Regolamento - 27/04/2016 - n. 679 art. 5 - Principi applicabili al trattamento di dati personali

Liceità, correttezza e trasparenza

L'art. 5.1, lett. a) stabilisce che i dati personali devono essere trattati in modo lecito, corretto e trasparente nei confronti dell'interessato. Il principio di liceità è, in particolare, richiamato anche dall'art. 52 della Carta di Nizza che, a sua volta, richiama l'art. 8 della CEDU. Dalla lettura di queste due norme si evincono alcuni punti fermi: in primis, un'esplicita e assoluta riserva di legge nei confronti di qualunque limitazione al diritto alla protezione dei dati personali; in secundis, l'ulteriore necessità che il trattamento persegua uno scopo legittimo e compatibile con una società democratica (Benedetti, in Pizzetti, 252).

È evidente che questi principi avrebbero potuto essere divisi ed elencati singolarmente, trattandosi di concetti distinti. Si può perciò dare rilievo alla decisione di raggrupparli all'interno di una singola espressione sulla base della considerazione che la loro tripartizione si risolve in un'unità dal sapore teologico. Infatti – oltre alla vicinanza semantica tra liceità e correttezza – la descrizione evoca immediatamente la necessità di guardare contestualmente ai tre principi in sede di verifica della loro sussistenza. Soprattutto, dal loro essere rivolti «nei confronti dell'interessato» si evince che quest'ultimo è il vero destinatario delle garanzie poste alla base di tali principi, e che la liceità è un concetto “relativo” poiché parametrato all'effettività della trasparenza e della correttezza nei confronti di quest'ultimo. In effetti, l'importanza e la portata di questi principi sono tali che essi permettono in ultima analisi di ricongiungere la sfera personale con quella politica, e, incidendo sulla circolazione delle informazioni, influenzano anche la distribuzione del potere nella società (Rodotà, 135).

In verità, un'indagine circa l'utilità e le differenze tra la correttezza e la liceità del trattamento fa emergere alcune interessanti differenze. Se la prima potrebbe infatti essere interpretata, in senso quasi “giusnaturalistico”, come un rimando a una buona fede (latu sensu intesa) nella gestione dei rapporti con l'interessato, la liceità potrebbe essere limitata alla corrispondenza tra le condotte poste in essere dal titolare rispetto alle norme positive. Inoltre, relativamente alla liceità del trattamento, dalla prassi decisoria del Garante italiano emerge come essa sia legata ad un'analisi caso per caso e vada considerata unitamente ad altri principi di egual rango. Così, a titolo esemplificativo, in un provvedimento in materia di liceità di un sistema di rilevazione di impronte digitali si afferma che «in ordine al sistema di rilevazione [...], la sua liceità deve essere verificata altresì, sotto altri profili concernenti i principi di necessità, proporzionalità, finalità e correttezza, nonché qualità dei dati» (GPDP, 21 luglio 2005 [doc. web n. 1158135]; Di Resta, 41).

L'art. 5.1, lett. a) prosegue disponendo che il trattamento deve essere, in tutte le sue fasi, prevedibile e comprensibile, così da consentire all'interessato il controllo sui propri dati (Bolognini,Pelino, Bistolfi, 93). In questo senso, il trattamento può dirsi lecito nella misura in cui l'interessato sia stato informato in maniera trasparente e corretta riguardo al trattamento, venendo dunque confermato quell'indirizzo dottrinale per il quale il reale significato della liceità si ricava dal raccordo con la correttezza (Piraino, in Panetta (a cura di), 750); d'altronde, già Rodotà collegava questi principi al più generale principio di solidarietà, quale limite all'operare dei soggetti (Rodotà, 109).

Per quanto riguarda il principio di correttezza, è necessario rilevare che lo stesso non appare facilmente assimilabile al principio civilistico di correttezza e buona fede: quest'ultimo è infatti pensato per regolare i rapporti contrattuali, mentre il primo si inserisce nella dialettica tra il titolare del trattamento e l'interessato.

A un inquadramento della fondamentale portata del principio di correttezza contribuiscono in modo dirimente le recenti Linee guida 4/2019 sull'articolo 25. Protezione dei dati fin dalla progettazione e per impostazione predefinita, adottate dall'EDPB il 20 ottobre 2020. In tale sede, il Comitato ha infatti chiarito che «fairness is an overarching principle which requires that personal data shall not be processed in a way that is detrimental, discriminatory, unexpected or misleading to the data subject» (par. 69). Si tratta della prima volta in cui l'EDPB ha analizzato tale principio in modo relativamente elaborato, e ciò risulta particolarmente apprezzabile proprio in quanto il concetto di correttezza è al tempo stesso il più nebuloso e centrale tra i principi generali (De Terwangne, Bygrave, in Kuner, Bygrave, Docksey (a cura di), 68). L'inciso sul principio di trasparenza viene inoltre riproposto all'interno delle Guidelines 03/2022 on deceptive design patterns in social media platforminterfaces: how to recognise and avoidthem, adottate dall'EDPB il 14 febbraio 2023. Proprio a tale principio le linee guida sui dark pattern attribuiscono una «funzione ombrello», con la conseguenza che «all deceptive design patterns would not comply with it irrespectively of compliance with other data protection principles» (par. 9).

