Decreto legislativo - 18/05/2018 - n. 51 art. 2 - DefinizioniDefinizioni
1. Ai fini del presente decreto, si applicano le seguenti definizioni: a) dati personali: qualsiasi informazione riguardante una persona fisica identificata o identificabile («interessato»); b) trattamento: qualsiasi operazione o insieme di operazioni, compiute con o senza l'ausilio di processi automatizzati, applicate a dati personali o insiemi di dati personali, come la raccolta, la registrazione, l'organizzazione, la strutturazione, la conservazione, l'adattamento o la modifica, l'estrazione, la consultazione, l'uso, la comunicazione mediante trasmissione, diffusione o qualsiasi altra forma di messa a disposizione, il raffronto o l'interconnessione, la limitazione, la cancellazione o la distruzione; c) limitazione di trattamento: il contrassegno dei dati personali conservati con l'obiettivo di limitarne il trattamento in futuro; d) pseudonimizzazione: il trattamento dei dati personali in modo tale che i dati personali non possano piu' essere attribuiti a un interessato specifico senza l'utilizzo di informazioni aggiuntive, a condizione che tali informazioni aggiuntive siano conservate separatamente e soggette a misure tecniche e organizzative intese a garantire che i dati personali non siano attribuiti a una persona fisica identificata o identificabile; e) profilazione: qualsiasi forma di trattamento automatizzato di dati personali consistente nell'utilizzo di tali dati per valutare determinati aspetti personali relativi a una persona fisica, in particolare per analizzare o prevedere aspetti riguardanti il rendimento professionale, la situazione economica, la salute, le preferenze personali, gli interessi, l'affidabilita', il comportamento, l'ubicazione o gli spostamenti di detta persona fisica; f) archivio: qualsiasi insieme strutturato di dati personali accessibili secondo criteri determinati, indipendentemente dal fatto che tale insieme sia centralizzato, decentralizzato o ripartito in modo funzionale o geografico; g) autorita' competente: 1) qualsiasi autorita' pubblica dello Stato, di uno Stato membro dell'Unione europea o di uno Stato terzo competente in materia di prevenzione, indagine, accertamento e perseguimento di reati o esecuzione di sanzioni penali, incluse la salvaguardia contro e la prevenzione di minacce alla sicurezza pubblica; 2) qualsiasi altro organismo o entita' incaricato dagli ordinamenti interni di esercitare l'autorita' pubblica e i poteri pubblici a fini di prevenzione, indagine, accertamento e perseguimento di reati o esecuzione di sanzioni penali, incluse la salvaguardia e la prevenzione di minacce alla sicurezza pubblica; h) titolare del trattamento: l'autorita' competente che, singolarmente o insieme ad altri, determina le finalita' e i mezzi del trattamento di dati personali; quando le finalita' e i mezzi di tale trattamento sono determinati dal diritto dell'Unione europea o dello Stato, il titolare del trattamento o i criteri specifici applicabili alla sua nomina possono essere previsti dal diritto dell'Unione europea o dello Stato; i) responsabile del trattamento: la persona fisica o giuridica, l'autorita' pubblica, il servizio o altro organismo che tratta dati personali per conto del titolare del trattamento; l) destinatario: la persona fisica o giuridica, l'autorita' pubblica, il servizio o un altro organismo che riceve comunicazione di dati personali, che si tratti o meno di terzi. Tuttavia, le autorita' pubbliche che possono ricevere comunicazione di dati personali nell'ambito di una specifica indagine conformemente al diritto dell'Unione europea o dello Stato non sono considerate destinatari; il trattamento di tali dati da parte di tali autorita' pubbliche e' conforme alle norme in materia di protezione dei dati applicabili secondo le finalita' del trattamento; m) violazione dei dati personali: la violazione della sicurezza che comporta accidentalmente o in modo illecito la distruzione, la perdita, la modifica, la divulgazione non autorizzata o l'accesso ai dati personali trasmessi, conservati o comunque trattati; n) dati genetici: i dati personali relativi alle caratteristiche genetiche ereditarie o acquisite di una persona fisica, che forniscono informazioni univoche sulla fisiologia o sulla