Garante per i dati personali - 3/02/2005 - n. 159773 Articolo unico

Principi generali

Il Garante nel Provvedimento in esame afferma che le suddette tipologie di prodotti e servizi, non possono sottrarsi alle disposizioni vigenti in materia di trattamento dei dati dell'utente, con particolare attenzione ai principi di necessità, liceità, correttezza, qualità dei dati e proporzionalità sanciti dal Codice in materia di protezione dei dati personali e ripresi dal Regolamento europeo.

Il Garante, in relazione al principio di necessità, riferendosi all'art. 3 del Codice Privacy A-R, affermava che i sistemi informativi e i programmi informatici devono essere configurati, già dall'origine, in modo da ridurre al minimo l'utilizzo delle informazioni relative ad abbonati ed utenti identificabili. Il trattamento di tali informazioni non è lecito se le finalità possono essere perseguite utilizzando solo dati realmente anonimi o indirettamente identificativi. Tale inciso riporta ad uno dei principi cardine del Regolamento ovvero il principio della privacy by design e by default previsti dall'art. 25 e al considerando 78. Con la prima espressione si intende la protezione dei dati fin dalla progettazione. Ciò vuol dire ridurre al minimo il trattamento dei dati personali, mediante misure tecniche ed organizzative quali, la pseudonimizzazione dei dati personali. Nello specifico, le premesse al Regolamento indicano che in fase di sviluppo, progettazione, selezione e utilizzo di applicazioni, servizi e prodotti basati sul trattamento di dati personali o che trattano dati personali per svolgere le loro funzioni, i produttori di servizi, prodotti e applicazioni devono tener conto del diritto alla protezione dei dati, in modo da assicurarsi che i titolari del trattamento e i responsabili del trattamento possano adempiere ai loro obblighi di protezione dei dati.

Il termine privacy by default significa, invece, che la tutela della protezione del dato deve divenire l'impostazione predefinita. Il titolare del trattamento, infatti, deve adottare misure tecniche ed organizzative adeguate per garantire che siano trattati, per impostazione predefinita, solo i dati personali necessari per ogni specifica finalità del trattamento. Tale obbligo vale per la quantità dei dati personali raccolti, la portata del trattamento, il periodo di conservazione e l'accessibilità. Inoltre, sempre in base a tale principio, non deve consentirsi l'accesso di dati personali a un numero indefinito di persone fisiche senza l'intervento della persona fisica.

Il Garante, in relazione al principio di proporzionalità, riferendosi, all'interno del provvedimento, all'art. 11, comma 1, lett. d) cod. privacy, abrogato dal d.lgs. n. 101/2018 affermava che i dati personali e le varie modalità del loro trattamento nelle singole fasi ed occasioni di utilizzazione devono essere pertinenti, completi e non eccedenti rispetto alle finalità perseguite. Alla luce dei principi introdotti dal Regolamento europeo, disciplinati agli artt. da 5 a 11, è opportuno evidenziare che la disciplina della protezione dei dati personali si sviluppa su differenti piani. Da un lato vi sono le disposizioni generali e dall'altro le disposizioni specifiche; queste ultime possono riguardare categorie di dati o di soggetti oppure possono raggrupparsi in base al loro oggetto (adempimenti organizzativi, adempimenti nei confronti dei soggetti interessati ecc.). I principi generali hanno una valenza che copre ogni aspetto della disciplina e devono essere rispettati in ogni fase dello sviluppo del trattamento dei dati. Il principio di proporzionalità cui si riferisce il Garante nel Provvedimento ora analizzato, pare maggiormente riconducibile ai principi di correttezza, esattezza e minimizzazione dei dati previsti dall'art. 5 del Regolamento europeo. Il principio di correttezza è il rispetto delle esigenze reciproche tra il Titolare (e il Responsabile) del trattamento e l'interessato il quale deve ispirare la condotta del titolare lungo tutte le fasi del trattamento, dalla raccolta fino a quelle successive della elaborazione ed archiviazione. Il principio di esattezza indica che i dati devono essere esatti e, se necessario aggiornati; devono quindi essere prese tutte le misure ragionevoli per cancellare o rettificare tempestivamente i dati inesatti.

Il principio di minimizzazione indica che i dati devono essere adeguati, pertinenti e limitati a quanto necessario rispetto alle finalità.

Il Garante fa espresso riferimento all'utilizzo delle basi giuridiche del trattamento, disciplinate all'art. 6 del Regolamento (riscontrabili nel: consenso espresso del soggetto interessato, nell'esecuzione di un contratto di cui l'interessato è parte o l'esecuzione di misure precontrattuali adottate su sua richiesta, nell'adempimento di un obbligo legale al quale è soggetto il Titolare del trattamento, nella necessità di salvaguardare gli interessi vitali dell'interessato o di un'altra persona fisica; nell'esecuzione di un compito di interesse pubblico o connesso all'esercizio di pubblici poteri di cui è investito il Titolare del trattamento; nella necessità di perseguire l'interesse legittimo del Titolare del trattamento o di terzi, a condizione che non prevalgano gli interessi o i diritti e le libertà fondamentali dell'interessato che richiedono la protezione dei dati personali), prendendo ad esempio il caso in cui per l'eventuale acquisto di un decoder o di un set top box si deve contestualmente instaurare un rapporto contrattuale con un abbonato identificato, distinguendolo dalle ipotesi nelle quali tale identificazione (e la possibile associazione tra nominativo e numero seriale dell'apparecchio) non è lecita, essendo ad esempio il decoder utilizzato solo con schede prepagate non identificative.

Il Regolamento con il termine “persona fisica identificabile” intende “la persona fisica che può essere identificata, direttamente o indirettamente, con particolare riferimento ad un identificativo come il nome, un numero di identificazione, dati relativi all'ubicazione, un identificativo online o a uno o più elementi caratteristici della sua identità fisica, fisiologica, genetica, psichica, economica, culturale o sociale”. Il considerando 26 GDPR chiarisce che per stabilire l'identificabilità di una persona è “opportuno considerare tutti i mezzi, come l'individuazione, di cui il Titolare o un terzo può ragionevolmente avvalersi per identificare detta persona fisica direttamente o indirettamente”, prendendo in considerazione “l'insieme dei fattori tra cui i costi ed il tempo necessario per l'identificazione, tenendo conto sia delle tecnologie disponibili al momento del trattamento che degli sviluppi tecnologici” evidenziando come i dati personali sottoposti a pseudonimizzazione, che potrebbero essere attribuiti ad una persona fisica utilizzando altre informazioni, dovrebbero essere considerati informazioni su una persona fisica identificabile. Il considerando 57 del Regolamento precisa, inoltre, “che l'identificazione dovrebbe includere l'identificazione digitale di un interessato, come ad esempio nel caso di utilizzo delle credenziali di autenticazione per usufruire di un servizio on line offerto dal Titolare del trattamento.

Secondo il principio di minimizzazione, già espresso, se le finalità per cui un Titolare del trattamento tratta i dati personali non richiedono (o non richiedono più) l'identificazione dell'interessato, il Titolare del trattamento non è obbligato a conservare, acquisire o trattare ulteriori informazioni per identificare l'interessato al solo fine di rispettare il GDPR (si pensi alla registrazione on line). Il Titolare non può però rifiutare le ulteriori informazioni fornite dall'interessato al fine di sostenere l'esercizio dei suoi diritti.

