Diritto alla riservatezza, privacy e protezione dei dati personali. Evoluzione normativa in Italia e nell\u2019UE e terminologia di base del GDPR.<\/p>\n\n\n\n
Penso che partire dal diritto alla privacy sia fondamentale proprio perch\u00e9 \u00e8 un po\u2019 il centro, oltre che il punto di partenza appunto di ogni discorso che riguarda la tutela e la protezione dei dati. Innanzitutto dobbiamo dire che cos\u2019\u00e8 la privacy, il concetto di privacy si \u00e8 molto evoluto negli anni ed \u00e8 un concetto in continua evoluzione perch\u00e9 ha seguito, segue e continua a seguire l\u2019evoluzione delle tecnologie e in particolare delle tecnologie informatiche.<\/p>\n\n\n\n
Il diritto alla privacy nasce in origine nell\u2019Ottocento negli Stati Uniti, nasce nella sua concezione di diritto alla riservatezza. Quindi noi partiamo da una concezione della privacy che coincide del tutto con la riservatezza. In questo significato originario quindi stiamo andando a tutelare la sfera giuridica soggettiva personale, quella che \u00e8 l\u2019intimit\u00e0 della vita privata e quindi non tanto ovviamente a livello fisico, di solitudine fisica, di lasciar soli fisicamente, ma anche inteso come di evitare l\u2019intrusione nell\u2019intimit\u00e0 della vita del soggetto e quindi a difesa di quelli che sono i valori di dignit\u00e0 di autonomia dell\u2019individuo rispetto appunto alla sua persona. <\/p>\n\n\n\n
Questo diritto muta nel tempo perch\u00e9 di fronte ad una societ\u00e0 sempre pi\u00f9 digitalizzata, di fronte ad una societ\u00e0 sempre pi\u00f9 toccata dalle innovazioni del digitale e quindi da tutte le tecnologie informatiche, in qualche modo cambia e da diritto alla riservatezza in questo senso inteso passiamo ad una logica quasi pi\u00f9 di diritto di libert\u00e0 informatica. Diritto di autodeterminazione informatica, diritto di protezione rispetto ai propri dati personali. Ovviamente sempre nella logica dell\u2019utilizzo di questi dati che ci riguardano da parte di terzi. <\/p>\n\n\n\n
Perch\u00e9 parliamo della societ\u00e0 odierna come societ\u00e0 dell\u2019informazione?<\/strong><\/p>\n\n\n\n Perch\u00e9 \u00e8 un contesto in cui, soprattutto grazie alle spinte del digitale, l\u2019informazione circola in dei modi completamente nuovi rispetto al passato. Con una velocit\u00e0, con una capacit\u00e0 di diffusione nettamente pi\u00f9 estesa rispetto a quanto poteva avvenire prima dell\u2019avvento delle tecnologie informatiche e quindi richiede un cambio di passo, un cambio di considerazione perch\u00e9 soprattutto attraverso l\u2019utilizzo di internet, chiunque \u00e8 in grado in qualsiasi momento, in qualsiasi luogo, di accedere a informazioni che quindi devono essere a questo punto adeguatamente tutelate. Perch\u00e9 chiunque pu\u00f2 fare accesso, chiunque le pu\u00f2 memorizzare, le pu\u00f2 utilizzare e conseguentemente le pu\u00f2 anche riutilizzare, pu\u00f2 combinarle: pu\u00f2 combinare le informazioni tra loro<\/span>. E questo ha una rilevanza rispetto a quello che pu\u00f2 emergere da questa combinazione delle informazioni e quindi dei dati personali delle persone, perch\u00e9 ovviamente attraverso la combinazione di diverse informazioni posso avere delle rappresentazioni virtuali delle persone<\/span> e attraverso queste rappresentazioni virtuali delle persone allora le posso in qualche modo categorizzare, individualizzare rispetto ai loro gusti, alle loro preferenze, alle loro abitudini. Da qui l\u2019originario diritto alla riservatezza come \u201cright to be let alone<\/em>\u201d ovviamente diventa un po\u2019 insufficiente e quindi si richiedono delle nuove forme di tutela delle persone fisiche.<\/p>\n\n\n\n Un primo momento di questo percorso si ha innanzitutto con il Trattato sul Funzionamento dell\u2019Unione Europea (l\u2019articolo 16), con il Trattato sull\u2019Unione Europea (all\u2019articolo 39) e in particolare la Carta di Nizza. La Carta di Nizza \u00e8 la Carta dei diritti fondamentali dell\u2019Unione Europea che all\u2019articolo 8 esprime la definitiva separazione tra la vecchia concezione della privacy e la nuova concezione della privacy, quindi da riservatezza a protezione del trattamento dei dati personali. Perch\u00e9 all\u2019articolo 8 della Carta di Nizza viene proprio posto il diritto alla protezione dei dati personali come un diritto che ha una posizione del tutto autonoma e distinta rispetto alla riservatezza, che infatti \u00e8 indicata nella Carta di Nizza l\u2019articolo 7. Quindi abbiamo l\u2019articolo 7 che ci parla della riservatezza e quindi del diritto alla riservatezza rispetto alla propria vita familiare e personale privata e poi l\u2019articolo 8 invece il diritto alla privacy modernamente inteso e quindi come diritto di ogni individuo ad essere tutelato di fronte al trattamento dei dati personali che lo riguardano.