salute di detta persona fisica e che risultano in particolare dall'analisi di un campione biologico della persona fisica in questione; o) dati biometrici: i dati personali ottenuti da un trattamento tecnico specifico relativi alle caratteristiche fisiche, fisiologiche o comportamentali di una persona fisica che ne consentono o confermano l'identificazione univoca, quali l'immagine facciale o i dati dattiloscopici; p) dati relativi alla salute: i dati personali attinenti alla salute fisica o mentale di una persona fisica, compresa la prestazione di servizi di assistenza sanitaria, che rivelano informazioni relative al suo stato di salute; q) file di log: registro degli accessi e delle operazioni; r) autorita' di controllo: l'autorita' pubblica indipendente istituita negli Stati membri ai sensi dell'articolo 41 della direttiva; s) il Garante: autorita' di controllo nell'ordinamento interno, individuata nel Garante per la protezione dei dati personali, istituito dal decreto legislativo 30 giugno 2003, n. 196; t) organizzazione internazionale: un'organizzazione e gli organismi di diritto internazionale pubblico a essa subordinati o qualsiasi altro organismo istituito da o sulla base di un accordo tra due o piu' Stati; u) Codice: Codice in materia di protezione dei dati personali, adottato con il decreto legislativo 30 giugno 2003, n. 196; v) Stato membro: Stato membro dell'Unione europea; z) Paese terzo: Stato non membro dell'Unione europea; aa) direttiva: la direttiva (UE) 2016/680 del Parlamento europeo e del Consiglio del 27 aprile 2016; bb) regolamento UE: il regolamento (UE) 2016/679 del Parlamento europeo e del Consiglio del 27 aprile 2016; cc) Forze di polizia: le Forze di polizia di cui all'articolo 16 della legge 1° aprile 1981, n. 121. InquadramentoL'articolo in commento, rubricato “Definizioni”, esplica le nozioni utilizzate nel testo del decreto, e recepisce l'art. 3 direttiva (UE) 2016/680, integrandolo con la previsione di ulteriori definizioni ritenute utili per la comprensione della normativa. Giova rilevare che quasi la totalità dei termini esplicati combacia con le corrispondenti definizioni contenute nell'art. 4 GDPR. Si provvederà in questa sede ad una breve disamina del lessico utilizzato, rilevando, ove presenti, i discostamenti rispetto all'analogo testo del Regolamento e facendo invece riferimento, per le definizioni corrispondenti, alla dottrina e giurisprudenza elaborate con riferimento a quest'ultimo. Si ritiene che non necessitino particolari commenti in questa sede, invece, in quanto autoevidenti, i concetti di “autorità di controllo”, “organizzazione internazionale”, “codice”, “stato membro”, “paese terzo”, “direttiva” e “regolamento UE” pur sottolineando il pregio del decreto nell'averli introdotti a fini di maggior chiarezza normativa (non essendo previsti dalla direttiva, ad eccezione di quello di organizzazione internazionale). Quanto alla definizione di “archivio” si rimanda al commento dell'art. 1 d.lgs. n. 51/2018. Infine, si sottolinea che l'articolo in commento, alla lettera s) ha specificato che, anche nella materia in esame, l'autorità di controllo è stata individuata nel Garante per la protezione dei dati personali istituto dal d.lgs. n. 196/2003. I poteri e le funzioni del Garante sono disciplinati nell'art. 37 d.lgs. n. 51/2018. Si rinvia comunque alla lettura del commento alle definizioni contenute nell'art. 4 del GDPR, specie per quanto attiene alla nozione di dato personale. Dati personaliAlla lettera a) dell'art. 2 d.lgs. n. 51/2018 sono definiti i “dati personali”, ovvero qualsiasi informazione che si riferisce ad una persona fisica, che deve essere determinata o determinabile. Tale persona è indicata come “interessato”. La definizione è flessibile, adattabile all'evolversi delle tecnologie, in quanto comprende “qualsiasi informazione”, a prescindere dalla sua rilevanza ex ante, dalla sua veridicità o dalla dimostrabilità: ciò che è essenziale, al fine di configurare una informazione come dato personale, è il suo collegamento ad una persona fisica (Guerrieri, 37). Sono pertanto escluse dalla definizione i dati relativi alle persone giuridiche, ai nascituri, ai defunti. Le informazioni che consentono il collegamento diretto tra la persona e le informazioni sono chiamate