Il Regolamento, all'art. 11 dispone che qualora le finalità del trattamento non richiedano o non richiedano più l'identificazione dell'interessato, non sussiste più l'obbligo del Titolare di conservare, acquisire, o trattare ulteriori informazioni per identificare l'interessato. In tal caso il Titolare che possa dimostrare di non essere in grado di identificare l'interessato provvede, ove possibile, ad informare l'interessato. Al riguardo, il considerando 64 informa che il Titolare deve adottare tutte le misure ragionevoli per verificare l'identità di un interessato che chieda l'accesso, in particolare qualora trattisi di servizi on line e di identificativi on line. Di conseguenza non sussiste il diritto dell'interessato di accesso, di rettifica, di cancellazione, di limitazione del trattamento, alla portabilità dei dati, così come l'obbligo del Titolare di comunicare ai destinatari a cui sono stati trasmessi i dati le eventuali rettifiche o cancellazioni, limitazioni, salvo quando l'interessato al fine di esercitare i predetti diritti fornisca ulteriori informazioni che ne consentano l'identificazione. Il Titolare non può, tuttavia, rifiutare tale ultima richiesta dell'interessato, salvo qualora possa dimostrare di non essere in grado di identificare l'interessato.

L'uso non corretto dei dati personali trattati attraverso tali nuove tecnologie espone gli utenti al pericolo di una raccolta non garantita di gusti, abitudini e opinioni, nonché al rischio di vedersi delineare un profilo strettamente intimo e personale. L'Autorità Garante affronta la questione relativa alla richiesta, rivolta dal fornitore all'utente, di identificarsi nominativamente al momento dell'invio delle informazioni attraverso il canale di ritorno, subordinando la sua liceità all'esame preliminare del Garante ai sensi dell'art. 17 cod. privacy A-R. Il Garante, nel provvedimento ora analizzato, evidenzia che in occasione di altri eventi di c.d. televoto deve essere evitata, fin dal momento della ricezione delle informazioni trasmesse dall'utente, la raccolta e/o la registrazione di dati associabili a persone identificabili, anche quando le domande riguardino solo gradimenti, gusti o preferenze e non siano richieste anche opinioni di natura sensibile su persone, fenomeni sociali o profili politico-religiosi o sindacali. Ricerche di mercato, altre ricerche campionarie e sondaggi devono essere effettuati in forma anonima, evitando l'afflusso di risposte relative a soggetti identificabili, oppure (se ciò è tecnicamente inevitabile) rendendo tali risposte realmente anonime subito dopo la loro raccolta, escludendo a maggior ragione ogni eventuale comunicazione a terzi o diffusione dei dati personali.

Il sistema introdotto dal Regolamento ribalta l'approccio sino ad ora seguito relativo alla notificazione dei trattamenti al Garante. Viene ora posta attenzione all'obbligo del titolare del trattamento di realizzare una DPIA (valutazione di impatto ai sensi dell'art. 35 GDPR) preventiva sui trattamenti suscettibili di generare un rischio elevato e sulle misure da adottare per ridurre il predetto rischio, senza coinvolgere, inizialmente l'Autorità di controllo. Il Garante Privacy italiano, a tal riguardo, ha pubblicato un Provvedimento ai sensi dell'art. 35, comma 4 del Regolamento, contenente l'elenco delle tipologie di trattamenti soggetti al requisito di una valutazione d'impatto sulla protezione dei dati (GPDP, 11 ottobre 2018, [doc.web n. 9058979]).

Tra le macro-tipologie di trattamento riportate nell'elenco, che dovranno necessariamente eseguire un data protection impact assessment – DPIA ai sensi dell'art. 35 del GDPRrientrano i trattamenti che prevedono un utilizzo sistematico di dati per l'osservazione, il monitoraggio o il controllo degli interessati, compresa la raccolta di dati attraverso reti, effettuati anche on-line o attraverso app, nonché il trattamento di identificativi univoci in grado di identificare gli utenti di servizi della società dell'informazione inclusi servizi web, tv interattiva, ecc. rispetto alle abitudini d'uso e ai dati di visione per periodi prolungati. Il Garante nel predetto provvedimento (Allegato 1 al Provvedimento [doc.web n. 9058979]) sottolinea che l'elenco dei trattamenti non è da ritenersi esaustivo. I titolari del trattamento, quali P.A. ed aziende, difatti, hanno l'obbligo di eseguire una DPIA anche qualora ricorrano due o più criteri individuati nelle Linee guida WP 248 rev.01 del 2017 oppure quando un titolare ritenga che un trattamento che soddisfa anche solo uno dei criteri richieda una valutazione di impatto.

L'Autorità Garante, aggiunge, inoltre che in ogni caso in cui, sia per le informazioni trasmesse dagli utenti sia per le modalità della loro utilizzazione, si intenda raccogliere dati sensibili deve tenersi ben presente che il loro trattamento non è di regola ammesso né per l'ordinaria prestazione di servizi televisivi, né per eventuali finalità di profilazione o fidelizzazione della clientela, fatto salvo esclusivamente il caso in cui il trattamento sia realmente indispensabile in rapporto ad uno specifico bene o servizio richiesto, e comunque previa autorizzazione del Garante e consenso dell'interessato manifestato in forma scritta o telematica equiparabile allo scritto. Ciò valeva anche per eventuali ricerche di mercato, sondaggi ed altre ricerche campionarie previste dall'Autorizzazione generale del Garante n. 5/2004, in G.U. 14 agosto 2004, n. 190.

Il Codice privacy A-R – considerava dati sensibili i dati personali che rivelano: l'origine razziale ed etnica di un individuo, le sue convinzioni e adesioni religiose, politiche e filosofiche, nonché lo stato di salute e la vita sessuale. Tali dati personali godono di maggior tutela e, infatti, il loro trattamento è consentito solo con il consenso scritto dell'interessato. Il Regolamento non utilizza l'espressione “dati sensibili”, facendo, invece, riferimento alle categorie particolari di dati personali di cui all'art. 9. Appartengono a tale categoria i dati personali che rivelino l'origine razziale o etnica, le opinioni politiche, le convinzioni religiose o filosofiche, o l'appartenenza sindacale, i dati genetici, i dati biometrici intesi a identificare in modo univoco una persona fisica, i dati relativi alla salute o alla vita sessuale o all'orientamento sessuale della persona”. Tali dati meritano grande attenzione e protezione in quanto, per la loro natura, possono creare rischi specifici per i diritti e le libertà fondamentali: il Regolamento ha sostanzialmente ampliato i già noti dati sensibili con due nuove fattispecie ovvero dati genetici e biometrici. È opportuno evidenziare come il considerando 51 ritiene sia opportuno prevedere deroghe al divieto generale di trattare dati sensibili in particolare in due casi: se l'interessato esprime il consenso esplicito e nel caso in cui vi siano esigenze specifiche (es. associazioni o fondazioni). L'art. 9 fissa delle condizioni di liceità nel trattamento dei dati particolari, prevedendo che è possibile il loro trattamento nei casi di seguito elencati, con possibilità di estensione attraverso il diritto dell'Unione o degli Stati membri. Tali casi sono costituiti dal: consenso esplicito dell'interessato, dal trattamento necessario per assolvere obblighi e diritti del Titolare del trattamento o dell'interessato (es. sicurezza sociale, legge), dati resi manifestamente pubblici dall'interessato (es. social network), per accertare, esercitare o difendere un diritto in sede giudiziaria, per la tutela in sede giudiziaria, per la tutela di un interesse vitale, trattamenti di dati di membri anche passati di fondazioni, associazioni, organismi senza scopo di lucro con finalità legate ai dati sensibili, legittime attività e adeguate garanzie, con divieto di comunicazione esterna senza consenso, trattamento necessario per motivi di interesse pubblico, trattamento necessario per finalità di medicina preventiva e valutazione della capacità lavorativa del dipendente, trattamento necessario per motivi di interesse pubblico nel settore della sanità pubblica, trattamento necessario a fini di archiviazione nel pubblico interesse, di ricerca scientifica o storica o a fini statistici.