<\/p>\n\n\n\n Da un punto di vista invece pi\u00f9 strettamente di legislazione nazionale, il primo intervento italiano di riconoscimento del diritto alla protezione dei dati personali lo abbiamo nel 1996. Nel 1996 il legislatore recepisce con la legge 675 la direttiva del 1995 n.46. Quindi la prima legge italiana \u00e8 la 675 del 96 di recepimento della direttiva 46 del 95 che poi \u00e8 stata in un secondo momento modificata e integrata dal decreto legislativo del 2003 n. 196<\/strong>; quest’ultimo \u00e8 quello che noi chiamiamo Codice della Privacy<\/strong>. La nostra principale fonte a livello nazionale che finalmente contiene norme relative al trattamento dei dati personali in una duplice ottica: non soltanto come tutela dei diritti della personalit\u00e0 (tutela dell\u2019individuo in quanto tale), ma anche con un primo approccio di regolazione rispetto alla circolazione dei dati personali.<\/p>\n\n\n\n Questo aspetto \u00e8 estremamente importante perch\u00e9 poi \u00e8 al centro del regolamento del 2016, il Regolamento Europeo del 2016 n.679<\/strong>, che \u00e8 noto con l\u2019acronimo GDPR<\/strong> che sta per General Data Protection Regulation<\/em>: \u00e8 oggi la nostra fonte principale. Non \u00e8 venuto meno il Codice della Privacy, \u00e8 ancora in vigore, per\u00f2 \u00e8 stato completamente toccato dalla presenza del GDPR. Innanzitutto una nota sulla fonte normativa: il regolamento. Siamo di fronte ad un regolamento dell\u2019Unione Europea, il Regolamento \u00e8 una fonte normativa comunitaria estremamente importante perch\u00e9 il Regolamento \u00e8, in quanto tale, direttamente applicabile in tutti gli Stati membri. Ci\u00f2 vuol dire che con il Regolamento si vanno a perseguire obiettivi di uniformazione. Questo aspetto \u00e8 estremamente importante perch\u00e9 il precedente atto normativo dell\u2019Unione Europea era stata una direttiva (la direttiva del 1995 n. 46) e questo \u00e8 un cambio anche a livello culturale estremamente importante perch\u00e9 la direttiva come fonte di produzione normativa europea ha una funzione diversa. La direttiva deve essere recepita negli ordinamenti nazionali. quindi serve un atto normativo del legislatore nazionale che recepisca la direttiva e le direttive non devono essere applicabili cos\u00ec come sono scritte, perch\u00e9 le direttive impongono obblighi agli Stati da un punto di vista delle finalit\u00e0, ma non dal punto di vista delle modalit\u00e0 di perseguimento del fine. Pertanto il modo in cui si persegue la finalit\u00e0 pu\u00f2 cambiare da Stato a Stato e questo \u00e8 estremamente rilevante in questa materia, perch\u00e9 se la direttiva deve essere recepita da ogni Stato, ogni Stato, poi, ha la propria legge interna di regolazione di un certo fenomeno, in questo caso la protezione dei dati personali e ci\u00f2 pu\u00f2 condurre ad una frammentazione, frammentazione a livello comunitario pu\u00f2 voler dire incertezza e quindi siamo di fronte poi ad un sistema che prevede delle tutele diverse in base allo Stato di appartenenza. Quindi con il Regolamento abbiamo la uniformazione del diritto e con le direttive la cosiddetta armonizzazione. <\/p>\n\n\n\n Ci si \u00e8 resi conto negli anni che il progresso delle tecnologie informatiche era talmente significativo che occorreva intervenire in modo pi\u00f9 incisivo a livello comunitario e quindi si sceglie la strada del Regolamento e il legislatore italiano ha dovuto prevedere con un decreto legislativo, il Decreto legislativo n.101 del 2018<\/strong>, delle norme di coordinamento tra la vecchia disciplina, quindi quella del Codice della Privacy del 2003, e la nuova disciplina del GDPR che \u00e8 del 2016 ed entrato in vigore nel maggio 2018. Quindi il decreto legislativo 101 del 2018 si \u00e8 dovuto occupare di coordinare la disciplina nazionale con quella comune a tutti gli Stati membri dell\u2019Unione europea.