dati identificativi, e costituiscono dati personali. Le altre informazioni, che hanno funzione contenutistica (e quindi contenuto informativo), ugualmente costituiscono dati personali in quanto collegate, tramite l'identificativo, ad una persona fisica. Si sottolinea come, nell'ambito di applicazione del decreto, assumano particolare rilievo alcuni tipi di identificativi quali l'immagine del volto, le impronte digitali e gli altri dati biometrici e genetici, come i campioni di DNA. Ulteriore requisito essenziale per poter configurare il dato personale è l'identificazione o identificabilità della persona a cui si riferiscono. Sul punto, si evidenzia che la definizione adottata dal decreto in questo caso si distingue parzialmente dall'art. 3 della Direttiva (UE) 2016/680, che oltre a quanto riportato, aggiunge (analogamente a quanto previsto nell'art. 4 GDPR) che “si considera identificabile la persona fisica che può essere identificata, direttamente o indirettamente, in particolare con riferimento a un identificativo come il nome, un numero di identificazione, dati relativi all'ubicazione, un identificativo on line o a uno o più elementi caratteristici dell'identità fisica, fisiologica, genetica, psichica, economica, culturale o sociale di tale persona fisica”. Nonostante la scelta del legislatore di “decurtare” la definizione di dato personale di questi elementi, che chiariscono il concetto di identificabilità, gli stessi sono comunque pacificamente applicabili anche nel contesto del decreto, costituendo indicazioni con mero carattere esemplificativo. Inoltre, è impostazione ormai consolidata quella per cui, ai fini dell'identificazione/identificabilità della persona, non è necessaria la determinazione del nome anagrafico, ma è sufficiente l'individuazione e la riconoscibilità della persona all'interno di un contesto, indipendentemente dal fatto che si abbia conoscenza del nome. I concetti di identificazione e identificabilità si distinguono in quanto nella prima la persona fisica è individuata in termini di certezza, mentre nell'identificabilità è individuata in termini di ragionevole probabilità. Infatti, ai fini dell'identificabilità si dovrà valutare, come indicato dal considerando 21 direttiva (UE) 2016/680, la ragionevole probabilità di utilizzo di tutti i mezzi di cui il titolare del trattamento oppure anche un terzo, possa disporre per l'individuazione (in tal senso anche CGUE, 20 dicembre 2017, n. 434/16). La ragionevole probabilità dovrebbe essere collegata a parametri oggettivi, in quanto, sempre ai sensi del considerando 21, “si dovrebbe prendere in considerazione l'insieme dei fattori obiettivi, tra cui i costi e il tempo necessario per l'identificazione, tenendo conto sia delle tecnologie disponibili al momento del trattamento, sia degli sviluppi tecnologici”. Le considerazioni sopra illustrate trovano conferma nella giurisprudenza comunitaria, che interpreta estensivamente la nozione di dato personale includendovi potenzialmente ogni tipo di informazione, oggettiva o soggettiva (come pareri e valutazioni) purché sia “concernente” la persona e quindi sia connessa, in ragione del contenuto, della finalità o dell'effetto, a una persona determinata (CGUE, 5 giugno 2018, n. 210/16). In tal senso, è stata riconosciuta la natura di dato personale anche a una prova d'esame scritta a mano, e incluso alle correzioni dell'esaminatore (CGUE, 20 dicembre 2017, n. 434/16) oppure al numero di identificazione fiscale, in quanto connesso all'ufficio delle imposte competente per quella persona (CGUE, 16 gennaio 2019, n. 496/17). I dati personali possono distinguersi in oggettivi e soggettivi: nel primo caso si tratta di informazioni che costituiscono una rappresentazione di cose o fatti (ad esempio generalità, immagine, voce, dati di contatto, dati di ubicazione), mentre nel secondo caso si tratta di espressione di giudizi e opinioni (ad esempio, con riferimento all'ambito di applicazione del decreto, gli esiti di una perizia, i pareri medici, le testimonianze). Si tratta di una classificazione che ha importanti ricadute pratiche con riferimento ai diritti previsti dall'art. 12 d.lgs. n. 51/2018,: è evidente come per i dati soggettivi non possa essere esercitato il diritto di rettifica, mentre entro certi limiti