Come liceità e correttezza, anche il principio di trasparenza non è definito espressamente dal Regolamento. Ad esso è però dedicata una notevole parte del considerando 39, secondo cui «dovrebbero essere trasparenti per le persone fisiche le modalità con cui sono raccolti, utilizzati, consultati o altrimenti trattati dati personali che li riguardano nonché la misura in cui i dati personali sono o saranno trattati. Il principio della trasparenza impone che le informazioni e le comunicazioni relative al trattamento di tali dati personali siano facilmente accessibili e comprensibili e che sia utilizzato un linguaggio semplice e chiaro». Tale considerando ricollega, inoltre, il principio di trasparenza alle esigenze di sensibilizzazione dell'interessato disponendo circa i rischi, le norme, le garanzie e i diritti relativi al trattamento dei dati personali, nonché alle modalità di esercizio dei loro diritti relativi a tale trattamento.

A conferma della portata ampia ed estensiva del principio di trasparenza depongono anche le già citate linee guida 03/2022 dell'EDPB. In tale sede, nel valutare i profili di conformità al Regolamento dei modelli di progettazione ingannevoli (c.d. dark pattern), il Comitato ha infatti ribadito che «[a]s Recital 39 phrase 3 on the principle of transparency shows, this requirement is not [...] limited to data protection notices or data subject rights, but rather applies to any information and communication relating to the processing of personal data. Phrase 5 of the Recital also clarifies that data subjects should be made aware of risks, rules, safeguards and rights in relation to the processing of personal data and how to exercise their rights in relation to such processing» (par. 10).

Il considerando 39 deve essere ricondotto a un'altra importantissima fonte in tema di trasparenza: le Linee guida sulla trasparenza ai sensi del regolamento 2016/679, emanate dal WP 29 (par. 10). In tale sede viene chiarito che l'obbligo di trasparenza si applica a principalmente a tre aree: 1) l'informativa agli interessati; 2) il modo in cui i titolari del trattamento comunicano con gli interessati in relazione ai loro diritti ai sensi del Regolamento; 3) il modo in cui i titolari del trattamento consentono un semplice esercizio dei diritti agli interessati. La sua funzione è, come anticipato, collegata all'“empowerement” degli interessati relativamente alla possibilità di controllare i propri dati e responsabilizzare i titolari, ad esempio permettendo di revocare il consenso al trattamento e di esercitare i loro diritti liberamente. In generale, il WP 29 sottolinea anche che trasparenza significa soprattutto prevedibilità. L'interessato deve infatti essere in grado di determinare in anticipo «quali siano la portata del trattamento e le relative conseguenze e non dovrebbe successivamente essere colto di sorpresa dalle modalità di utilizzo dei dati personali che lo riguardano».

All'interno del Regolamento vi sono numerose articolazioni concrete di questo principio: dall'art. 12, che stabilisce le regole generali applicabili, ai successivi artt. 13 e 14 in tema di informativa, alle comunicazioni agli interessati riguardo all'esercizio dei diritti (artt. 15-22), fino agli oneri comunicativi in caso di data breach (art. 34). La portata del principio di trasparenza invade addirittura il campo delle attività negoziali del titolare: difatti, l'art. 26 – il quale impone che l'allocazione di ruoli e responsabilità in caso di contitolarità debba necessariamente avvenire mediante un apposito accordo tra i contitolari – prevede che il contenuto essenziale di tale accordo deve essere messo a disposizione dell'interessato. In modo quasi analogo, i già citati artt. 13 e 14, nel caso in cui vengano posti in essere trasferimenti di dati personali a un destinatario in un paese terzo o a un'organizzazione internazionale, prescrivono al titolare di mettere gli interessati in condizione di consultare le garanzie adeguate o opportune applicabili al trasferimento (ciò mediante l'indicazione dei mezzi per ottenerne una copia o del luogo ove sono state rese disponibili). È poi importante sottolineare come la trasparenza non operi solo nei rapporti con l'interessato, ma si espanda fino a lambire anche le relazioni con le Autorità di controllo. Ad esempio, l'art. 30 del Regolamento dispone che il registro delle attività di trattamento tenuto dal titolare o dal responsabile deve essere messo a disposizione delle autorità qualora richiesto.

