quindi, in questo caso (come nel primo, quello della lettera a), il titolare limiterà il trattamento nel periodo che è necessario a verificare che il suo legittimo interesse prevale sull’interesse del soggetto i cui dati personali vengono trattati. Ora da questa descrizione si capisce che le ipotesi più simili tra loro sono la prima e l’ultima e le due in mezzo. Perché la prima e l’ultima si coglie la loro natura cautelare. La logica è impedire la prosecuzione del trattamento per il periodo necessario all’accertamento di una situazione che è invece incerta: prima ipotesi quella dell’esattezza dei dati o meno, secondo ipotesi quella della necessarietà o meno del trattamento per legittimo interesse. E quindi per il periodo di tempo, per questo si parla di natura cautelare, per il periodo di tempo necessario all’accertamento di queste situazioni si limita il trattamento alla sola conservazione. Poi nel caso in cui si rileva che i dati sono esatti o il legittimo interesse del titolare prevale su quello dell’interessato, allora il titolare ne darà comunicazione all’interessato e riprenderà il trattamento così come lo svolgeva prima. Invece, nel caso in cui la verifica rispetto all’esattezza, rispetto alla prevalenza dell’interesse, dia ragione all’interessato allora poi l’interessato potrà chiedere la cancellazione dei dati o potrà insomma decidere come procedere. Nei casi invece delle lettere b e c, e quindi quelle riguardanti le richieste dirette di limitazione da parte del dell’interessato (nel primo caso abbiamo detto anche se il trattamento è lecito e nel secondo caso abbiamo detto quando i dati serve che siano conservati perché il soggetto interessato li utilizzi in sede giudiziaria), allora in questi casi finché perdura la limitazione, i dati saranno comunque trattati dal titolare, quando poi finisce questo periodo, allora si procederà alla cancellazione di questi dati. Nel primo caso, perché il trattamento è illecito, quindi comunque l’illiceità del trattamento comporta la cancellazione, nel secondo caso perché il trattamento non è più necessario e quindi si procede alla cancellazione. Ciò che rileva però è che comunque ci si debba trovare in una di queste quattro ipotesi, non è possibile chiedere la limitazione del trattamento per ipotesi diverse da queste quattro. Quindi l’interessato potrà richiederlo in queste quattro ipotesi che però non deve descrivere. Quindi la richiesta deve partire dall’interessato che però non deve dire “mi sto ritrovando nell’ipotesi della lettera a, b, c o d”, deve semplicemente avanzare la richiesta. Poi, se il titolare non vuole soddisfare queste richieste, sarà lui a dover dimostrare che non si è all’interno del perimetro delineato dall’articolo 18 e quindi risponderà che non intende procedere alla limitazione del trattamento, dando dimostrazione dell’infondatezza della richiesta perché non aderente all’elenco dell’articolo 18. Quando invece deve soddisfare la richiesta come lo fa? Da un punto di vista tecnico quello che deve fare, quello che deve svolgere, è un’attività di contrassegno dei dati, deve in qualche modo imprimere sui dati interessati dalla richiesta un vincolo di inutilizzabilità, cioè questi dati devono dal punto di vista tecnico non essere più utilizzati, né essere considerati utilizzabili e si dovrà limitare alla loro conservazione. Diciamo che questa marcatura, questo contrassegno dei dati interessati dalla richiesta può avvenire poi in qualsiasi modo, sta al titolare individuare il modo in cui limiterà il trattamento. Quindi ad esempio, li può trasferire in un sistema di trattamento diverso da quello dove sono, oppure li può rendere inaccessibili, oppure li può rimuovere. Insomma, il modo in cui lo fa è nella sua discrezionalità, purché appunto soddisfi la richiesta, ovviamente sempre con il solito principio di proporzionalità, nei limiti di quanto gli è possibile in base ai costi che questa operazione comporta, in base alle sue tecnologie a disposizione.