rimane esercitabile il diritto di integrazione. Categorie particolari di dati personaliL'art. 2 d.lgs. n. 51/2018 precisa la nozione di alcune categorie di dati particolari per cui l'art. 7 d.lgs. n. 51/2018, in considerazione del maggior rischio che comporta il loro trattamento, richiede specifiche condizioni di liceità. La nozione di “dati genetici” coincide con quella del regolamento (UE) 2016/679: gli stessi si caratterizzano per l'oggetto, costituito dalle caratteristiche genetiche ereditarie o acquisite che forniscono informazioni univoche sulla fisiologia o sulla salute della persona. Soprattutto in ambito di indagini, questi dati potrebbero essere utilizzati con finalità identificative. I dati genetici si caratterizzano altresì per la fonte, in quanto sono tratti, in particolare, dall'analisi di campioni biologici. Ad esempio, dati genetici possono essere tratti dall'analisi dei cromosomi, dell'acido desossiribonucleico (DNA) o dell'acido ribonucleico (RNA), come indicato dal considerando 23 della Direttiva (UE) 2016/680. Lo stesso considerando evidenzia come, per la complessità e la sensibilità di tali informazioni, sia elevato il rischio di utilizzo improprio da parte del titolare e dispone che, in linea di principio, dovrebbe essere vietata qualunque discriminazione basata su caratteristiche genetiche. I “dati biometrici” hanno la specifica funzione di consentire o confermare l'identificazione univoca di una persona e sono estrapolati dalle caratteristiche fisiche, fisiologiche o comportamentali di una persona fisica attraverso uno specifico trattamento tecnico (sono tali i dati trattati con le tecniche di riconoscimento facciale, i dati dell'impronta digitale, la lettura dell'iride, la firma grafometrica). Come indicato dal considerando 51 GDPR, applicabile anche in questa sede vista la coincidenza delle definizioni, non rientrano nei dati biometrici le fotografie, a meno che non siano oggetto di uno specifico trattamento tecnico che consenta l'individuazione unica o l'autenticazione di una persona. Quanto ai dati relativi alla salute, l'articolo precisa che in tale categoria devono ricomprendersi tutti i dati relativi alla salute dell'interessato, sia fisica che mentale. Sono inclusi anche gli identificativi che siano utilizzati per registrare un soggetto allorché debba usufruire di prestazioni sanitarie (ad esempio un numero, un simbolo o un elemento specifico attribuito al fine di identificare la persona) nonché “le informazioni risultanti da esami e controlli effettuati su una parte del corpo o su una sostanza organica, compresi i dati genetici e i campioni biologici, e qualsiasi informazione riguardante, ad esempio, una malattia, una disabilità, il rischio di malattie, l'anamnesi medica, i trattamenti clinici o lo stato fisiologico o biomedico dell'interessato, indipendentemente dalla fonte quale, ad esempio, un medico o altro operatore sanitario, un ospedale, un dispositivo medico o un test diagnostico in vitro” (considerando 24 direttiva (UE) 2016/680). Si evidenzia che, mentre per il trattamento dei dati personali in generale la disciplina previgente faceva riferimento a “dati idonei a rivelare lo stato di salute” e successivamente il Regolamento ha ristretto tale concetto ai “dati relativi alla salute” (Bolognini, 28) nel settore della cooperazione giudiziaria e di polizia in materia penale, invece, già l'art. 6 della decisione quadro 2008/977/GAI adottava tale nozione restrittiva, facendo riferimento ai dati “relativi alla salute” (“data concerning health”). Tipi di trattamentoTrattamento Particolarmente rilevante, ai fini dell'individuazione dell'oggetto del decreto e delle condizioni di liceità, è la nozione di “trattamento”, di cui alla lettera b) dell'art. 2, che è inteso come operazione (anche singola) o insieme di operazioni, compiute con o senza l'ausilio di processi automatizzati, applicate a dati personali o insiemi di dati personali. L'elenco di operazioni indicate nella norma deve intendersi come esemplificativo e non esaustivo: è infatti trattamento di dati personali qualsiasi attività che abbia ad oggetto i dati stessi. Si noti che tra quelle indicate alla lettera b) vi sono anche attività che non comportano alcuna trasformazione dei dati, quali la conservazione o la