<\/p>\n\n\n\n Un aspetto estremamente rilevante del GDPR \u00e8 che il GDPR porta alla massima valorizzazione e alla massima esaltazione quel dualismo che indicavo prima con riferimento al Codice della Privacy. Perch\u00e9 il GDPR segue un\u2019impostazione duale che per\u00f2 non va letta in una logica di contrapposizione ma invece come una complementariet\u00e0 degli obiettivi che persegue: da un lato il GDPR ha come obiettivo fondamentale la protezione dell\u2019interessato, quindi il soggetto che subisce il trattamento dei suoi dati personali, accanto c\u2019\u00e8 per\u00f2 quello della promozione e della tutela della circolazione dei dati. Questa promozione, questa tutela va oltre la sfera dell\u2019individuo perch\u00e9 si pone pi\u00f9 in una logica di mercato. Il mercato, l\u2019economia attuale \u00e8 strettamente fondata attorno alla circolazione dei dati e quindi automaticamente occorreva guardare non solo alla logica della persona, ma anche alla regolazione del fenomeno per come tocca gli aspetti che riguardano l\u2019economia.<\/p>\n\n\n\n La logica diviene quindi quella di tutelare l\u2019individuo e regolare la circolazione delle informazioni.<\/em><\/strong><\/p>\n\n\n\n E quindi possiamo dire che rientra a pieno titolo in quelli che ad oggi consideriamo i diritti fondamentali delle persone, il diritto alla protezione dei dati personali. E sono dei diritti fondamentali anche se in realt\u00e0 quantomeno in Italia la Costituzione non li nomina. La Costituzione italiana non fa riferimento a questa situazione giuridica soggettiva quindi a quella situazione che riguarda la necessit\u00e0 di proteggere i dati personali delle persone. Ovviamente la nostra Costituzione \u00e8 troppo risalente e non \u00e8 stata modificata di recente per introdurre questo aspetto. Bench\u00e8 non ci sia una indicazione esplicita nella nostra Carta, in realt\u00e0 nel momento in cui la protezione dei nostri dati personali come diritto fondamentale noi lo andiamo a considerare come un diritto che concerne la circolazione delle nostre informazioni e quindi se si parla di circolazione si parla di rappresentazione verso l\u2019esterno della nostra personalit\u00e0, cio\u00e8 si parla di informazioni che ci riguardano che in qualche modo stanno uscendo dalla nostra sfera pi\u00f9 stretta, pi\u00f9 intima di controllo personale. Quindi in questo senso la circolazione delle informazioni va letta come una esternazione delle caratteristiche della nostra personalit\u00e0<\/em> e quindi inevitabilmente va a toccare quella che \u00e8 la nostra rappresentazione verso l\u2019esterno. Se parliamo di rappresentazione verso l\u2019esterno ci stiamo configurando in una posizione di relazione verso l\u2019esterno quindi relazione con il prossimo, sia il prossimo un\u2019altra persona fisica, sia il prossimo un\u2019autorit\u00e0 pubblica, sia il prossimo un privato che agisce nella sua dimensione di attivit\u00e0 commerciale o professionale. E quindi se ci posizioniamo nell\u2019ambito di una attivit\u00e0 di relazione possiamo ricondurre questo nuovo riconoscimento del diritto alla protezione dei dati personali all\u2019interno dell\u2019articolo due<\/strong>. L\u2019articolo due, il cosiddetto trasformatore permanente della Costituzione<\/strong> perch\u00e9 \u00e8 l\u2019articolo che permette pi\u00f9 di tutti di adeguare la protezione delle persone rispetto alla trasformazione della societ\u00e0 negli anni, permette anche di riconoscere una \u201ccasa<\/em>\u201d per la protezione dei dati personali anche a livello costituzionale: possiamo riconoscere a livello costituzionale interno nell\u2019articolo due in una funzione di costituzionalizzazione<\/em>. In particolare con riferimento alla Corte Costituzionale vi \u00e8 una sentenza rilevante addirittura del 73 la n. 38, che \u00e8 particolarmente rilevante perch\u00e9 ha segnato la giurisprudenza di merito e di legittimit\u00e0 successiva perch\u00e9 con questa sentenza \u00e8 stato proprio riconosciuto l\u2019inserimento della riservatezza (ovviamente nel 73 ancora non si parlava di trattamento dei dati) all\u2019interno dei diritti inviolabili dell\u2019uomo. Quindi questa concezione della riservatezza, della privacy come un diritto inviolabile e quindi come un valore primario del nostro ordinamento costituzionale.<\/p>\n\n\n\n Ovviamente la questione si estende nel tempo perch\u00e9 dalla riservatezza passiamo alla protezione dei dati personali, perch\u00e9 di fronte allo sviluppo tecnologico – \u00e8 vero che siamo di fronte a dei fattori che ormai sono da tutti considerati come strumenti tecnologici estremamente significativi per la crescita del benessere, per il miglioramento della qualit\u00e0 della vita – ci si \u00e8 resi conto nel tempo di quanto siano altrettanto capaci di incidere poi negativamente sulle persone, sui diritti fondamentali delle persone, in tutti quei casi in cui il trattamento dei dati delle persone non dovesse essere fatto con le opportune garanzie. Da questo punto di vista il passaggio fondamentale, il cambio di mentalit\u00e0 si ha principalmente con il Codice della privacy che permette appunto questo