Altro articolo che come l’oblio è stato introdotto nel GDPR per la prima volta è il diritto alla portabilità dei dati. Il diritto alla portabilità è un diritto che forse più di tutti esprime quella doppia anima del GDPR e cioè di tutela contestuale della persona nella rappresentazione della identità personale attraverso i dati e contestualmente tutela del mercato attraverso la circolazione dei dati. Perché il diritto alla portabilità è proprio funzionale non solo appunto a tutela della persona ma anche proprio al funzionamento del mercato digitale. Proprio perché la trasmissione dei dati in cui la portabilità tipicamente si realizza, permette una circolazione dei dati che possono essere utilizzati anche a livello di mercato, anche a livello di attività svolta dai professionisti del mercato in qualunque tipo di settore, e quindi poi è in questo modo la loro circolazione in qualche modo permette di generare ricchezza appunto anche per gli operatori economici e quindi aumentare e favorire la concorrenza nelle dinamiche di mercato. Innanzitutto il primo strumento, la prima estrinsecazione della portabilità è proprio quella della trasmissione, quindi si richiede la trasmissione di dati che sono in capo a un certo titolare, ad un altro titolare. E questo deve avvenire, prevede l’articolo 20 del GDPR, in un modo che sia accessibile, che sia chiaro, che sia strutturato, si dice interoperabile, nel senso che il titolare che trasmette i dati di cui dispone all’altro titolare deve farlo in modo tale che questo titolare possa utilizzare questi dati. Però poi la portabilità in generale è qualcosa che permette effettivamente anche il loro accesso e il loro riutilizzo. Cioè quando trasmetto devo poi permettere al secondo titolare di utilizzarli perché se li trasmetto in un formato per cui poi il titolare che li riceve non li può utilizzare allora non se ne fa niente. Quindi il diritto alla portabilità include in sé non solo la trasmissione ma anche la possibilità di accedervi, di riutilizzarli, di riceverli, di mantenerli, di conservarli. Deve essere reso possibile tutto questo e la ratio appunto è quella di rendere il più semplice possibile la circolazione di questi dati facendo, sempre attenzione alla tutela della persona, perché la loro circolazione permette di favorire la concorrenza sul mercato. L’articolo 20, però, delimita quali sono i dati che possono essere oggetto di portabilità. Innanzitutto non tutti i dati possono essere oggetto di portabilità. In particolare, l’articolo 20 prevede che siano portabili i dati trattati con mezzi automatizzati e la cui condizione di liceità si fondi su un consenso, oppure sulla conclusione di un contratto. Quindi le uniche ipotesi sono queste: la condizione di liceità, quella del consenso e quella del contratto (le lettere a e b dell’articolo 6). Non tutti i dati, quindi, possono essere oggetto della portabilità, innanzitutto per i parametri sopra accennati e poi perché non possono essere oggetto di portabilità i dati che sono stati oggetto di esercizio dell’oblio, proprio perché una volta che sono stati cancellati non sono più nella disponibilità del titolare, né tantomeno possono essere portati, trasmessi, i dati anonimi proprio perché rispetto ai dati anonimi manca quel collegamento tra informazione e persona e quindi non posso pretendere che vengono trasferiti dei dati anonimi. Per il resto, di regola, le rappresentazioni digitali dell’interessato con tutte le informazioni personali che lo riguardano tendenzialmente possono essere trasmesse, addirittura posso trasmettere quei dati che ho generato mediante le mie attività. Quindi se utilizzando un certo sito, ho generato una serie di dati riferiti alle mie ricerche, alla mia navigazione, o i cookie che ho generato, oppure la mia cronologia delle ricerche, oppure ho utilizzato dei dati riferiti alla mia localizzazione, tutti questi dati che ho generato attraverso la mia diretta attività li posso trasferire perché sono stati generati dalla mia attività concreta e diretta. Però, se questi dati sono stati poi utilizzati dal titolare del trattamento in modo da analizzarli e da queste analisi, principalmente l’analisi basata sul calcolo delle probabilità, sono stati generati dei nuovi dati, questi nuovi dati non possono essere oggetto della trasmissione, oggetto della portabilità, proprio perché sono dati analizzati dal titolare, quindi su cui il titolare ha svolto un’attività di analisi, sono i cosiddetti dati inferenziali e i dati derivati, di questi dati non può essere chiesta la trasmissione perché non sono soltanto generati dall’interessato, ma sono rielaborati dal primo titolare in un modo tale che impedisce la trasmissione. Proprio perché sono oggetto di tutta un’attività di lavoro che è stata svolta dal titolare e che in qualche modo, sempre nelle logiche di favore per il mercato, della concorrenza, rappresentano una conoscenza, un vantaggio conoscitivo, un know how che per quel titolare diventa un vantaggio economico sugli altri concorrenti e quindi per il funzionamento del mercato è considerato in qualche modo lesivo poi della sua attività la richiesta della loro trasmissione. Quindi ci fermiamo appunto soltanto ai dati che sono stati generati direttamente dall’interessato.