consultazione (il Garante, infatti, ha disciplinato come trattamento di dati personali anche la videosorveglianza senza registrazione, che di fatto costituisce una mera osservazione di immagini, e già l'(ex) Gruppo di lavoro 29, nell'opinion 1/15 aveva chiarito che la raccolta dati senza registrazione o conservazione degli stessi costituisce un trattamento (Pelino, 87). Limitazione di trattamento Ai sensi dell'art. 12 d.lgs. n. 51/2018, al cui commento si rinvia, la “limitazione di trattamento” deve essere disposta dal titolare, in luogo della cancellazione, in due casi: impossibilità di verificare l'esattezza dei dati, allorché vi sia stata una contestazione dell'interessato; necessità di conservare i dati per fini probatori. Il termine indica uno speciale contrassegno dei dati a fine di limitarne il trattamento in futuro, riproducendo esattamente la definizione di “blocco” già contenuta nella decisione quadro 2008/977/GAI e nel Codice privacy ante riforma. Si tratta quindi di uno speciale trattamento, per cui i dati possono essere solo conservati per tutta la durata della limitazione, senza possibilità di accesso, di utilizzo, o di compiere altre operazioni di trattamento. Pseudonimizzazione Quanto alla definizione di “pseudonimizzazione”, la stessa coincide con quella prevista dal Regolamento: si tratta di una particolare tecnica per cui i dati pseudonimizzati non possono essere attribuiti ad una persona identificata e le informazioni che consentono il collegamento tra i dati e la persona sono conservate separatamente e sottoposte a particolari misure che garantiscono la non-identificazione. Ai sensi dell'art. 16 d.lgs. n. 51/2018 la pseudonimizzazione costituisce una misura tecnica e organizzativa che il titolare può adottare, nel rispetto del principio di protezione dei dati fin dalla progettazione, per garantire la protezione dei dati e per tutelare i diritti degli interessati. In concreto, nella pseudonimizzazione, alcune informazioni sono visibili ma scollegate dagli elementi aggiuntivi necessari per attribuire loro un senso, e quindi sono incomprensibili. Obiettivo di questa tecnica è raccogliere più dati sulla stessa persona mascherandone l'identità. Gli pseudonimi sono generalmente attribuiti in modo casuale, imprevedibile, ampio, ma consentono comunque di rendere reversibile il processo e risalire all'identità del soggetto, ad esempio con l'uso di liste di corrispondenza (Coppola, 41). Poiché i dati oggetto di pseudonimizzazione non costituiscono dati anonimizzati in modo irreversibile, bensì dati personali, gli stessi ricadono nell'ambito di applicazione della normativa in materia di tutela di dati personali, e quindi anche del decreto. Profilazione Particolare trattamento è la “profilazione”, che consiste nell'elaborazione automatizzata di una serie di dati in modo da creare profili che consentano di valutare e addirittura prevedere aspetti personali significativi della persona fisica (tra cui quelli riguardanti il rendimento professionale, la situazione economica, la salute). La tecnica utilizzata per la profilazione comporta l'aggregazione in categorie (cluster) realizzata incrociando i dati forniti dall'interessato con i dati elaborati da un algoritmo matematico. Si tratta quindi di un processo opaco per l'interessato, invisibile, che crea dati nuovi da lui non forniti (Guerrieri, 40). È evidente come questo tipo di trattamento sia particolarmente rischioso in quanto potrebbe portare ad effetti discriminatori o comunque pregiudizievoli della sfera giuridica dell'interessato. Sulla definizione di profilazione si rimanda anche alle linee guida elaborate dall'(ex) Gruppo di lavoro 29 in materia di processi decisionali automatizzati. Il termine rileva in quanto l'art. 8 d.lgs. n. 51/2018, a cui si rinvia, prevede il diritto dell'interessato a non subire decisioni basate unicamente su un trattamento automatizzato di dati, compresa la profilazione, che producano effetti negativi, salvo che siano autorizzate dal diritto dell'Unione europea o da disposizioni di legge. Soggetti del trattamentoAutorità competente e titolare del trattamento Peculiare del decreto in esame è la nozione di “Autorità competente” che, come già visto con riferimento all'art. 1 d.lgs. n. 51/2018, a cui si rinvia, si caratterizza