Il Regolamento prevede, per il trattamento di tali categorie di dati personali, una tutela rafforzata, integrata dalle ulteriori condizioni e limitazioni previste dalla normativa nazionale, come modificata dal d.lgs. n. 101/2018 che ha introdotto nel Cod. privacy l'art. 2-sexies, che disciplina il trattamento delle categorie particolari di dati personali necessario per motivi di interesse pubblico, e l'art. 2-septies, che detta le misure di garanzia per il trattamento dei dati genetici, biometrici e relativi alla salute.

Il Garante, con la newsletter del 16 luglio 2013, n. 375 non ha ritenuto lecita una nuova modalità di profilazione dei propri clienti proposta da una società di telecomunicazioni basata sul monitoraggio della loro navigazione Internet. Ha, invece, consentito alla stessa società la possibilità di apertura verso un sistema finalizzato ad analizzare le attività dei clienti dei servizi di Tv interattiva.

Nel primo caso, l'Autorità ha risposto a una richiesta di verifica preliminare nell'ambito della cosiddetta pubblicità comportamentale (targeted advertising) e dei servizi personalizzati su Internet: la società fornitrice del servizio di connessione chiedeva di poter analizzare il comportamento on line dei navigatori, senza aver acquisito il loro consenso, al fine di proporre pubblicità mirate.

La compagnia sosteneva di poter procedere a tale trattamento in quanto i dati personali dei singoli utenti, prima di essere utilizzati venivano resi anonimi, e solo in seguito analizzati. Dai riscontri del Garante è però emerso che il processo che avrebbe dovuto celare l'identità del cliente era per sua natura reversibile, tanto che i servizi di profilazione svolti dalla società telefonica avrebbero potuto consentire di proporre all'utente offerte calibrate proprio sulla sua vita on line. L'Autorità ha quindi vietato l'attivazione del progetto che, così come presentato, potrebbe effettuarsi solo con la preventiva acquisizione dello specifico consenso degli utenti e, comunque, sempre previa verifica preliminare da parte del Garante sul rispetto dei principi di necessità, proporzionalità e correttezza del trattamento dati. La stessa telco aveva sottoposto al Garante un'altra verifica preliminare nella quale chiedeva invece di poter monitorare, per finalità commerciali, pubblicitarie e di customer care , l'attività degli abbonati ai servizi di Tv interattiva. La società proponeva in particolare di analizzare, una volta richiesto il loro consenso, i dati trasmessi sul cosiddetto «canale di ritorno», ovvero la connessione che consente all'utente di interagire con la piattaforma Tv per accedere a programmi, scrivere messaggi o commenti, configurare specifiche funzionalità e servizi. In tal caso, il Garante ha approvato il progetto: la società dovrà comunque adottare precise misure a tutela della protezione dei dati personali dei soggetti interessati. L'analisi dei dati, ad esempio, non potrà scendere a livelli di dettaglio eccessivi, ma dovrà limitarsi a creare gruppi di profilazione basati su macro categorie di consumo (ad es. film d'azione, commedie...) e con un periodo di analisi non inferiore alla settimana. I dati sensibili, come i gusti sessuali o gli orientamenti politici del cliente, potranno essere usati solo se strettamente connessi a uno specifico bene o prodotto richiesto dall'utente e comunque solo dopo aver ottenuto il consenso scritto dell'interessato e la specifica autorizzazione dell'Autorità. Nel corso dell'istruttoria il Garante ha anche rilevato che la società utilizzerebbe per analizzare le abitudini dei clienti della TV interattiva la stessa piattaforma software usata per i clienti del servizio fonia. Tale sistema, pur adottando forme di mascheramento dei dati identificativi dei clienti, consentirebbe di incrociare i dati dei vari servizi, con il rischio di diventare uno strumento particolarmente invasivo e sicuramente sproporzionato rispetto alle finalità prospettate dalla società. Per questo motivo, l'Autorità Garante ha chiesto l'adozione di ulteriori misure di sicurezza e accorgimenti che impediscano forme di «profilazione incrociata» tra gli utenti telefonici e quelli televisivi.

Nuove frontiere e profilazione

Uno degli scenari che possono celarsi dietro l'utilizzo della TV digitale è relativo al caso pubblicato dal Los Angeles Times, il quale si è occupato di un progetto al vaglio di alcune società di TV via cavo. Il caso AT&T consisteva nel testare su un campione di abbonati l'installazione di alcuni dispositivi in grado di inviare ai singoli utenti-consumatori pubblicità personalizzata in base all'età, al sesso o al gruppo etnico di appartenenza. Attraverso l'utilizzo di tali dispositivi più famiglie guardando lo stesso programma, avrebbero visto sketch pubblicitari differenti e personalizzati in relazione alle caratteristiche dei componenti del nucleo familiare. Un simile meccanismo, oltre ad essere potenzialmente lesivo del diritto alla riservatezza, potrebbe portare ad ulteriori conseguenze negative come forme di pubblicità dirette esclusivamente ai gusti di particolari utenti quali sono i minori, determinando la quasi totale impossibilità per i genitori di esercitare il controllo sui messaggi che vengono propinati ai loro figli.

Altro caso di attualità che merita di essere richiamato è rappresentato dall'episodio di Netflix “ Bandersnatch ”, della serie tv “Black Mirror”, nel quale l'utente assume il ruolo di protagonista della vicenda, in grado di compiere delle scelte in nome e per conto del personaggio principale. La ricezione delle suddette scelte da parte di Netflix pone interrogativi in merito alla conformità della tecnica utilizzata con i dettami del Regolamento; in particolare sull'utilizzo successivo dell'emotività degli utenti la quale viene registrata per effettuare le scelte ed altresì se la medesima può rientrare nel concetto di dato personale e quindi nella tutela accordata allo stesso.

L'episodio Bandersnatch offre la possibilità allo spettatore di “guidare” il protagonista, permettendogli di scegliere una tra le due opzioni che più volte si presenteranno nel corso della storia. “Mangiati le unghie” o “tira il lobo dell'orecchio”; “accetta” o “rifiuta”; “seppellire il papà” o “farlo a pezzi”; sono queste alcune delle opzioni che l'utente potrà scegliere. Sulla base delle scelte effettuate dallo spettatore, inevitabilmente si avrà una trama “personalizzata”, con un finale specifico a seconda dei casi. L'episodio Bandersnatch è innovativo ed ultramoderno perché costituisce il primo tentativo mainstream di gameplay, messo a disposizione degli utenti su una piattaforma streaming.

Sulla base delle scelte effettuate, Netflix raccoglierebbe qualcosa in più rispetto ai meri dati personali, ovvero raccoglierebbe i dati sulle emozioni, sulle preferenze e “gusti” in campi particolarmente sensibili quali: la propensione alla violenza, l'uso di sostanze stupefacenti o quello della marca di cereali di maggiore gradimento. In altre parole, sotto le mentite spoglie dell'intrattenimento “innocuo” potrebbero celarsi innovative forme di profilazione degli utenti, con serio rischio per la tutela della privacy.

È vero che il Regolamento UE sulla protezione dei dati personali prevede all'art. 13 che, sulla base della finalità del trattamento, il titolare debba fornire agli interessati le informazioni richieste dalla normativa a mezzo di un'adeguata informativa. È altresì vero, tuttavia, che molto spesso le informative sulla privacy si rivelano generiche e inclusive, ed è proprio la genericità che garantirebbe una (fittizia) liceità del trattamento di dati atipici, come può essere l'emotività, che tra l'altro non rientra propriamente nel concetto di dato personale.