collegamento molto stretto, questo avvicinamento tra la protezione dei dati personali e i diritti inviolabili, questa concezione di inviolabilit\u00e0 dell\u2019essere umano che \u00e8 tipicamente costituzionale. Ci\u00f2 avviene nel Codice della privacy mediante il riconoscimento del diritto alla protezione dei dati che si fonda su due principi fondamentali: il primo principio \u00e8 quello cosiddetto del livello elevato di tutela, quindi il livello elevato di tutela dei diritti e delle libert\u00e0 fondamentali dell\u2019individuo<\/strong>, il secondo \u00e8 il principio di necessit\u00e0 del trattamento di dati che si riferiscono ad una persona<\/strong>. Il Codice della Privacy del 2003 \u00e8 l\u2019innovazione da questo punto di vista, perch\u00e9 il precedente riferimento normativo che era la legge 675 del 96 si limitava a garantire che il trattamento dei dati delle persone, quindi il trattamento dei dati personali, si realizzasse nel rispetto dei diritti e delle libert\u00e0 e della dignit\u00e0 delle persone fisiche. Quindi noi nel 96 parliamo di trattamento che deve essere rispettoso dei diritti appunto e delle libert\u00e0 e della dignit\u00e0 delle persone, per\u00f2 \u00e8 come se stessimo scindendo i due momenti, invece con il Codice della Privacy del 2003 andiamo a considerare quella stessa protezione dei dati personali come tutela dei diritti, delle libert\u00e0 e delle dignit\u00e0 dell\u2019individuo. Qui non sono due cose che si affiancano, ma appunto diventa un ragionamento unico.<\/p>\n\n\n\n Il primo principio che guida il codice del 2003 \u00e8 il principio di elevata tutela<\/strong>. L\u2019elevata tutela comporta che i poteri pubblici si devono impegnare in modo effettivo alla protezione dei dati personali. \u00c8 importante questa parola impegnare <\/strong>perch\u00e9 si impone uno specifico obbligo di protezione. Quindi non \u00e8 soltanto una pretesa di astenersi dal generare conseguenze negative alla sfera intima della persona, non \u00e8 una logica difensiva del diritto, \u00e8 una logica al contrario positiva, una logica di tutela, \u00e8 una logica proattiva che impegna verso la disposizione di strumenti di tutela. Per quanto riguarda invece il secondo principio: \u00e8 il principio di necessit\u00e0<\/strong> che guida il codice della privacy. Parliamo di principio di necessit\u00e0 nel trattamento dei dati che si traduce nella riduzione al minimo di dati da utilizzare. Quindi la logica \u00e8 che quando si svolge un\u2019attivit\u00e0 di trattamento dei dati personali si deve ridurre il pi\u00f9 possibile i dati, la quantit\u00e0 di dati che vengono utilizzati per perseguire la finalit\u00e0 che il trattamento persegue. Quindi utilizzer\u00f2 soltanto i dati che sono necessari a perseguire le finalit\u00e0 del trattamento. In questo senso capiamo un ulteriore passaggio della differenza tra la vecchia concezione della privacy, quella strettamente connessa alla riservatezza, e la nuova concezione della privacy legata al trattamento dei dati, potendo dire che con la riservatezza siamo di fronte ad un diritto dal contenuto negativo, negativo nel senso di contenuto che \u00e8 rivolto alla esclusione dei terzi dall\u2019ingresso nella nostra sfera pi\u00f9 intima, quindi da qualsiasi ingerenza di terzi nella nostra vita privata. Quindi contenuto negativo nel senso di difensivo. Quando invece parliamo di privacy come trattamento e protezione dei dati personali, parliamo di un diritto che ha un contenuto positivo, \u00e8 il diritto affinch\u00e9 il trattamento dei dati avvenga in modo corretto, \u00e8 il dirittoaffinch\u00e9 chi tratta i dati segua delle regole di gestione di questi dati e che chi fornisce i propri dati abbia la possibilit\u00e0 di autodeterminarsi a livello informativo quindi possa autodeterminare il singolo quali, quanti e come debbano circolare i dati che lo riguardano. Quindi contenuto positivo come impegno per chi li tratta e come autodeterminazione informativa per chi subisce il trattamento.