funzionalmente, per l'esercizio di pubblici poteri in materia di prevenzione e repressione dei reati, di esecuzione di sanzioni penali e di salvaguardia contro e di prevenzione di minacce alla sicurezza pubblica, e che conseguentemente comprende non solo le autorità pubbliche dello Stato o dell'Unione competenti per tali finalità, ma anche gli organismi incaricati dagli ordinamenti interni di esercitare l'autorità pubblica e i poteri pubblici per le suddette finalità. Coerentemente, possono costituire un “titolare del trattamento” solo le autorità competenti, come sopra definite, che, da sole o congiuntamente ad altri, determinino finalità e mezzi del trattamento. Si noti che a differenza di quanto avviene nel Regolamento (ove titolare è anche il “servizio o altro organismo”), nella definizione dell'art. 2, lett. h) d.lgs. n. 51/2018 non è prevista la possibilità di considerare come autonomo titolare anche una sottostruttura o ripartizione dell'autorità stessa, qualora abbia autonomi poteri decisionali (ad esempio un dipartimento). Titolare sarà dunque, in questo caso, l'autorità nel suo complesso. A parere di chi scrive la scelta del legislatore è condivisibile, considerata la delicatezza del settore, per cui il fatto che finalità e mezzi del trattamento siano determinati dall'autorità competente, a livello centrale, e non possano essere determinate da autorità periferiche, rappresenta una ulteriore tutela per l'interessato. Ciò che caratterizza il titolare, dunque, oltre all'essere un'autorità competente, è la definizione delle finalità e dei mezzi del trattamento. Per finalità deve intendersi l'obiettivo per il quale è effettuato il trattamento, mentre per mezzi, devono intendersi non solo gli strumenti, ma anche la modalità e la logica del trattamento, sotto un profilo organizzativo. La qualifica di titolare richiede congiuntamente la definizione di finalità e mezzi, ed entrambi gli elementi sono posti su un piano di equipollenza. Nel caso in cui la decisione su finalità e mezzi non coesista nello stesso soggetto, deve essere data un'importanza preminente alla definizione delle finalità rispetto a quella dei mezzi. Se quindi un soggetto determina le finalità, gli è sicuramente attribuita la qualifica di titolare, mentre se determina i mezzi si dovrà valutare caso per caso. Il titolare potrebbe infatti, una volta determinata la finalità, decidere di delegare ad un terzo la definizione di aspetti tecnici secondari e funzionali per il raggiungimento della stessa (e in tal caso il terzo, pur prendendo decisioni, non assumerebbe il ruolo di titolare) oppure potrebbe verificarsi la situazione per cui il soggetto delegato determina aspetti fondamentali del trattamento (configurandosi come titolare). Ad esempio, è chiaro che un fornitore di hosting o di manutenzione di sistemi informatici che si limiti a conservare i dati o mantenere il sistema alle condizioni dettate dal titolare (per una finalità propria del titolare) si configurerà quale responsabile del trattamento, dal momento che svolge funzioni esecutive. Diversamente, nel caso di un avvocato o di un consulente tecnico che, pur svolgendo l'incarico per conto del cliente o del giudice, e per finalità da questi determinati, abbia piena autonomia nel decidere i mezzi del trattamento, il rapporto con i dati dovrà essere definito in termini di titolarità autonoma. I confini, nell'applicazione pratica, spesso non risultano nitidi (Pelino, 119 ss.). Nella giurisprudenza comunitaria, la tendenza è quella di interpretare in modo estensivo la definizione di titolare, al fine di garantire una tutela efficace e completa degli interessati. Vedasi ad esempio la sentenza della Corte di Giustizia che, relativamente ai dati raccolti tramite cookies da una piattaforma di social network, ha considerato titolare del trattamento anche il semplice amministratore di una fanpage (CGUE, 5 giugno 2018, n. 210/16). A mente dell'art. 2, lett. h) d.lgs. n. 51/2018, gli elementi la cui decisione comporta la qualifica di titolare possono essere determinati dal titolare anche congiuntamente ad altri. Si può verificare quindi una co-decisione, ove due soggetti, che pur rimangono autonomi nella loro attività di trattamento, ne decidono insieme mezzi e finalità. Si verifica, in tal caso, una