Un ulteriore ampliamento del perimetro del principio di trasparenza, con specifico riferimento al contesto lavorativo, può ricondursi all'approvazione della dir. (UE) 2019/1152 relativa a condizioni di lavoro trasparenti e prevedibili nell'Unione europea, recentemente attuata in Italia per mezzo del d.lgs. n. 104/2022. Il c.d. Decreto trasparenza ha infatti introdotto una serie di ulteriori obblighi informativi in capo ai datori di lavoro pubblici e privati nei confronti dei propri lavoratori, anche e specificamente nel caso in cui vengano utilizzati «sistemi decisionali o di monitoraggio automatizzati deputati a fornire indicazioni rilevanti ai fini della assunzione o del conferimento dell'incarico, della gestione o della cessazione del rapporto di lavoro, dell'assegnazione di compiti o mansioni nonché indicazioni incidenti sulla sorveglianza, la valutazione, le prestazioni e l'adempimento delle obbligazioni contrattuali dei lavoratori». Tenuto conto della necessità di coordinare detta disciplina settoriale con la normativa data protection, il Garante italiano ha adottato una nota di interpretazione sistematica delle neo introdotte disposizioni alla luce della disciplina europea in materia di protezione e circolazione dei dati personali (GPDP, 13 dicembre 2022 [doc. web n. 9844960]).

Ogni forma di ostacolo teso ad occultare dallo sguardo (e quindi dalla conoscenza) dell'interessato le informazioni basilari sul trattamento che lo riguarda è quindi da censurarsi e sanzionare (si veda, ad esempio, la Délibération n°SAN-2019-001 du 21 janvier 2019 della Commission Nationale de l'Informatique et des Libertés).

Nel tentativo di sintetizzare il fine ultimo del principio di trasparenza, riteniamo che le parole di Brandeis ne mostrino la cifra: «Sunlightisdeemed to be the best disinfectant» (Brandeis, 92).

La Corte di Cassazione, I Sezione civile, con ordinanza n. 14381 del 25 maggio 2021, ha evidenziato come il principio di trasparenza sia fondamentale al fine dell'espressione di un valido consenso al trattamento dei dati personali. In particolare, allorché il trattamento sia effettuato attraverso un algoritmo che sia in grado di adottare decisioni automatizzate che incidono sui diritti degli interessati, il consenso non è validamente prestato se all'interessato non sono state fornite sufficienti e chiare informazioni in merito alle logiche con cui l'algoritmo perviene alla decisione. Il caso riguardava un ricorso presentato dal Garante contro una decisione del Tribunale di Roma, che aveva parzialmente accolto il ricorso di una società, a cui l'Autorità aveva negato la possibilità di implementare un sistema di rating reputazionale basato sul consenso degli interessati. Il sistema, infatti, prevedeva decisioni automatizzate, ma agli interessati non venivano fornite informazioni circa il funzionamento dell'algoritmo e l'elaborazione dei profili. La Corte di Cassazione, nel giudicare il caso (che invero si riferiva alla disciplina data protection previgente al Regolamento), ha affermato che l'assenza di tali informazioni comporta l'invalidità del consenso prestato al trattamento dei dati mediante l'utilizzo dell'algoritmo, confermando quanto oggi espressamente sancito all'art. 22.

Limitazione della finalità

Secondo il principio di limitazione delle finalità, o semplicemente principio di finalità, i dati personali devono essere raccolti per finalità determinate, esplicite e legittime, e successivamente trattati in un modo che non sia incompatibile con tali finalità. L'art. 5.1, lett. b) specifica inoltre che «un ulteriore trattamento dei dati personali a fini di archiviazione nel pubblico interesse, di ricerca scientifica o storica o a fini statistici non è, conformemente all'art. 89, paragrafo 1, considerato incompatibile con le finalità iniziali» (v. art. 89).

In un sistema legislativo che lascia il titolare del trattamento con un notevole grado di libertà in punto di accountability, il principio di finalità è destinato a giocare un ruolo di primaria importanza: esso costituisce una limitazione interna al trattamento stesso, in contrasto con la visione che disegna i dati come un patrimonio del titolare (connessi quindi ad un vero e proprio ius utendi et abutendi) che può disporne a proprio piacimento. Al contrario, il principio di finalità impone che gli scopi per cui i dati sono trattati siano determinati prima del trattamento. Sono dunque escluse finalità indefinite o illegittime: ogni trattamento con finalità diversa ed ulteriore deve basarsi su di un'autonoma condizione di liceità (Pizzetti, 248). Ciò è disposto anche dal considerando 39, per il quale «le finalità specifiche del trattamento dei dati personali dovrebbero essere esplicite e legittime e precisate al momento della raccolta di detti dati personali».

La questione di maggiore rilevanza richiamata dal principio di finalità riguarda, perciò, il riuso dei dati personali. In una società sempre più focalizzata sulle tecnologie di big data analytics, dove è tecnicamente possibile inferire dati da altri dati, prevedendo de facto le preferenze dei consumatori, il principio di finalità costituisce un vero e proprio baluardo contro la completa dissoluzione di qualsivoglia limite alle capacità della macchina (Pizzetti, 2016, par. 16).