<\/p>\n\n\n\n Il GDPR<\/strong><\/p>\n\n\n\n Ora torniamo al contenuto proprio del GDPR. Ovviamente teniamo sempre a mente che il GDPR costituisce per noi il perno su cui si basa tutta la costruzione della visione europea del trattamento dei dati e dello sviluppo dell\u2019economia digitale. Vediamo per\u00f2 adesso qualche aspetto fondamentale del GDPR innanzitutto dal punto di vista del lessico per capire tutta una serie di parole che che troviamo e quindi diremo innanzitutto che cos\u2019\u00e8 il dato personale<\/strong>. Il dato personale ci viene indicato dall\u2019articolo 4 del GDPR al n.1<\/strong>, come qualsiasi informazione che si riferisca ad una persona fisica identificata o identificabile<\/strong>. Identificabile s\u2019intende quella persona che pu\u00f2 essere identificata anche in modo indiretto e quindi attraverso un nome, un numero di identificazione, uno pseudonimo, un identificativo online, oppure attraverso altri elementi del suo fisico o dei suoi geni o altri riferimenti alla sua identit\u00e0 dal punto di vista sociale, culturale, economico o politico, qualsiasi tipo di informazione che ci permetta poi di ricondurre quel dato, quell\u2019informazione a una persona fisica. Quando parliamo invece di trattamento dei dati personali<\/strong>, sempre all\u2019articolo 4 del GDPR<\/strong>, parliamo di qualsiasi operazione, quindi nella nozione di trattamento facciamo rientrare qualsiasi operazione o anche insieme di operazioni che siano applicate ai dati personali. Quindi qualsiasi attivit\u00e0 rivolta ai dati personali: pu\u00f2 essere un\u2019attivit\u00e0 di raccolta, pu\u00f2 essere un\u2019attivit\u00e0 di registrazione, pu\u00f2 essere un\u2019attivit\u00e0 di conservazione, un\u2019attivit\u00e0 di estrazione, un\u2019attivit\u00e0 di uso, di diffusione ma anche di modifica dei dati. Quando si svolge una o pi\u00f9 di queste condotte allora siamo di fronte ad un trattamento dei dati. Chi \u00e8 quindi il titolare del trattamento? il titolare del trattamento pu\u00f2 essere una persona fisica, pu\u00f2 essere una persona giuridica, un ente, oppure pu\u00f2 essere anche una autorit\u00e0 pubblica, ci\u00f2 che ci interessa \u00e8 che il titolare del trattamento \u00e8 il destinatario praticamente di quasi tutti gli obblighi contenuti nel GDPR<\/strong>. Il GDPR presenta un elenco particolarmente significativo di obblighi che sono rivolti proprio ai titolari sempre nella logica di protezione dei dati personali. In particolare, usando un sunto, il titolare del trattamento ha il compito di adottare tutte le misure necessarie alla protezione dei dati delle persone fisiche. La logica dell\u2019adozione di queste misure \u00e8 ovviamente quella di evitare o comunque di ridurre il pi\u00f9 possibile i rischi che i dati vengano persi o ne vengano in possesso terzi non autorizzati. Queste misure sono rivolte al titolare, \u00e8 il titolare che deve individuare quali siano le migliori modalit\u00e0 con cui proteggere i dati; ovviamente imponendo degli obblighi al titolare del trattamento, il legislatore, come si fa sempre nella produzione normativa, riconosce anche dei diritti all\u2019interessato. Chi \u00e8 l\u2019interessato?<\/strong> Ogni volta che diremo la parola l\u2019interessato ci stiamo riferendo alla persona i cui dati personali sono trattati<\/strong>. E questi diritti sono tutti diritti attraverso i quali l\u2019interessato pu\u00f2 controllare il flusso di informazioni che lo riguardano. In questo modo, quindi, pu\u00f2 impedire che il trattamento dei suoi dati possa essere effettuato con modalit\u00e0 tali da ledere la sua sfera morale e la sua sfera personale. Quindi proprio dei diritti riguardanti il momento del trattamento io interessato ho la possibilit\u00e0, attraverso il GDPR, di incidere rispetto le modalit\u00e0 con cui i miei dati sono trattati dal titolare: ad esempio sono riconosciuti i diritti all\u2019aggiornamento, alcune informazioni che mi riguardano sono modificate e io le voglio aggiornare, modificare, le voglio rettificare, le voglio integrare o le voglio cancellare; non sono pi\u00f9 disposto a che i miei dati siano nella disponibilit\u00e0 di un certo titolare quindi li voglio cancellare. La cancellazione<\/strong> dei dati personali \u00e8 un riferimento importante perch\u00e9 il GDPR riconoscere per la prima volta anche il cosiddetto diritto all\u2019oblio<\/strong>, che per\u00f2 \u00e8 diverso dalla cancellazione, perch\u00e9 la cancellazione riguarda la situazione in cui i dati che io ho permesso che venissero utilizzati rispetto ad un certo fine non sono pi\u00f9 necessari oppure non sono pi\u00f9 io interessato a che vengano trattati da quel titolare. Il diritto all\u2019oblio<\/strong> invece, riconosciuto all\u2019articolo 17 del GDPR<\/strong>, \u00e8 diverso perch\u00e9 riguarda proprio il diritto a far dimenticare informazioni, fatti, che riguardano il mio conto come interessato, quindi l\u2019oblio come diritto a far dimenticare quando magari una certa informazione, un certo fatto non \u00e8 pi\u00f9 di interesse per la collettivit\u00e0 e quindi voglio che non venga pi\u00f9 fatto circolare nel senso che venga fatto dimenticare; invece la cancellazione riguarda proprio la cancellazione di dati rispetto ad uno specifico, a una specifica attivit\u00e0 di trattamento.