ipotesi di contitolarità, che comporta gli specifici obblighi previsti dall'art. 17 d.lgs. n. 51/2018. Numerose sono le disposizioni del decreto che specificano gli obblighi del titolare, che si elencano di seguito per mero fine di completezza espositiva, rimandando ai commenti dei singoli articoli citati per approfondimenti: garantire il rispetto dei principi per il trattamento dei dati personali stabiliti dall'art. 3 d.lgs. n. 51/2018; conservare e verificare la qualità dei dati, distinguendo tra diverse categorie di interessati (art. 4 d.lgs. n. 51/2018); rendere disponibili all'interessato le informazioni sul trattamento (art. 10 d.lgs. n. 51/2018); garantire l'esercizio dei diritti dell'interessato (artt. 11,12,13 d.lgs. n. 51/2018); mettere in atto le misure tecniche e organizzative adeguate per garantire il rispetto del decreto (art. 15 d.lgs. n. 51/2018); attuare la protezione dei dati fin dalla progettazione e per impostazione predefinita (art. 16 d.lgs. n. 51/2018); designare i responsabili del trattamento (art. 18 d.lgs. n. 51/2018); fornire le istruzioni adeguate al personale che tratta dati (art. 19 d.lgs. n. 51/2018); tenere i registri delle attività di trattamento (art. 20 d.lgs. n. 51/2018); garantire la tenuta dei file di log (art. 21 d.lgs. n. 51/2018); cooperare con il Garante (art. 22 d.lgs. n. 51/2018); effettuare la valutazione di impatto sulla protezione dei dati ove ne ricorrano i presupposti (art. 23 d.lgs. n. 51/2018); attuare le misure di sicurezza (art. 25 d.lgs. n. 51/2018); effettuare le notifiche e comunicazioni previste in caso di violazione di dati personali (art. 26 e 27 d.lgs. n. 51/2018); designare il responsabile della protezione dati (art. 28 d.lgs. n. 51/2018). Sempre con riferimento alle autorità competenti titolari, si rammenta che l'articolo in commento individua le “forze di polizia” con riferimento all'art. 16 della legge 1981, n. 121, per cui sono da ricomprendersi in tale nozione la Polizia di Stato, l'Arma dei Carabinieri, quale forza armata in servizio permanente di pubblica sicurezza, il corpo della Guardia di Finanza, per il concorso al mantenimento dell'ordine e della sicurezza pubblica. Sono altresì forze di polizia, e possono essere chiamati a concorrere nell'espletamento di servizi di ordine e sicurezza pubblica, il corpo degli agenti di custodia e il corpo forestale dello Stato. Responsabile del trattamento Il “responsabile del trattamento”, parallelamente alla definizione del Regolamento, è individuato funzionalmente per il fatto di trattare dati “per conto” del titolare. Può trattarsi di una persona fisica o giuridica, di una autorità pubblica o, in questo caso, anche di un servizio o altro organismo. Quanto agli elementi distintivi tra titolare e responsabile, si rimanda a quanto già detto in tema di definizione di titolare Ai sensi dell'art. 18 d.lgs. n. 51/2018, l'affidamento di trattamenti ad un responsabile esterno (che dovrà dare garanzia di adottare misure tecniche e organizzative adeguate ad assicurare la protezione dei dati personali) deve essere formalizzata mediante un contratto scritto o altro atto giuridico che preveda una serie di elementi indicati nell'art. 18 d.lgs. n. 51/2018, a cui si rinvia. Il responsabile risponde del danno causato dal trattamento solo se non adempie agli obblighi previsti dal decreto e diretti specificamente ai responsabili o se agisce in modo difforme rispetto alle istruzioni del titolare (art. 41 d.lgs. n. 51/2018). Qualora determini le finalità e i mezzi del trattamento, sarà considerato titolare del trattamento e gli saranno applicate le relative disposizioni (art. 18 d.lgs. n. 51/2018). Sul responsabile gravano alcuni degli obblighi previsti per il titolare, che si elencano di seguito per mero fine di completezza espositiva, rimandando ai commenti dei singoli articoli citati per approfondimenti: designare i sub-responsabili del trattamento, se autorizzato dal titolare, e adempiere agli altri specifici obblighi previsti dall'art. 18; tenere i registri delle attività di trattamento svolte per conto di un titolare (art. 20 d.lgs. n. 51/2018); cooperare con il Garante (art. 22 d.lgs. n. 51/2018); attuare le misure di sicurezza (art. 25 d.lgs. n. 51/2018). Destinatario Il “destinatario” è il soggetto che riceve