Altro diritto è previsto all’articolo 21 ed è il diritto di opposizione al trattamento. Il diritto di opposizione si realizza attraverso una dichiarazione di volontà con cui l’interessato esprime appunto la volontà di interrompere il trattamento in via definitiva. Ovviamente al titolare resta la possibilità di dimostrare la mancanza di motivi che giustificano questa interruzione e quindi se riesce a dimostrarlo può procedere nel trattamento. L’articolo 21 prevede in particolare che il titolare si debba astenere dal trattamento dei dati, quindi che debba interrompere il trattamento. A questo punto, è il momento in cui deve astenersi dal trattamento, implicitamente la norma richiede anche che li cancelli, perché, come già detto più volte, la semplice conservazione del dato è di per sé un trattamento (tant’è che abbiamo detto che quando limitiamo il trattamento svolgiamo solo l’attività di conservazione), quindi se si deve astenere dal trattamento, anche la conservazione è un trattamento e quindi è ritenuta in contrapposizione con l’esercizio della opposizione. Quindi l’opposizione dovrebbe includere automaticamente la cancellazione, a meno che il titolare non riesca a dimostrare che non sussistono i motivi per cui il  soggetto interessato può avanzare questo tipo di richiesta. L’opposizione, infatti, si può richiedere solo in due casi e cioè nei casi in cui il trattamento abbia come condizione di liceità le previsioni delle lettere e ed f dell’articolo 6. Le previsioni dell’articolo 6 sono quando il trattamento è necessario per l’esecuzione di un compito di pubblico interesse di cui viene rivestito il titolare e poi la lettera f invece quando il trattamento è necessario per il perseguimento di un legittimo interesse del titolare. Solo quando la condizione di liceità è una di queste due si può esercitare l’opposizione. Ovviamente quando si è in questa ipotesi, poi l’opposizione può essere esercitata in qualsiasi momento e poi starà al titolare dimostrare che la richiesta non può essere soddisfatta perché effettivamente il pubblico interesse nella lettera e e il legittimo interesse del titolare della lettera f, prevalgono sull’interesse dell’interessato e quindi il trattamento può effettivamente continuare, in quanto non ci sono dei motivi validi per ritenere prevalente l’esercizio di questo potere inibitorio, di questo potere di interrompere il trattamento. Quindi per l’interessato, nel caso in cui ci si trovi di fronte alle situazioni previste dalla lettera e ed f, è semplice fare questa richiesta, perché deve semplicemente dire perché vuole avvalersi di questo diritto però poi non deve dimostrare nulla, starà al titolare dover dimostrare che l’interesse dell’interessato è meno rilevante nel bilanciamento che bisogna sempre fare rispetto agli interessi indicati alle lettere e ed f dell’articolo 6, che appunto sono condizioni di liceità del trattamento.