Fondamentale in materia di limitazione delle finalità è l'Opinion 03/2013 on purposelimitation del WP 29. Il gruppo dei Garanti europei, dopo aver sottolineato l'importanza che il trattamento risulti determinato prima della raccolta dei dati, al fine di poter perimetrare l'oggetto del trattamento e quali norme sono ad esso applicabili, divide sostanzialmente il trattamento in due blocchi (Pizzetti, 2016, par. 16). Il primo è costituito dalla natura esplicita delle finalità, per far sì che ogni soggetto abbia la medesima comprensione delle ragioni per cui il trattamento viene effettuato. A questo fine, per individuare gli scopi del trattamento è necessario effettuare un vaglio di natura sostanziale, tenendo in considerazione la cornice fattuale di riferimento, come ad esempio il sentire comune e le ragionevoli aspettative degli interessati in base al contesto. Il WP 29 invita inoltre a non confondere il profilo della determinazione delle finalità con quello delle condizioni di liceità: si tratta infatti di elementi separati che devono essere presenti in maniera cumulativa. Il secondo blocco è invece costituito dai trattamenti successivi (rispetto alla finalità per cui i dati sono stati raccolti) ed è dunque legato al riuso dei dati. La formulazione utilizzata dal Regolamento è dubitativa: si preferisce l'uso di una litote («non incompatibile») piuttosto che una dichiarazione di conformità del riuso rispetto ai trattamenti a fini di archiviazione nel pubblico interesse, di ricerca scientifica o storica o a fini statistici. Anche il WP 29 sostiene che i trattamenti per finalità ulteriori non devono essere definiti incompatibili a priori; chiaramente, in virtù del maggior rischio connesso, bisognerà fare buon uso, a seconda del caso, delle tecniche di anonimizzazione, pseudonimizzazione e delle privacy-enhancingtechnologies (v. art. 11).

In assenza di un'indicazione normativa, e tenuto conto della pluralità di proposte definitorie e classificatorie (per un rassegna sul tema, cfr. OECD, Emerging privacy-enhancing technologies: Current regulatory and policy approaches) le privacy-enhancing technologies (PETs) possono generalmente definirsi come l'insieme di «software and hardware solutions, i.e. systems encompassing technical processes, methods, or knowledge to achieve specific privacy or data protection functionality or to protect against risks to privacy of an individual or a group of natural persons» (ENISA, Readiness Analysis for the Adoption and Evolution of Privacy Enhancing Technologies, 9). Le PETs sono dunque tecnologie che incorporano i principi fondamentali della protezione dei dati minimizzando l'utilizzo dei dati personali e massimizzandone la sicurezza (ICO, Draft guidance on privacy-enhancingtechnologies (PETs), 3). L'impiego delle PETs può risultare particolarmente rilevante anche in relazione ai principi di privacy by design e privacy by default. In particolare, quelle «che hanno raggiunto lo stato dell'arte possono essere utilizzate fra le misure da adottare in conformità dei requisiti della [protezione dei dati fin dalla progettazione e di protezione per impostazione predefinita], se del caso, secondo un approccio basato sul rischio», fermo comunque che «di per sé, le PET non coprono necessariamente gli obblighi di cui all'articolo 25» e «i titolari devono valutare se la specifica misura sia adeguata ed efficace ai fini dell'attuazione dei principi di protezione dei dati e dei diritti degli interessati» (EDPB, Linee guida 4/2019 sull'articolo 25. Protezione dei dati fin dalla progettazione e per impostazione predefinita, 32). Tra le PETs più interessanti figurano certamente i synthetic data, dati realistici, ma artificiali, in quanto generati da algoritmi di intelligenza artificiale generativa addestrati su dati reali, che presentano le medesime proprietà statistiche dei dataset originali (Bellovin, Dutta, Reitinger, 4). Ciò significa che i dati sintetici e quelli originali dovrebbero fornire risultati estremamente simili se sottoposti alla stessa analisi statistica (EDPS, TechSonar Report 2022-2023, 14). Particolarmente rilevanti sono le applicazioni di questa privacy-enhancing technology in ambito sanitario (cfr. Morley, Fletcher, in Beneduce, Bertolaso (edito da)).

La possibilità di procedere a trattamenti ulteriori è, per il WP 29, frutto di una precisa e sostanziale valutazione di compatibilità da parte del titolare. In particolare, è necessario considerare la relazione tra le finalità per le quali i dati sono stati raccolti e quelle ulteriori che si vogliono raggiungere, il contesto, la natura dei dati personali e il loro impatto per l'interessato e le misure adottate per garantire la correttezza dei trattamenti. Ed è proprio ai trattamenti tramite big data che il WP 29 rivolge i suoi ammonimenti, richiamando «l'esigenza di una applicazione rigorosa ma bilanciata e flessibile del compatibility test per assicurare che possa essere applicato nella nostra moderna società interconnessa» (Pizzetti, 2016, cit.). Si segnala, inoltre, che tali disposizioni sono diventate lettera del Regolamento mediante l'art. 6.4.

Minimizzazione dei dati

Il principio di minimizzazione è espressione dei tre principi di adeguatezza, pertinenza e necessità rispetto alle finalità per le quali sono trattati. In tal senso, esso è strettamente connesso all'art. 25 del Regolamento, ovvero ai principi di privacy by design e privacy by default. La minimizzazione è espressamente richiamata innanzitutto da questo articolo, nonché dal considerando 78, che la annovera tra le politiche interne per dimostrare l'adeguatezza delle misure poste in essere dal titolare per il rispetto di tali principi.