Dall'informativa in questione non è ben chiaro quale sia l'effettivo uso dei dati “emotivi” messi a disposizione dagli utenti di Bandersnatch e se tali dati verranno utilizzati per finalità terze all'episodio stesso, come ad esempio per profilare ancor più dettagliatamente gli utenti al fine di proporre contenuti che siano conformi alle scelte effettuate durante l'episodio o addirittura utilizzare le informazioni ricevute per finalità di ricerca e marketing anche di terze parti.

In secondo luogo, è necessario verificare se i dati emotivi raccolti da Netflix siano da considerarsi un “ tertius genus ” rispetto a quelli che invece già raccoglie. Se fossero considerati diversi, allora, ne deriverebbe la necessità di informare adeguatamente gli utenti delle nuove finalità di raccolta dei dati personali. La questione merita di essere monitorata perché tali strumenti interattivi, più che limitarsi a prevedere il futuro potrebbero rivelarsi uno strumento di controllo del presente.

Il dato profilato presenta elementi di rischio per i diritti e le libertà fondamentali degli individui ed è oggetto di particolare attenzione da parte del legislatore e dell'Autorità di controllo. Con il termine profilazione, ai sensi dell'art. 4, par. 4 GDPR come “qualsiasi forma di trattamento automatizzato di dati personali consistente nell'utilizzo di tali dati personali per valutare determinati aspetti personali relativi a una persona fisica, in particolare per analizzare o prevedere aspetti riguardanti il rendimento professionale, la situazione economica, la salute, le preferenze personali, gli interessi, l'affidabilità, il comportamento, l'ubicazione o gli spostamenti di detta persona fisica. Il target è studiato nelle sue abitudini di consumo e negli stili di vita che ne rivelano attitudine e capacità di spesa, gusti per alcuni prodotti servizi e disinteresse per altri, caratteristiche legate alla sua identità personale. La problematicità del processo di profilazione risiede soprattutto nel fatto che risulta essere invisibili agli interessati. Ciò perché vengono creati “nuovi” dati personali (nel senso che non sono stati forniti dal soggetto interessato). Tale è la ragione per cui il legislatore europeo ha previsto una serie di “meccanismi di sicurezza” idonei a garantire il rispetto del diritto fondamentale alla tutela dei dati personali. L'art. 12 par.1 GDPR prevede che il titolare del trattamento debba fornire un'informativa concisa, intellegibile e facilmente accessibile. Al fine di soddisfare tale criterio in concreto, sono necessarie due tipologie principali di cautele. La prima è che l'attività del titolare deve risultare da una indicazione ben visibile ed adeguatamente distinguibile nel testo dell'informativa; la seconda è costituita dalla possibilità per l'interessato, di esprimere il proprio consenso. Se l'informativa consente all'interessato di essere al corrente delle attività di trattamento dei dati, egli sarà in grado di esprimere un consenso consapevole. Questo è il motivo per cui il consenso (separato dall'informativa) deve essere indipendente rispetto agli altri possibili tipi di consenso espresso. L'interessato deve poter non sottostare inconsapevolmente al trattamento dei dati mediante profilazione (ed in generale tutti i processi automatici). Ciò è confermato dallo stesso Regolamento, all'art. 22 che prevede che quando il processo decisionale è automatizzato, l'interessato ha il diritto di non essere sottoposto ad una decisione basata unicamente sul trattamento automatizzato, compresa la profilazione, che produca effetti giuridici che lo riguardano o che incida in modo analogo significativamente sulla sua persona. Il Gruppo di lavoro art. 29 ha adottato le Linee guida sulle decisioni automatizzate e profilazione, approvate anche dall'EDPB in data 25 maggio 2018, che forniscono tra l'altro, utili chiarimenti e indicazioni sulla corretta applicazione dell'art. 22 GDPR e sui processi decisionali automatizzati. La profilazione si compone di tre elementi: deve essere una forma automatizzata di trattamento, deve essere svolta su dei dati personali e l'oggetto della profilazione deve consistere nella valutazione di aspetti personali di una persona fisica. Le Linee guida sottolineano che l'art. 4, par. 4, GDPR si riferisce a “qualsiasi forma di trattamento automatizzato” piuttosto che “unicamente” a trattamenti automatizzati. Pertanto la profilazione deve implicare una qualche forma di elaborazione automatizzata sebbene il coinvolgimento umano non determini l'esclusione dell'attività dalla predetta definizione.

Il prossimo cambio dello standard delle trasmissioni televisive porterà nelle case degli europei nuovi televisori smart, che possono essere il primo nucleo di un sistema domotico integrato e collegato alla rete. Tale innovazione promette molti vantaggi, ma anche parecchi rischi, soprattutto sotto il profilo della privacy. È opportuno che chi utilizza questi apparati sia ben consapevole della massa di informazioni personali che mette a disposizione delle case produttrici e dei fornitori di servizi informatici.

L'ambito è quello dell'Internet delle cose (IoT). Prevedendo l'interconnessione tra diversi apparati domestici (e in un prossimo futuro anche dei mezzi di trasporto e altro), richiede necessariamente un uso intensivo della rete. Quest'ultima viene utilizzata sia per lo scambio di dati tra gli oggetti (che a rigore potrebbe avvenire anche secondo protocolli diversi da quelli usati per internet, come il bluetooth o sistemi proprietari) e soprattutto l'accesso a risorse condivise, come gli spazi di archiviazione sul cloud, i programmi di intelligenza artificiale (AI) e quelli per il riconoscimento vocale. Questa configurazione comporta indubbi vantaggi, a cominciare dalla possibilità di sfruttare una maggiore capacità di elaborazione e di migliorare il software senza ricorrere a continui ed esasperanti aggiornamenti locali. Fornire ogni casa di un server su cui girano i programmi di AI sarebbe irrazionale e soprattutto imporrebbe una barriera all'entrata nel mondo della domotica, costituito dal costo del computer su cui gira tale software. Ci sarebbero inoltre tutti i problemi di gestione di una rete tra oggetti che utilizzano presumibilmente standard diversi, con grandi vantaggi solo per le tasche dei sistemisti.

È sufficiente accendere per la prima volta un televisore smart per vedersi chiedere l'autorizzazione a trattare i dati personali e addirittura a trasferirli anche fuori dallo spazio europeo, all'interno dei quali sono abbastanza tutelati. Se tali autorizzazioni non vengono concesse il produttore ci informa che non sarà in grado di attivare molte delle caratteristiche per le quali è stato acquistato quell'apparato, a cominciare dal riconoscimento vocale dei comandi e dalla semplificazione dei menù in base alle abitudini degli utenti.

Tale nuova possibilità di interazione con l'utente/consumatore potrebbe rivoluzionare in pochi anni l'intero mercato pubblicitario, anche perché le normative (su tetti pubblicitari, contenuti inappropriati, pubblicità ingannevole, ecc.) sono ancora ferme alle vecchie forme di promozione. In prospettiva, i media saranno sempre più condizionati economicamente dai Big della rete, piuttosto che dagli editori e dalle agenzie pubblicitarie tradizionali. Si tratta di un cambiamento epocale, paragonabile al passaggio dalla cartellonistica e dagli avvisi sui giornali e prima dei film, alla pubblicità su radio e tv.