<\/p>\n\n\n\n Il consenso<\/strong><\/p>\n\n\n\n Ultimo riferimento importante dal punto di vista di base del GDPR \u00e8 il consenso<\/strong>. Il consenso \u00e8 uno dei modi con cui si permette l\u2019attivit\u00e0 di trattamento<\/strong>. L\u2019articolo 6 del GDPR fa riferimento proprio alla manifestazione del consenso dell\u2019interessato come base giuridica per il trattamento<\/strong>. Quindi il trattamento da parte del titolare \u00e8 permesso dal consenso dell\u2019interessato che lo deve manifestare. Il consenso innanzitutto deve essere prestato in forma espressa, sia oralmente che per iscritto, \u00e8 importante appunto che sia espresso, cio\u00e8 che si sostanzi in un atto positivo idoneo a manifestare l\u2019intenzione di asserire al trattamento. In ogni caso, la regola importante del consenso \u00e8 che pu\u00f2 essere revocato in qualsiasi momento<\/strong>: posso in qualsiasi momento revocarlo e non devo nemmeno dare una motivazione sulla revoca. <\/p>\n\n\n\n Quali sono per\u00f2 i contenuti di questo consenso? Il consenso affinch\u00e9 sia valido, affinch\u00e9 il consenso possa costituire la fonte di un trattamento di dati personali deve avere 4 caratteristiche che<\/strong>, ovviamente, devono sussistere contemporaneamente<\/strong>, non sono alternative tra loro:<\/p>\n\n\n\n Ora possiamo spendere a livello strettamente tecnico-giuridico qualche parola su questo consenso e in particolare sulla natura del consenso perch\u00e9 come abbiamo detto la protezione dei dati personali \u00e8 un diritto fondamentale. E i diritti fondamentali sono diritti che noi riteniamo diritti assoluti, diritti indisponibili, diritti intrasmissibili, diritti imprescrittibili. Quindi sono i diritti quanto pi\u00f9 fortemente riconosciuti alle persone in quanto tali. In questo senso, visto che la protezione dei dati personali \u00e8 un diritto fondamentale, alcuni autori (il tema \u00e8 aperto e ci sono diverse prospettive), hanno ritenuto che il trattamento dei dati, anzi il consenso al trattamento dei dati, non ha una valenza dispositiva. Perch\u00e9? Perch\u00e9 non riguarda una propriet\u00e0 di cui si dispone e che quindi si cede ma riguarda la persona. Il consenso dell\u2019interessato ha un riferimento che afferisce alla persona in modo costitutivo e quindi il consenso pu\u00f2 essere una autorizzazione, pu\u00f2 essere un atto di autorizzazione, ma non pu\u00f2 avere valenza negoziale come se fosse un contratto e quindi il titolare del trattamento \u00e8 vero che \u00e8 legittimato a trattare i dati perch\u00e9 c\u2019\u00e8 stato il consenso, per\u00f2 i dati secondo questa logica continuano ad essere della persona che ha prestato il consenso. Quindi non c\u2019\u00e8 una cessione in senso stretto perch\u00e9 i dati col fatto che afferiscono alla persona in modo proprio costitutivo e che afferiscono alla sua sfera personale allora rispetto a questi dati non viene meno la relazione di appartenenza a colui che presta il consenso e quindi l\u2019atto di autorizzazione in questo senso sarebbe un atto che ha il risultato di rendere lecita un\u2019attivit\u00e0 che altrimenti sarebbe illecita. D\u2019altra parte ci sono invece altri autori, altri giuristi della dottrina che invece sostengono che il consenso abbia una valenza negoziale, quindi che il dato sia qualcosa che io cedo come cedo un bene. Quindi si parla in questo senso di reificazione dei dati perch\u00e9 io come cedo un bene ceodo i miei dati personali e quindi nel momento in cui presto il consenso cedo i miei dati che entrano nel mercato e circolano nel mercato in quanto beni suscettibili di una loro valutazione economica che quindi poi seguir\u00e0 le regole del mercato.<\/p>\n\n\n\n Torniamo Regolamento e a tutto ci\u00f2 che riguarda l\u2019importanza del GDPR proprio come strumento per superare una legislazione nazionale frammentata nell\u2019Unione Europea e quindi poi per superare i profili di incertezza rispetto alla protezione, alla circolazione di dati. Con lo strumento del Regolamento siamo arrivati alla possibilit\u00e0 di incentivare lo sviluppo e la diffusione dei mercati digitali in Europa in generale nell\u2019ottica di creare un po\u2019 quello che \u00e8 un clima di fiducia rispetto a una circolazione di dati per i cittadini dell\u2019Unione europea. Il GDPR in ci\u00f2 rende effettivamente chiaro il cambio di mentalit\u00e0 proprio perch\u00e9 la direttiva europea del 95 era una direttiva che aveva una concezione un po\u2019 pi\u00f9 statica della protezione della privacy mentre appunto con il Regolamento andiamo verso una considerazione