A questo proposito, le linee guida 4/2019 dell'EDPB sui principi di privacy by design e privacy by default del 20 ottobre 2020, nel dedicare attenzione all'attuazione dei principi generali applicabili al trattamento di dati utilizzando i principi sanciti all'art. 25, si sofferma anche e proprio su quello di minimizzazione.

La minimizzazione potrebbe allora essere definita come la «relazione tra le finalità del trattamento e la valutazione da parte del titolare dei dati che è necessario trattare per raggiungere gli scopi prefissati» (Pizzetti, 2016, cit.). In particolare, Pizzetti, interrogandosi sul ruolo della minimizzazione in relazione alla sfida dell'intelligenza artificiale, propone una visione «prismatica» della protezione dei dati personali: se, come detto, i trattamenti complessi tendono a costituire una catena, in quanto composti da varie fasi, la minimizzazione deve essere tenuta in considerazione in ogni fase della catena. Ad esempio, ciò potrebbe esplicarsi, nel caso di attività di big data analytics, nel principio per cui la cessione a terzi dei dati è effettuata sulla base di un rapporto giuridico che ponga a carico del cedente la selezione dei dati necessari al cessionario. L'autore consiglia allora di virare verso un'interpretazione estensiva (Pizzetti, 2016, 120-121) di questo principio, volta a una più effettiva gestione e controllo delle varie cessioni. La minimizzazione non dovrà applicarsi unicamente alle varie «fasi della catena», ma anche al «passaggio da un titolare all'altro», attraverso un collegamento logico tra minimizzazione e finalità del trattamento. Importanza preponderante dovrebbe allora essere attribuita alla finalità dell'«ultimo anello della catena», da cui le altre in definitiva dipendono a ritroso.

Un interessante caso pratico riguarda le applicazioni per smartphone, spesso accusate di approfittare delle complicazioni tecniche per raccogliere più dati personali di quelli necessari al proprio funzionamento. Il caso (EDPB, SummaryFinalDecision Art 60, LSA: DEBE, 30 September 2020 (en)) riguarda una segnalazione da parte di un interessato della violazione del principio di minimizzazione da parte del titolare, produttore di barbeques e elettrodomesti smart collegabili al telefono tramite apposite app. A detta dell'interessato, infatti, il titolare subordinava la possibilità di controllo del prodotto tramite smartphone all'attivazione dei dati posizionali. Perciò, per effettuare il collegamento si rendeva necessario attivare contestualmente l'indicatore di posizione del telefono (c.d. location tracking). L'Autorità di controllo capofila, nell'archiviare la segnalazione, ha accertato la liceità del trattamento sulla base di una restrizione tecnica del sistema operativo Android: i location beacons non potevano fare a meno del Bluetooth – e dunque della posizione – per fornire il servizio richiesto.

Il principio di minimizzazione è stato inoltre recentemente scrutinato dal Garante italiano sia con riferimento allo svolgimento dell'attività di investigazione privata (GPDP, 16 settembre 2021 [doc. web n. 9718933]), sia avuto riguardo all'installazione di sistemi di videosorveglianza (GPDP, 16 settembre 2021 [doc. web n. 9705650]). Avuto riguardo a tale ultimo ambito di trattamento, utili indicazioni in merito all'applicazione e al rispetto di detto principio sono contenute anche nelle Linee guida 3/2019 sul trattamento dei dati personali attraverso dispositivi video, adottate dall'EDPB il 29 gennaio 2020. In tale sede, il Comitato ha imposto ai titolari un test di valutazione bifasico, al fine di assicurare il rispetto del principio di cui all'art. 5.1, lett. c): «Prima di installare un sistema di videosorveglianza, il titolare del trattamento deve sempre valutare criticamente se questa misura sia in primo luogo idonea a raggiungere l'obiettivo desiderato e, in secondo luogo, adeguata e necessaria per i suoi scopi. Si dovrebbe optare per misure di videosorveglianza unicamente se la finalità del trattamento non può ragionevolmente essere raggiunta con altri mezzi meno intrusivi per i diritti e le libertà fondamentali dell'interessato» (par. 24).

La Corte di Cassazione si è espressa sulla necessità di rispettare i principi di pertinenza e non eccedenza dei dati con la sentenza n. 368 del 2021. Il caso riguardava una centrale rischi finanziari, che aveva inserito nei propri sistemi informatici dati tratti da pubblici registri che tuttavia si riferivano ad un soggetto terzo rispetto alla società ricorrente e che la danneggiavano. In tale occasione la Cassazione ha ribadito la necessità di trattare i dati secondo liceità e correttezza, valutando la finalità del trattamento e di conseguenza la pertinenza e non eccedenza dei dati rispetto a quest'ultima, in particolare nel settore bancario, ove gli interessati sono valutati dal punto di vista dell'affidabilità creditizia. Ciò vale anche nel caso di dati pubblici, posto che «colui che compie operazioni di trattamento di tali informazioni, dal loro accostamento, comparazione, esame, analisi, congiunzione, rapporto od incrocio può ricavare ulteriori informazioni e, quindi, un valore aggiunto informativo, non estraibile dai dati isolatamente considerati, potenzialmente lesivo della dignità dell'interessato».