Oggi la tecnologia della IoT offre strumenti di persuasione molto più potenti di radio e tv e soprattutto consente di personalizzare i messaggi in modo da massimizzarne gli effetti: una specie di porta a porta globale. In teoria, la IoT consente di veicolare messaggi pubblicitari e politici anche su scala locale, ma è improbabile che imprese o organizzazioni di piccole e medie dimensioni riescano a competere con i Big della rete che dominano la tecnologia e le infrastrutture che consentono di interagire con gli utenti degli apparati smart. Per avere un'idea del potere di queste istituzioni globali, basta pensare che una di esse ha impunemente censurato i post del presidente del più potente stato del mondo, senza dover rispondere ad alcun tribunale. Deve essere per questo che nel rapporto di Privacy Network il 72% degli intervistati preferirebbe affidare i propri dati personali ad una istituzione pubblica, che risponde a leggi e regole democratiche, piuttosto che a delle imprese private.

Le istituzioni nazionali stanno cominciando a muoversi su questo difficile terreno, seppure con grave ritardo. Lo dimostra anche un recente approfondimento del nostro Garante per la Privacy che suggerisce di “cercare di fare un uso informato e consapevole di questi strumenti, per tutelare in modo adeguato i nostri dati personali e quelli di tutte le persone che entrano, volontariamente o meno, nel campo di azione degli assistenti digitali”. E probabilmente un'autorità nazionale non poteva fare altro, vista la dimensione globale del problema e la capacità degli attori coinvolti di sfruttare ogni maglia della legislazione e ogni nuova opportunità offerta dalla tecnologia.

È difficile giudicare se l'utente finale riceve un beneficio netto dallo scambio di dati legato alla IoT. A fronte di una indubbia invasione della sfera privata, che può essere comunque arginata adottando qualche precauzione, il consumatore può contare su servizi personalizzati, che sono utili in molte circostanze e, tra l'altro, evitano un diluvio di offerte promozionali non pertinenti. La AI consente di adattare le prestazioni degli elettrodomestici alle abitudini dei consumatori, riducendo i consumi energetici, ottimizzando l'uso delle risorse e facilitando l'uso delle nuove tecnologie anche da parte di persone meno “attrezzate” o più fragili.

Forse la più invasiva delle “novità” che stanno cambiando il mercato dei televisori e che ne stanno incrementando esponenzialmente la capacità di assorbire dati è quella che ha portato nei nostri salotti le Hybrid broadcast broadband TV. Questo standard nato nel 2009 si sta diffondendo sui più recenti modelli di smart TV e consente di gestire un canale tv come una sorta di servizio di streaming online, permettendo di fermare e mandare avanti a piacimento la trasmissione e di accedere ad ulteriori contenuti interattivi. Di fatto un canale che supporta lo standard HBB presenta un pulsante “call-to-action” che consente di transitare dal canale a quello che in sostanza è un applicativo separato che permette all'utente di accedere a questi contenuti e controlli evoluti. Nel passaggio al sistema HBB l'utente non guarda più semplicemente la televisione, ma sta di fatto accedendo ad un servizio online, con flussi di dati e margini di tracciamento estremamente più ampi.

Una recente ricerca condotta da Sababa Security in collaborazione con l'Università di Twente e con LP Avvocati ha permesso di evidenziare l'estensione di questo trattamento e le carenze di informativa per gli utenti (che spesso nemmeno percepiscono questo “passaggio” da un'attività passiva come quella di guardare un programma sul proprio televisore a un'attività interattiva come quella accessibile attraverso il sistema HBB).

I risultati della ricerca dimostrano infatti l'utilizzo di tecnologie invasive da parte dei gestori europei (tra cui numerosi canali italiani) tra cui servizi di tracking (spesso si tratta di Google Analytics, esattamente come avviene per i siti web) che sono attivati prima ancora che all'utente sia sottoposta l'informativa e pixel di tracciamento.

Quest'ultima tecnologia, che da molti anni viene sfruttata per tracciare le aperture delle email da parte dei destinatari, si basa sull'invio di un'immagine sostanzialmente invisibile (un singolo pixel) che quando viene scaricata dal destinatario (chi vede la trasmissione) invia un segnale al mittente della trasmissione, avvisandolo che quell'utente ha visto questo contenuto.

Su alcuni canali la ricerca evidenzia la presenza di informative del tutto carenti (o in taluni casi mancanti) e addirittura l'impossibilità di revocare il consenso (peraltro spesso mai richiesto) all'utilizzo dei sistemi di tracciamento più invasive tanto che la maggior parte dei canali mostra connessioni ad almeno un servizio di tracking prima ancora che l'utente abbia la possibilità di decidere se accettare o meno l'informativa sul trattamento dei dati.

I problemi di privacy di questi dispositivi non riguardano quindi solo l'interesse per l'acquisizione di dati da parte del produttore del dispositivo, ma anche e sempre di più l'interesse dei titolari dei vari canali, app e servizi che su quel dispositivo vengono ospitati, creando un insidioso fascio di trattamenti di fronte al quale è molto difficile per l'utente difendersi.

L'avvento delle smart TV sul mercato e la loro continua evoluzione hanno sconvolto gli schemi, oltre che nel mondo dell'advertising, anche di quello, intimamente connesso, della tutela dei dati personali. L'evoluzione dei dispositivi coglie gli utenti impreparati a comprendere la mole di dati che “cedono” quando usano dispositivi smart e anche a comprendere quali dispositivi siano i più insidiosi da questo punto di vista. Se normalmente non associamo alla vendita di un televisore un trattamento invasivo di dati personali, in realtà l'evoluzione tecnologica ha trasformato questi dispositivi, plasmandoli in funzione della raccolta dei dati degli utenti.

Nella guerra commerciale fra i player del settore della domotica, quindi, gioca un ruolo importante anche il data business e dietro un prezzo competitivo può nascondersi il fatto che in realtà parte di quel prezzo lo stiamo pagando con i nostri dati personali.

Al crescere dei “servizi” gestiti direttamente dal dispositivo smart TV, cresce anche la mole di dati trattati e che chiaramente i vari produttori hanno interesse a “riportare in patria” al fine di meglio utilizzarli (e magari rielaborarli).

Innanzitutto, è necessario individuare cosa possono fare i produttori di dispositivi IoT con i nostri dati e cosa invece non possono fare (salvo il nostro consenso).

Il trattamento dati conseguente all'acquisto di un dispositivo smart è legittimo fintantoché questo è necessario per l'esecuzione del contratto in essere fra le parti.

Nel caso dell'acquisto di un televisore il contratto non comporta un trasferimento di dati (salvo per quanto riguarda assistenza e garanzia), il discorso diventa diverso però quando l'utente utilizza determinati servizi accessori (magari creando un profilo sul dispositivo), così aprendo ad una nuova (e caldeggiata dal produttore) serie di possibili trattamenti di dati legittimi per dar corso a questo, secondo, contratto.

Questi dati però non sono sufficienti ai produttori per ottenere le informazioni che desiderano sui loro clienti e (magari) per poter vendere con profitto le loro inserzioni pubblicitarie.

A questo punto (a seconda del produttore) le strategie adottate per ottenere più dati sono diverse:

– alcuni produttori, infatti, puntano su un'interpretazione particolarmente ampia del concetto di legittimo interesse di cui alla normativa GDPR, che consente al titolare del trattamento munito appunto di un interesse legittimo al trattamento dei dati del proprio cliente, di estendere l'utilizzo dei dati salvo non prevalgano gli interessi o i diritti e le libertà fondamentali del cliente oggetto del trattamento;

– altri produttori puntano invece, con varie tecniche, ad ottenere in un modo o nell'altro il consenso del cliente a trattare con maggior libertà i suoi dati.