dinamica. Quindi una tutela non solo in riguardo all\u2019utilizzo delle informazioni che ci riguardano e che quindi noi possiamo permettere con il consenso, ma una tutela dinamica proprio perch\u00e9 l\u2019interessato pu\u00f2 in qualche modo seguire i dati, seguire la circolazione dei dati che lo riguardano e quindi intervenire a propria protezione in ogni fase della della circolazione che avviene chiaramente sulla Rete. E tornando appunto al GDPR notiamo come questa forma di tutela \u00e8 tanto significativa che addirittura ci permette di tutelare i nostri dati personali non solo come dicevamo prima nei confronti in generale dei titolari che possono essere soggetti pubblici e soggetti privati ma addirittura a proteggerci dai titolari indipendentemente da stretti limiti territoriali. L\u2019applicazione territoriale del regolamento<\/strong>, che \u00e8 indicato all\u2019articolo 3 del GDPR<\/strong>, \u00e8 particolarmente interessante perch\u00e9 l\u2019ambito di applicazione va oltre l\u2019Unione Europea. Quindi, anche se abbiamo un provvedimento normativo UE, abbiamo una tutela che va oltre i confini dell\u2019Unione. L\u2019unica cosa che rileva, quindi, non \u00e8 il luogo in cui avviene il trattamento dei dati, ma il luogo in cui \u00e8 stabilito il titolare del trattamento oltre che l\u2019interessato chiaramente, perch\u00e9 se io tutelo con la mia normativa un interessato ovviamente sto parlando del cittadino europeo quindi del cittadino dell\u2019Unione europea e degli Stati membri dell\u2019Unione europea. Per\u00f2 se il cittadino da tutelare europeo e il titolare \u00e8 stabilito nel senso fisico proprio nell\u2019Unione europea allora io potr\u00f2 tutelare, potr\u00f2 esercitare tutti i diritti che sono riconosciuti dal GDPR e potr\u00f2 imporre al titolare tutti gli obblighi che sono imposti dal GDPR, anche se il trattamento poi avviene fuori dall\u2019Unione europea. Per quanto riguarda gli obblighi imposti ovviamente la tutela sta nel fatto che il titolare che non si dovesse conformare agli obblighi imposti sar\u00e0 soggetto alle attivit\u00e0 del Garante della protezione dei dati personali. Grandi piattaforme digitali o comunque grandi poteri privati, grandi imprese, sono costantemente oggetto di attenzione nella loro attivit\u00e0 da parte dei garanti nazionali della protezione dei dati personali, perch\u00e9 poi spesso un singolo cittadino non ha nemmeno gli strumenti per rendersi conto di come i suoi dati sono stati trattati e quindi a questo punto l\u2019attivit\u00e0 svolta dal Garante \u00e8 estremamente rilevante, estremamente significativa a tutela della collettivit\u00e0 perch\u00e9 possono poi condurre a delle sanzioni pecuniarie di importi estremamente elevati che costituiscono poi l\u2019unico vero disincentivo alla violazione degli obblighi del GDPR. <\/p>\n\n\n\n Se \u00e8 fondamentale, infine, per l\u2019applicazione del GDPR lo stabilimento del titolare nell\u2019Unione europea ci sono casi addirittura in cui non si applica nemmeno questa regola e quindi la disciplina del GDPR si applica anche in mancanza dello stabilimento nel territorio dell\u2019Unione Europea da parte del titolare e questi casi sono due e sono il caso in cui il trattamento di dati personali riguardi l\u2019offerta di beni o la prestazione di servizi agli interessati, anche se l\u2019offerta di beni o la prestazione di servizi avviene in mancanza di un corrispettivo. E poi la seconda ipotesi \u00e8 quella in cui le attivit\u00e0 di trattamento dei dati personali riguardino il monitoraggio dei comportamenti tenuti dagli interessati e ci\u00f2 ha valore principalmente in tutti quei contesti di trattamento che utilizzi tecniche di profilazione, tecniche di tracciamento delle persone fisiche e che quindi siano delle tecniche che, profilando, tracciando le persone, permettano poi ai titolari del trattamento di adottare delle decisioni riferite a queste stesse persone, analizzare i loro comportamenti, prevedere le loro preferenze che possono essere le loro preferenze di consumo ma anche le loro preferenze personali, in tutti questi casi la portata applicativa del GDPR riguarda addirittura i titolari che non siano stabiliti nell\u2019Unione europea. Questo \u00e8 un elemento molto caratteristico della legislazione europea che segna la forza di questo strumento di regolazione di cui si \u00e8 dotata l\u2019Unione nel 2016, secondo una logica per cui se le informazioni, i dati personali delle persone possono circolare come avviene tramite internet a livello globale, allora anche la protezione che voglio fornire ai miei cittadini va oltre i miei limiti