Esattezza e limitazione della conservazione

Secondo il principio di esattezza, i dati personali devono essere «esatti e, se necessario, aggiornati; devono essere adottate tutte le misure ragionevoli per cancellare o rettificare tempestivamente i dati inesatti rispetto alle finalità per le quali sono trattati». Si coglie dunque un filo diretto sia con il diritto di rettifica di cui all'art. 16 del Regolamento – ai sensi del quale l'interessato ha il diritto di ottenere dal titolare del trattamento la rettifica dei dati personali inesatti che lo riguardano senza ingiustificato ritardo –, sia con la qualità dei dati personali trattati: un dato non è più utile se non è aggiornato, e, anzi, può risultare pericoloso se le informazioni sono inesatte.

Sulla necessità di rispettare il principio di esattezza è quantomeno opportuno segnalare la serie di provvedimenti con il quale il Garante italiano è stato chiamato, nel corso degli anni, a esprimere il proprio parare rispetto alle misure legislative disciplinanti l'emissione della carta d'identità elettronica (GPDP, 31 ottobre 2018 [doc. web n. 9058965]; GPDP, 25 marzo 2021 [doc. web n. 9677947]; GPDP, 16 giugno 2022 [doc. web n. 9790002]). La questione ha riguardato in particolare la tipologia di informazioni da riportare sulla carta d'identità elettronica dei soggetti minorenni e l'indicazione dei soggetti che possano chiederne il rilascio per loro conto, contrapponendosi le diciture “genitori” e “padre”/“madre”. La posizione del Garante può riassumersi nella richiesta di «riportare nel testo del documento, in aggiunta e non in sostituzione alla locuzione già presente di “padre” e “madre”, quella di “genitore”; ciò, al fine di assicurare la conformità dei trattamenti alla disciplina in materia di protezione dei dati personali, con particolare riferimento al principio di esattezza dei dati personali (art. 5, par. 1, lett. d) del Regolamento), in relazione ai casi in cui i soggetti esercenti la responsabilità genitoriale richiedenti la CIE per il proprio figlio minore, non siano esattamente riconducibili alla figura materna o paterna».

Assicurare la qualità dei dati è un compito che spetta al titolare del trattamento: ad esempio, immaginando un ciclo-vita fisiologico del trattamento, i dati dovrebbero essere cancellati una volta che le finalità sono state raggiunte e non risulta necessaria un'ulteriore conservazione in base alle disposizioni di legge. Ciò conduce al principio di limitazione della conservazione, secondo il quale i dati personali devono essere «conservati in una forma che consenta l'identificazione degli interessati per un arco di tempo non superiore al conseguimento delle finalità per le quali sono trattati». L'ulteriore conservazione può essere effettuata solo «a condizione che siano trattati esclusivamente a fini di archiviazione nel pubblico interesse, di ricerca scientifica o storica o a fini statistici, conformemente all'art. 89, comma 1, fatta salva l'attuazione di misure tecniche e organizzative adeguate richieste dal presente regolamento a tutela dei diritti e delle libertà dell'interessato». Anche questo punto è specificato dal considerando 39, secondo cui sussiste l'obbligo di «assicurare che il periodo di conservazione dei dati personali sia limitato al minimo necessario. [...] Onde assicurare che i dati personali non siano conservati più a lungo del necessario, il titolare del trattamento dovrebbe stabilire un termine per la cancellazione o per la verifica periodica. È opportuno adottare tutte le misure ragionevoli affinché i dati personali inesatti siano rettificati o cancellati».