Entrambe queste tecniche sono al limite della legalità, quando non apertamente illegittime, ed infatti lo stesso Gruppo Europeo dei Garanti ha precisato in apposite linee guida sia la portata molto limitata del trattamento dati che può essere effettuato per legittimo interesse dal titolare del trattamento, sia la necessità che il consenso al trattamento, perché sia valido, deve essere libero, specifico ed informato.

A questo problema di base si somma la facilità con cui i dispositivi smart una volta ottenuti i nostri dati, li trasferiscono extra-UE. Tale trasferimento è legittimo solamente in alcuni casi.

In primo luogo, il trasferimento è lecito se avviene sulla base di una decisione di adeguatezza da parte della Commissione UE. Ad oggi le decisioni di adeguatezza riguardano però solo Andorra, Argentina, Canada, Giappone, Guernsey, Isole Færøer, Isola di Man, Israele, Jersey, Nuova Zelanda, Svizzera e Uruguay. A parte il caso del Giappone, dunque, è difficile pensare che molti produttori di dispositivi IoT possano sfruttare una decisione di adeguatezza per portare i dati di cittadini UE in patria.

In alternativa il trasferimento in paesi terzi è lecito se effettuato sulla base della negoziazione di clausole contrattuali standard, con riguardo alle quali, però, la situazione risulta complicata dalla sentenza Schrems II, che oltre a porre nel nulla la decisione di adeguatezza relativa agli Stati Uniti, ha anche “depotenziato” il ricorso alle clausole standard, affermando che le stesse, dovendo garantire ai dati un livello di tutela analogo a quello che avrebbero in Europa, non possono prescindere da un esame del contesto (anche normativo) in cui i dati sono calati, rendendo così molto difficile pensare alla possibilità di un trasferimento dati in uno stato che non potrebbe ottenere una decisione di adeguatezza da parte della Commissione.

Ci sono poi ulteriori strumenti per consentire un trasferimento dati extra-UE, anche se meno utilizzati, come norme vincolanti d'impresa, codici di condotta e meccanismi di certificazione.

È anche possibile ricorrere al consenso del cliente per un trasferimento di dati in paesi terzi per i quali non è presente una decisione di adeguatezza né è possibile utilizzare clausole standard o altri strumenti previsti dalla normativa, è però necessario mettere il cliente di fronte al fatto che non sarà possibile garantirgli un livello di tutela equivalente a quello presente in Europa e ottenere il suo libero consenso al trasferimento.

La normativa prevede anche che sia possibile il trasferimento in paesi terzi (anche non “adeguati”) nel caso in cui ciò sia necessario per l'esecuzione di un contratto. Questa disciplina, che qualche azienda ha cercato di estendere fuor di misura, è in realtà riferita al solo caso in cui sia effettivamente necessario trasferire i dati all'estero per dar corso ad un contratto (pensiamo al caso in cui una tecnologia di analisi medica sia disponibile solamente in un paese terzo, o al caso in cui il contratto vada eseguito in un paese terzo).

È quindi evidente che il problema del data business nel settore IoT riguarda soprattutto le modalità “generose” con cui i produttori intendono (strumentalmente) il GDPR per ottenere più dati possibili dei clienti.

Talvolta tali dispositivi evoluti sommano al loro interno numerosi applicativi, portali e servizi, così coinvolgendo numerosi titolari del trattamento, come ad esempio i produttori delle singole app, i gestori delle reti, i gestori dei sistemi di streaming, i gestori dei singoli servizi installabili sul televisore evoluto come assistenti vocali, etc.

Basti pensare all'informativa privacy della Rai, con l'azienda che precisa che nel caso di accesso ai prodotti multimediali Rai da smart TV, le scelte sulla mole di dati di cui verrà in possesso la Rai stessa dipendono dalle impostazioni del televisore, con ciò di fatto la Rai delega al produttore del dispositivo smart l'attività di informativa sulle impostazioni e acquisisce i parametri identificatori del dispositivo e i dati di utilizzo da parte dell'utente se questo non ha impostato che gli stessi non devono essere inviati direttamente sul dispositivo. Tali dati servono ai produttori di smart TV per ottenere profili degli utenti e proporre pubblicità il più possibile calibrate sulla persona davanti allo schermo.

Questi database servono per gli annunci all'interno del sistema operativo del produttore, per le proposte di applicativi, per gli annunci in app e infine per consentire la diffusione del fenomeno dell'addressable TV (ovvero la televisione che propone annunci pubblicitari personalizzati) fenomeno che è appena agli inizi in Italia, ma è destinato a crescere rapidamente (ed è già supportato da milioni di televisori).

Quel che è evidente è che è particolarmente importante per gli inserzionisti comprendere se si ha di fronte un minore, per poter promuovere prodotti dedicati a questa “categoria” di consumatori particolarmente lucrativa, e le smart TV sono estremamente adatte a questo scopo, essendo estremamente facile “comprendere” quando un utente davanti alla televisione è un minorenne in quanto sul dispositivo vengono attivati filtri sui contenuti per tutelare quest'ultimo.

Anche nel settore delle smart TV i produttori profittano di un eccesso di informazioni, fornite nelle privacy policy in legalese, per sopraffare il cliente e spingerlo ad azioni non razionali pur di non perdere tempo nel districarsi fra le varie decisioni predisposte dal produttore del dispositivo.

Il report evidenzia inoltre il problema derivante dal fatto che questi dispositivi, che trattano una mole cospicua (ed in aumento) di dati personali, spesso vengono mantenuti aggiornati da produttori e utenti per un breve periodo di tempo (e senza l'attenzione che viene dedicata ad uno smartphone o ad un pc), con conseguenti gravi problemi di sicurezza informatica dei dati.

Il Garante privacy italiano ha iniziato ad occuparsi della problematica nel lontano 2005 quando già il codice privacy del 2003 presentava dei profili di conflitto con i primi dispositivi smart che si affacciavano sul nostro mercato.

In un provvedimento a carattere generale del febbraio 2005 il Garante infatti richiamava i produttori al necessario rispetto dei principi di necessità e proporzionalità del trattamento, il Garante inoltre raccomandava una conservazione del dato per finalità di marketing, pubblicitarie e di profilazione non superiore a dodici mesi (anche nel caso in cui l'utente avesse prestato il proprio consenso alla conservazione).

In tempi più recenti il Garante ha esaminato la questione degli smart assistant, affermando che il mondo IoT apre a nuove sfide per la tutela dei dati personali proprio perché comporta un fascio di trattamenti di dati in parte sovrapposti e in parte no che coinvolgono dispositivi e servizi, con un dispositivo che può ospitare più servizi (di pertinenza di uno o più titolari del trattamento) e un servizio che può estendersi a molti dispositivi (anche di produttori differenti). Si tratta di una evoluzione in cui per il consumatore è difficile districarsi, faticosa da comprendere e soprattutto da controllare.

Con una scheda informativa del marzo 2021 il Garante privacy ha formulato una serie di consigli per un uso “a prova di privacy” degli smart assistant.

Se da un lato il Garante ricorda che i creatori degli assistenti virtuali devono improntare il trattamento dati effettuato dai loro software alla minimizzazione del trattamento e devono informare i clienti con trasparenza su cosa viene fatto con i loro dati, dall'altro lato l'Autorità (conscia del fatto che spesso l'utilizzo di questi dispositivi comporta pratiche opache da parte dei produttori) suggerisce agli utenti di informarsi attivamente su come vengono trattati i suoi dati, di evitare di fornire informazioni non necessarie (specie quando gli vengono richieste informazioni non pertinenti rispetto all'uso dell'assistente), di disattivare l'assistente quando non lo si usa, di impostare le funzioni da utilizzare e quelle invece da disattivare, di cancellare periodicamente la cronologia delle informazioni registrare e di resettare il dispositivo e cancellare i dati in caso di sua cessione.