territoriali e cerco di estenderla il pi\u00f9 possibile anch\u2019essa a livello globale. \u00c8 un aspetto di attenzione alla privacy estremamente significativo ed esteso e tale aspetto tra l\u2019altro lo ritroviamo anche in quella essere la definizione del dato personale perch\u00e9 la definizione del dato personale \u00e8 molto ampia. Perch\u00e9 se dico che \u00e8 qualsiasi informazione con cui posso identificare una persona fisica, con questo sto dando una nozione molto ampia perch\u00e9 qualsiasi informazione vuol dire che se l\u2019informazione la trovo cartacea, informazione alfabetica, numerica, acustica, fotografica, qualsiasi tipo di informazione qualunque sia la forma in cui l\u2019informazione mi viene espressa e attraverso qualsiasi di queste informazioni posso identificare una persona e quindi tutte queste informazioni sono un dato personale, \u00e8 una nozione estremamente ampia. E qual \u00e8 la logica, la logica \u00e8 la stessa di prima quindi cos\u00ec come estendo il pi\u00f9 possibile a livello territoriale con una nozione cos\u00ec ampia di dato personale, pure posso estendere la tutela il pi\u00f9 possibile perch\u00e9 mi permetto come legislatore europeo, di individuare in futuro tutta una serie di nuove situazioni che nel 2016 non posso considerare perch\u00e9 magari nel 2016 io conosco un livello di raggiungimento delle tecnologie tale per cui posso immaginarmi certe situazioni di tutela, invece cos\u00ec riesco a permettere un\u2019evoluzione dell\u2019applicazione GDPR anche attraverso le nuove situazioni che l\u2019evoluzione tecnologica mi presenter\u00e0. Quindi una nozione di dato elastica, un nozione di dato onnicomprensiva e quindi idonea ad adeguarsi poi a tutte le situazioni che in futuro toccheranno la sfera dei dati personali delle persone fisiche perch\u00e9 le innovazioni e tutte le modalit\u00e0 con cui si permette il trattamento dei dati \u00e8 in costante evoluzione. Pensiamo ora a tutto quello che ovviamente toccher\u00e0 questa materia la prossima l\u2019entrata in vigore del regolamento sull\u2019intelligenza artificiale. Un tema completamente nuovo ma che costringe il legislatore ovviamente a stare al passo con l\u2019evoluzione tecnologica e quindi queste nozioni ampie e poi questa portata territoriale anche particolarmente estesa permette di far fronte il pi\u00f9 possibile all\u2019esigenza di tutela: l\u2019esigenza di tutela della persona che si affianca al bilanciamento degli interessi del mercato legato ai dati personali<\/strong>.<\/p>\n","protected":false},"excerpt":{"rendered":" Diritto alla riservatezza, privacy e protezione dei dati personali. Evoluzione normativa in Italia e nell\u2019UE e terminologia di base del GDPR. Penso che partire dal diritto alla privacy sia fondamentale proprio perch\u00e9 \u00e8 un po\u2019 il centro, oltre che il punto di partenza appunto di ogni discorso che riguarda la tutela e la protezione dei … Leggi tutto “Diritto dei dati – Il diritto alla privacy”<\/span><\/a><\/p>\n","protected":false},"author":1,"featured_media":0,"comment_status":"closed","ping_status":"closed","sticky":false,"template":"","format":"standard","meta":{"iawp_total_views":2,"footnotes":""},"categories":[14,18],"tags":[],"class_list":["post-1246","post","type-post","status-publish","format-standard","hentry","category-digital-forensics","category-diritto"],"_links":{"self":[{"href":"https:\/\/www.fabriziogiancola.eu\/index.php\/wp-json\/wp\/v2\/posts\/1246","targetHints":{"allow":["GET"]}}],"collection":[{"href":"https:\/\/www.fabriziogiancola.eu\/index.php\/wp-json\/wp\/v2\/posts"}],"about":[{"href":"https:\/\/www.fabriziogiancola.eu\/index.php\/wp-json\/wp\/v2\/types\/post"}],"author":[{"embeddable":true,"href":"https:\/\/www.fabriziogiancola.eu\/index.php\/wp-json\/wp\/v2\/users\/1"}],"replies":[{"embeddable":true,"href":"https:\/\/www.fabriziogiancola.eu\/index.php\/wp-json\/wp\/v2\/comments?post=1246"}],"version-history":[{"count":62,"href":"https:\/\/www.fabriziogiancola.eu\/index.php\/wp-json\/wp\/v2\/posts\/1246\/revisions"}],"predecessor-version":[{"id":1660,"href":"https:\/\/www.fabriziogiancola.eu\/index.php\/wp-json\/wp\/v2\/posts\/1246\/revisions\/1660"}],"wp:attachment":[{"href":"https:\/\/www.fabriziogiancola.eu\/index.php\/wp-json\/wp\/v2\/media?parent=1246"}],"wp:term":[{"taxonomy":"category","embeddable":true,"href":"https:\/\/www.fabriziogiancola.eu\/index.php\/wp-json\/wp\/v2\/categories?post=1246"},{"taxonomy":"post_tag","embeddable":true,"href":"https:\/\/www.fabriziogiancola.eu\/index.php\/wp-json\/wp\/v2\/tags?post=1246"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}\n