Importante sentenza in tema di conservazione dei dati, nell'ambito delle comunicazioni elettroniche, è stata emessa dalla Corte di Giustizia il 6 ottobre 2020 (CGCE, C-623/17, Privacy International v. Secretary of State for Foreign and Commonwealth Affairs e a.). In primo luogo la Corte ha chiarito che, nel caso in cui sia emessa una normativa nazionale che impone ai fornitori di servizi di comunicazione elettronica di conservare i dati relativi al traffico e all'ubicazione o di trasmetterli alle autorità nazionali di sicurezza, la stessa rientra nell'ambito di applicazione della direttiva e-privacy, che non consente agli Stati membri di adottare, anche ai fini di sicurezza nazionale, misure legislative volte a limitare la portata dei diritti e degli obblighi previsti da tale direttiva. Nella sentenza la Corte dichiara che la direttiva e-privacy, letta alla luce della Carta, osta ad una normativa nazionale che imponga ai fornitori di servizi di comunicazione di trasmettere in modo generalizzato e indiscriminato i dati di traffico e di ubicazione alle autorità ed agenzie di sicurezza nazionale, ovvero di conservarli in modo indiscriminato a fini preventivi. Dall'altro lato è però precisato che, nelle situazioni in cui lo Stato membro sia interessato da una minaccia grave per la sicurezza nazionale, reale e attuale o prevedibile, non è escluso il ricorso ad un'ordinanza che imponga ai fornitori di servizi di comunicazione elettronica di conservare, in modo generale e indiscriminato, i dati relativi al traffico e all'ubicazione. In tal caso la decisione deve limitarne la durata allo stretto necessario, e deve essere soggetta ad un controllo effettivo da parte di un tribunale o di un organo amministrativo indipendente che possa verificare la sussistenza di tali situazioni e l'adozione di adeguate garanzie. Secondo la Corte, in tali circostanze sarebbe possibile anche un'analisi automatizzata dei dati di tutti gli utenti di mezzi di comunicazione elettronica. Inoltre, non è esclusa la possibilità di una conservazione mirata dei dati relativi al traffico e all'ubicazione, ovvero che sia limitata sulla base di elementi oggettivi e non discriminatori, ad esempio in base alle categorie di persone interessate o in base ad un criterio geografico. Allo stesso modo, la direttiva non osta a misure legislative che prevedano la conservazione generale e indiscriminata degli indirizzi IP, a condizione che il periodo di conservazione sia limitato, né ad una previsione legislativa che consenta il ricorso alla conservazione prolungata dei dati quando sia necessario al fine di indagare su gravi reati penali o minacce alla sicurezza nazionale. Infine, è possibile anche la raccolta in tempo reale di dati relativi al traffico e all'ubicazione, qualora tale attività sia limitata alle persone nei confronti delle quali ci sia un fondato sospetto di coinvolgimento in attività terroristiche, e purché vi sia un controllo preventivo da parte di un tribunale o di un organo amministrativo indipendente.

La Corte di Giustizia è ritornata sull'argomento con la sentenza del 2 marzo 2021 (CGUE, C-746/18, H.K./ Prokuratuur), nella causa relativa ad una domanda di pronuncia pregiudiziale presentata dalla Suprema Corte dell'Estonia. Con tale pronuncia la Corte conferma quanto indicato nelle sentenze precedenti, statuendo che «l'articolo 15, paragrafo 1, della direttiva 2002/58, letto alla luce degli articoli 7, 8 e 11 nonché dell'articolo 52, paragrafo 1, della Carta, deve essere interpretato nel senso che esso osta ad una normativa nazionale, la quale consenta l'accesso di autorità pubbliche ad un insieme di dati relativi al traffico o di dati relativi all'ubicazione, idonei a fornire informazioni sulle comunicazioni effettuate da un utente di un mezzo di comunicazione elettronica o sull'ubicazione delle apparecchiature terminali da costui utilizzate e a permettere di trarre precise conclusioni sulla sua vita privata, per finalità di prevenzione, ricerca, accertamento e perseguimento di reati, senza che tale accesso sia circoscritto a procedure aventi per scopo la lotta contro le forme gravi di criminalità o la prevenzione di gravi minacce alla sicurezza pubblica, e ciò indipendentemente dalla durata del periodo per il quale l'accesso ai dati suddetti viene richiesto, nonché dalla quantità o dalla natura dei dati disponibili per tale periodo» (cfr. punto 45). La pronuncia è interessante soprattutto in merito alla terza questione pregiudiziale, in cui il giudice del rinvio chiedeva se l'articolo della direttiva in questione dovesse anche essere interpretato nel senso «che esso osta a una normativa nazionale, la quale renda il pubblico ministero, il cui compito è di dirigere il procedimento istruttorio penale e di esercitare, eventualmente, lazione penale in un successivo procedimento, competente ad autorizzare l'accesso di un'autorità pubblica ai dati relativi al traffico e ai dati relativi all'ubicazione ai fini di un'istruttoria penale». La Corte, dopo aver ribadito che spetta al diritto nazionale stabilire le condizioni alle quali i fornitori di servizi di comunicazioni elettroniche devono accordare alle autorità nazionali competenti l'accesso ai dati di cui essi dispongono e che per soddisfare il requisito di proporzionalità che tale normativa, legalmente vincolante nell'ordinamento interno, deve prevedere regole chiare e precise che disciplinino la portata della misura in questione e fissino dei requisiti minimi, afferma che «è essenziale che l'accesso delle autorità nazionali competenti ai dati conservati sia subordinato ad un controllo preventivo effettuato o da un giudice o da un'entità amministrativa indipendente, e che la decisione di tale giudice o di tale entità intervenga a seguito di una richiesta motivata delle autorità suddette presentata, in particolare, nell'ambito di procedure di prevenzione o di accertamento di reati ovvero nel contesto di azioni penali esercitate. In caso di urgenza debitamente giustificata, il controllo deve intervenire entro termini brevi (v., in tal senso, sentenza del 6 ottobre 2020, La Quadrature du Netea, C 511/18, C 512/18 e C 520/18, EU:C:2020:791, punto 189 e la giurisprudenza ivi citata)» (cfr. punto 51). Si conclude quindi dichiarando che «l'articolo 15, paragrafo 1, della direttiva 2002/58, letto alla luce degli articoli 7, 8 e 11 nonché dell'articolo 52, paragrafo 1, della Carta, deve essere interpretato nel senso che esso osta ad una normativa nazionale, la quale renda il pubblico ministero, il cui compito è di dirigere il procedimento istruttorio penale e di esercitare, eventualmente, l'azione penale in un successivo procedimento, competente ad autorizzare l'accesso di un'autorità pubblica ai dati relativi al traffico e ai dati relativi all'ubicazione ai fini di un'istruttoria penale» (cfr. punto 59).