É importante ricordare infatti che questi dispositivi smart vanno trattati esattamente come un computer dal punto di vista della tutela dei dati personali e, quindi, prima di venderla ad esempio una smart TV o di cederla a parenti o amici è essenziale resettarla alle condizioni di fabbrica e comunque accertarsi di aver eliminato ogni dato personale dal dispositivo.

Sempre con riguardo alle smart TV insieme al Garante si è attivata anche AGCOM per proteggere i consumatori dai rischi connessi all'utilizzo di questi nuovi dispositivi, l'autorità ha infatti avviato ancora nel 2013 un'indagine conoscitiva sulla “Televisione 2.0 nell'era della convergenza”, l'indagine si è conclusa nel 2015 e nel provvedimento conclusivo è interessante registrare la posizione di Telecom che allora (prima dell'entrata in vigore del GDPR che ha razionalizzato la normativa in tema di protezione dei dati imponendone il rispetto anche alle aziende extra-UE che trattano dati di cittadini europei) lamentava una evidente asimmetria fra gli obblighi in tema privacy dei player europei e dei competitor con sede in paesi terzi, essendo questi ultimi avvantaggiati dalle loro normative (in particolare quella statunitense) meno rigorose.

Non è passato molto tempo da quando questo approccio (basato sul “principio dello stabilimento” del fornitore del servizio) venisse eliminato dal GDPR, come sappiamo però numerose aziende non hanno ancora fatto i conti seriamente con questo rovesciamento normativo, sia dal punto di vista dell'adeguamento alla disciplina comunitaria, sia dal punto di vista del trasferimento dei dati nel loro paese.

Il Gruppo Europeo dei Garanti non è rimasto inattivo mentre le autorità nazionali intervenivano nel settore IoT ed ha emanato delle linee guida molto dettagliate con riguardo agli assistenti vocali virtuali.

Il Gruppo dei Garanti si sofferma anche sui televisori di ultima generazione quali strumenti in cui, sempre più spesso, vengono installati di default questi dispositivi. Come visto in precedenza questo è un esempio particolarmente interessante perché le smart TV sono tra quei dispositivi “insospettabili” il cui utilizzo in realtà comporta la generazione di un flusso di dati complesso e sovrapposto.

Se prima per fare in modo che altre aziende ottenessero i dati del produttore del dispositivo era necessario comunicare loro i dati (attività che salvo limitate eccezioni è impossibile fare senza il consenso dell'interessato), ora questo problema non esiste più se l'utente scarica volontariamente l'app del secondo produttore sul suo smart TV, e trattandosi di funzionalità che rendono più “smart” il dispositivo la maggior parte degli utenti è incline a migliorare l'esperienza d'uso utilizzando questi strumenti ulteriori (cedendo però così a una molteplicità di aziende i loro dati).

Le linee guida includono importanti precisazioni specie con riguardo alla gestione dei dati personali con riguardo a questi servizi. Il Gruppo dei Garanti dice infatti che nella maggioranza dei casi la base del trattamento dei dati dovrà essere individuata nel consenso dell'interessato. Per il funzionamento “base” di un assistente virtuale non sarebbe nemmeno necessario raccogliere dati dell'utente, è quindi evidente che ogni trattamento dati debba passare (di regola) per il consenso dell'interessato.

Questa ricostruzione è importante perché può ben essere estesa a quanto abbiamo detto finora sulle smart TV, ovvero dispositivi che per funzionare non avrebbero bisogno della condivisione di alcun dato personale (e che per decenni hanno funzionato senza condividere alcun dato personale fatti salvi quelli necessari per il pagamento del canone). È quindi evidente che per ogni passaggio di dati dall'utente al produttore della smart TV (o ad altri soggetti tramite la smart TV) sia necessario raccogliere il (libero, informato e specifico) consenso dell'utente.

La Commissione Europea ha anche avviato, nel luglio 2020, un'indagine relativa al settore IoT ed ha rilasciato un report preliminare nel luglio 2021 dopo aver raccolto informazioni da oltre 200 aziende del settore. L'esame della Commissione riporta anche dati relativi alla dimensione del fenomeno IoT, in particolare in un sondaggio del 2020 in Europa il 51% degli intervistati ha affermato di accedere a internet da un dispositivo smart TV, da una consolle per videogiochi o da uno smart speaker.

A questo si aggiunge la considerazione che i dispositivi più “pericolosi” perché consentono accesso alla più ampia selezione di servizi IoT rivolti ai consumatori, dai servizi dedicati ai contenuti multimediali, ai servizi di intermediazione, ai servizi di informazione e ai servizi di ricerca e shopping.

A queste funzioni secondo la Commissione presto si affiancheranno quelle di automated decision making in quanto i dispositivi smart contengono software in grado di analizzare determinate situazioni e prendere in autonomia le decisioni conseguenti (ad esempio scaricare un'app o rinnovare un servizio).

L'evoluzione tecnologica pone oggi non solo i regolatori ma anche gli utenti di fronte a nuove sfide. Pensare ad un televisore come ad una piattaforma di servizi (non tutti richiesti) non è un passaggio facile ed immediato per molte persone, eppure proprio in queste sacche di inconsapevolezza si insinuano i Big della rete per rastrellare dati personali da utilizzare per i fini più diversi.

Gli apparati smart (specie quelli all'apparenza più innocui) offrono la possibilità di “personalizzare” molti servizi e di attivare funzioni evolute (intelligenza artificiale, riconoscimento vocale, etc.) richiedendo però in cambio molti dei nostri dati personali, dati che peraltro vengono quasi sempre trasferiti all'esterno del “perimetro di sicurezza” che è l'Unione Europea, in paesi dove la cultura della privacy è meno rigida della nostra.

Se il GDPR voleva creare un ambiente di trasparenza e tutela verso il consumatore, il settore tecnologico rimane un ambiente in cui i sotterfugi sono all'ordine del giorno e in cui quindi l'utente deve essere sempre attento.

Questo accade anche per un fenomeno epocale per cui il settore dei media è sempre meno condizionato dagli editori e dalle agenzie pubblicitarie tradizionali e sempre più dai Big della rete, che stanno accentrando e contemporaneamente trasformando la comunicazione tradizionale, rendendola sempre più dipendente dal profilo degli utenti.

Stiamo quindi vivendo un cambiamento storico nel modo in cui l'informazione e l'intrattenimento ci vengono proposti e la nostra soglia dell'attenzione deve rispecchiare questa evoluzione consentendoci così di individuare i rischi reali e di evitare una continua disseminazione di piccole porzioni dei nostri dati, che alla lunga consente a chi ci offre prodotti smart di conoscerci più di noi stessi e di condizionare le nostre scelte di consumo, culturali e politiche.

Informativa e consenso

In piena continuità con la Direttiva 95/46/CE, fondata sui principi di finalità, minimizzazione, proporzionalità, liceità, correttezza, articolazione delle basi giuridiche legittimanti il trattamento, il Regolamento, porta con sé anche alcune significative innovazioni. Tra queste rientrano il principio di accountability (responsabilizzazione) ed il principio di trasparenza.

Il principio di accountability consiste nell'obbligo del Titolare di “comprovare” il rispetto dei principi di trattamento dei dati e di mettere in atto misure tecniche ed organizzative adeguate che devono essere costantemente riesaminate ed aggiornate, se necessario, per garantire, ed essere in grado di dimostrare che il trattamento è effettuato conformemente al Regolamento.