comunicazione dei dati personali “che si tratti o meno di un terzo”: potranno quindi rientrare in tale definizione anche eventuali responsabili esterni, contitolari, titolari autonomi o autorizzati. È tuttavia precisato che non sono considerate come destinatari le autorità pubbliche che possano ricevere comunicazione dei dati personali nell'ambito di una specifica indagine conformemente al diritto dell'Unione europea o dello Stato (in tal caso il trattamento sarà disciplinato dalle norme applicabili secondo la finalità). Il considerando 21 della direttiva (UE) 2016/680 esclude in tal senso dai destinatari le autorità a cui i dati sono comunicati per obbligo di legge in ragione della loro funzione istituzionale, quali le autorità fiscali e doganali, le unità di indagine finanziaria, le autorità amministrative indipendenti o le autorità dei mercati finanziari, i responsabili della regolamentazione e della vigilanza dei mercati dei valori mobiliari. In tali casi, comunque, “le richieste di comunicazione inviate dalle autorità pubbliche dovrebbero sempre essere scritte, motivate e occasionali e non dovrebbero riguardare un intero archivio o condurre all'interconnessione di archivi”. Violazione di dati personaliQuanto alla definizione di “violazione dei dati personali”, giova innanzitutto precisare che non tutte le violazioni di sicurezza costituiscono anche violazioni di dati personali. Affinché sia configurabile come tale, la violazione dovrà rispecchiare i requisiti indicati dall'articolo 2, lett. m) d.lgs. n. 51/2018, e quindi comportare, accidentalmente o in modo illecito, sui dati personali, uno dei seguenti eventi: distruzione (il dato non esiste o comunque non è più utilizzabile dal titolare), perdita (il dato esiste ma il titolare non ne ha più l'accesso o il controllo o non ne è più in possesso), modifica (il dato è alterato), divulgazione non autorizzata o accesso non autorizzato (accesso da parte di soggetti non autorizzati o in violazione delle norme del decreto). Nel caso di violazione di dati personali, quindi, si verificherà necessariamente una violazione della confidenzialità (divulgazione o accesso), disponibilità (perdita o distruzione) o dell'integrità del dato (modifica). Ai fini interpretativi e di verifica della casistica costituente violazione dei dati, un valido aiuto è fornito dalle Linee-guida 01/2021 dell'European Data Protection Board su esempi riguardanti la notifica di una violazione dei dati personali. Nel caso in cui si verifichi una violazione di dati personali, il titolare del trattamento deve effettuare una notifica al Garante ai sensi dell'art. 26 d.lgs. n. 51/2018. Allorché la violazione comporti un rischio elevato per i diritti e le libertà delle persone fisiche, sarà dovuta altresì una comunicazione all'interessato, in conformità a quanto disposto dall'art. 27 d.lgs. n. 51/2018. File di logDesta attenzione l'esigenza sentita dal legislatore italiano di introdurre anche il concetto di “file di log”, definiti in modo poco comprensibile, come “il registro degli accessi e delle operazioni”. Ad avviso di chi scrive, i file di log si sarebbero potuti definire le registrazioni degli eventi generati dal sistema di autenticazione informatica all'atto dell'accesso o tentativo di accesso o disconnessione da un sistema, in grado di tener traccia dell'account utilizzato, della data e ora dell'evento e della descrizione dell'evento (log-in, log-out, errore). La nozione appare rilevante nella materia in esame in quanto l'art. 21 pone uno specifico obbligo di registrare in file di log (conservati per un periodo stabilito) le operazioni di raccolta, modifica, consultazione, comunicazione, trasferimento, interconnessione e cancellazione di dati, eseguite in sistemi di trattamento automatizzati. BibliografiaBolognini, in Bolognini-Pelino, Codice Privacy, tutte le novità del d.lgs. 101/2018, Milano, 2018, cap. 7; Coppola, in Riccio-Scorza-Belisario (a cura di), GDPR e normativa privacy commentario, Milano, 2018, art. 4, cap. VI.1; Guerrieri, in Riccio-Scorza-Belisario (a cura di), cit., art. 4, cap. III.2., V.1.; Pelino, in Bolognini-Pelino-Bistolfi, Il regolamento privacy europeo, commentario alla nuova disciplina sulla protezione dei dati personali, Milano, 2016, cap. 2, B, cap. 2, F, cap. 3. |