Integrità e riservatezza

Infine, l'ultimo dei principi elencati dall'art. 5 riguarda l'integrità e la riservatezza dei dati personali. Essi devono essere «trattati in maniera da garantire un'adeguata sicurezza dei dati personali, compresa la protezione, mediante misure tecniche e organizzative adeguate, da trattamenti non autorizzati o illeciti e dalla perdita, dalla distruzione o dal danno accidentali». Questi principi si pongono nell'interregno tra il diritto e la tecnica, e in particolare l'informatica, nella misura in cui una valutazione giuridica circa l'adeguatezza delle misure non può prescindere dalla valutazione tecnica – siamo nel campo dell'Information Technology – sulla corrispondenza tra la tipologia e le modalità dei dati trattati e le misure adottate. È dunque diretta espressione di questo principio l'art. 32 del Regolamento, laddove dispone che «tenendo conto dello stato dell'arte e dei costi di attuazione, nonché della natura, dell'oggetto, del contesto e delle finalità del trattamento, come anche del rischio di varia probabilità e gravità per i diritti e le libertà delle persone fisiche, il titolare del trattamento e il responsabile del trattamento mettono in atto misure tecniche e organizzative adeguate per garantire un livello di sicurezza adeguato al rischio».

Più in generale, è possibile affermare che un'intera sezione del Capo IV del Regolamento, e in particolare gli artt. 32-34, sviluppa e declina questo dovere di sicurezza, il quale – innovando rispetto al passato – include ora anche l'obbligo di notifica all'Autorità di controllo e di comunicazione agli interessati delle violazioni di dati personali (De Terwangne, in Kuner, Bygrave, Docksey,318).

Il principio di accountability

Il principio di accountability emerge positivamente nell'articolato del Regolamento solo al paragrafo secondo della disposizione in commento (responsabilizzazione è in inglese accountability), tuttavia esso costituisce una forza sotterranea che informa di sé pressoché tutti gli istituti del Regolamento. È il verso nella cui direzione occorre applicare e interpretare le norme nella materia de qua. La più limpida esposizione del principio appare tuttora contenuta nell'opinione 3/2010 dell'ex Gruppo di lavoro 29, oggi EDPB. Sostanzialmente l'accountability va intesa in due accezioni: 1) come anticipazione responsabile (o responsabilizzazione) di tutele, misure, procedure; 2) come rendicontazione, ossia dimostrazione, di averlo fatto e di avere osservato le regole applicabili, è appunto questo il contenuto dell'art. 5.2. La prima accezione emerge per esempio nel censimento dei rischi, nella loro valutazione secondo modelli e nel periodico aggiornamento della valutazione, il rischio essendo la stella polare dell'accountability. Emerge altresì nella predisposizione delle misure adeguate (adeguate appunto al rischio, che deve essere perciò innanzitutto compreso); nella formazione degli autorizzati; nell'implementazione di policy; nell'adesione a codici di condotta e certificazioni; nella designazione del DPO; in tutte le attività di censimento e di governance dei trattamenti. Ove tali attività siano prescritte normativamente, è la norma stessa che formalizza esigenze di accountability. L'accountability nella seconda accezione, quella di rendicontazione, si presenta in tutte le occasioni in cui sia tenuta traccia ed evidenza delle attività precedenti: ad esempio, perciò nella documentazione delle istruzioni agli autorizzati, nella predisposizione dei registri del trattamento, nella realizzazione di un elenco/registro dei personal data breach (art. 33, par. 5). L'accountability del resto non è limitata al solo titolare del trattamento, va cioè oltre il limite soggettivo segnato dall'art. 5, par. 2. È certamente accountable anche il responsabile del trattamento, che è per esempio tenuto a predisporre l'apposito registro (art. 30, par. 2) e le misure di sicurezza adeguate (art. 32). Con il GDPR, infatti, anche i responsabili del trattamento sono destinatari di specifiche disposizioni normative. Così ancora, per esempio, ai sensi dell'art. 28, par. 3, lett. h) il responsabile deve informare il titolare qualora, a suo parere, un'istruzione violi il presente regolamento o altre disposizioni, nazionali o dell'Unione, relative alla protezione dei dati. L'obbligo va contrattualizzato ma non c'è dubbio che, anche in mancanza, esso debba comunque essere osservato, quale espressione appunto di accountability. Ugualmente, si presta a essere letta in termini di accountability l'intera attività svolta dal DPO.