Il principio di trasparenza si sostanzia nell'obbligo del Titolare del trattamento di informare gli interessati in merito al trattamento dei loro dati personali, di rendere le informazioni richieste in caso di esercizio dei diritti e di informare gli interessati in caso di violazione dei dati personali.

L'informativa mantiene un ruolo centrale e costituisce un elemento fondamentale nell'ambito del diritto alla protezione dei dati personali, nonché il presupposto alla base del successivo consenso reso dall'interessato in relazione ad una o più operazioni di trattamento. Per poter informare in modo corretto l'interessato, il Titolare deve possedere tutti gli elementi ed informazioni relative al trattamento che intende effettuare, avendo condotto le necessarie verifiche e valutazioni preventive in merito alla liceità del trattamento ed adottato adeguate misure tecniche ed organizzative.

Ai sensi dell'art. 12 GDPR, l'informativa sul trattamento dei dati deve essere resa all'interessato gratuitamente ed in forma concisa, trasparente, intelligibile e facilmente accessibile, con un linguaggio semplice e chiaro, in particolare nel caso di informazioni destinate specificamente ai minori. L'informativa può essere resa per iscritto o con altri mezzi, anche, se del caso, con mezzi elettronici oppure, oralmente solo se richiesto dall'interessato e purché sia comprovata con altri mezzi l'identità dell'interessato.

È obbligo del Titolare adottare le misure appropriate per fornire all'interessato tutte le informazioni richieste dal Regolamento. Quest'ultimo indica, inoltre, il contenuto obbligatorio dell'informativa distinguendo a seconda che i dati personali siano o meno raccolti direttamente presso l'interessato (rispettivamente si applicherà l'art. 13 o 14 GDPR). All'interno dell'informativa andrà, quindi, indicato, ad esempio, se la finalità del trattamento consisterà nella profilazione, se i dati personali verranno ceduti a terzi specificamente individuati.

Il trattamento di eventuali dati personali preordinato strettamente alla prestazione di servizi richiesti è «necessario per eseguire obblighi derivanti da un contratto del quale è parte l'interessato». In questi casi, non è corretto che il fornitore del servizio solleciti il consenso al trattamento, tantomeno in termini generali. La persona fisica che accede ai servizi interattivi, o che viene abilitata caso per caso all'accesso condizionato, deve essere informata nuovamente in modo rapido e con brevi frasi efficaci circa l'eventuale utilizzo di dati personali, con una schermata di primo avviso (del tipo: «Ecco come sono utilizzati i tuoi dati personali») che permetta, premendo un tasto, di accedere ad un'idonea informativa leggibile anche a distanza.

È proprio in materia di informativa sul trattamento dei dati che il Garante evidenzia come la stessa debba essere chiara e completa, ovvero tale da permettere all'utente di aderire in modo pienamente consapevole alle iniziative proposte. Nel Provvedimento in questione, il Garante, infatti, stabilisce che prima della costituzione del rapporto contrattuale, l'abbonato deve ricevere un'informativa chiara e completa, al fine di aderire in modo pienamente consapevole alle iniziative proposte. L'informativa inserita all'interno di moduli deve essere adeguatamente evidenziata e collocata in modo autonomo e unitario in appositi riquadri, e risultare agevolmente individuabile rispetto ad altre clausole del Regolamento di servizio eventualmente riportato in calce o a margine. Ciò in linea con quanto previsto dal Regolamento che, ai sensi dell'art. 12 comma 7 prevede che le informazioni da rivolgere agli interessati possono essere fornite in combinazione con l'utilizzo di icone standardizzate per dare un quadro di insieme del trattamento e che possono essere presentate elettronicamente per essere leggibili da un dispositivo automatico.

Si possono utilizzare formule sintetiche e colloquiali, purché chiare e inequivocabili. L'informativa deve contenere tutti gli elementi richiesti dal Regolamento, a seconda che i dati personali siano o meno raccolti direttamente presso l'interessato. L'informativa deve specificare, altresì, la natura dei dati di traffico trattati e la durata del loro trattamento ai sensi dell'art. 123, comma 4 del Codice privacy che prevede che: il fornitore del servizio informa il contraente o l'utente sulla natura dei dati relativi al traffico sottoposti a trattamento e sulla durata del medesimo trattamento. Ai sensi dei commi 2 e 3 dell'art. 123 cod. privacy, inoltre, il fornitore potrà trattare, a fini di documentazione in caso di contestazione della fattura o per la pretesa del pagamento, per un periodo non superiore a sei mesi, salva l'ulteriore specifica conservazione necessaria per effetto di una contestazione anche in sede giudiziale, i dati relativi al traffico strettamente necessari a fini di fatturazione per il contraente, ovvero di pagamenti in caso di interconnessione.

I dati relativi al traffico sottoposti a trattamento possono essere altresì trattati da un fornitore di un servizio di comunicazione elettronica accessibile al pubblico nella misura e per la durata necessarie a fini di commercializzazione di servizi di comunicazione elettronica o per la fornitura di servizi a valore aggiunto, solo se il contraente o l'utente cui i dati si riferiscono hanno manifestato preliminarmente il proprio consenso, che è revocabile in ogni momento.

Il consenso del soggetto interessato è disciplinato dall'art. 7 del Regolamento e rappresenta una condizione di liceità del trattamento ai sensi dell'art. 6, par. 1, lett. a ) ed è definito dall'art. 4, par. 11, come “qualsiasi manifestazione di volontà libera, specifica e informata e inequivocabile dell'interessato, con la quale lo stesso manifesta il proprio assenso, mediante dichiarazione o azione positiva inequivocabile, che i dati personali che lo riguardano siano oggetto di trattamento”.

Rispetto alla definizione contenuta nella Direttiva 95/46/CE, il Regolamento aggiunge il riferimento al carattere necessariamente inequivocabile della manifestazione di volontà dell'interessato, nonché alle modalità di espressione dell'assenso, ovvero la dichiarazione o l'azione positiva inequivocabile. Per quanto riguarda il nostro ordinamento giuridico, rispetto al Codice privacy muta la disciplina della forma da osservare ad probationem (che il codice prescriveva come, appunto, necessariamente scritta), mentre l'inequivocabilità si estende non solo al contenuto ma anche alla circostanza della sua effettiva manifestazione, con le caratteristiche necessarie. Per poter essere valido il consenso deve essere espresso mediante un atto positivo, libero, specifico, informato ed inequivocabile dell'interessato e da cui risulti la volontà inequivocabile di accettare il trattamento dei dati personali.

Se il consenso è prestato dal soggetto interessato nel contesto di una dichiarazione scritta che riguarda anche ulteriori questioni, la richiesta di consenso è presentata in modo chiaramente distinguibile dalle altre materie, in forma comprensibile e facilmente accessibile, utilizzando un linguaggio semplice e chiaro (il considerando 32 al GDPR precisa che “qualora il trattamento abbia più finalità, il consenso dovrebbe essere prestato per tutte queste”).

Il Titolare del trattamento deve essere in grado di dimostrare che l'interessato ha prestato il proprio consenso al trattamento dei propri dati personali. Deve risultare chiara la circostanza che per tali scopi (come pure per la partecipazione a sondaggi che devono avere fini chiaramente determinati e legittimi), il conferimento dei dati e il consenso sono liberi e facoltativi rispetto all'ordinaria prestazione dei servizi, e non possono ottenersi sulla base di pressioni o condizionamenti.

Nell'interfaccia grafica contenente il supplemento di informativa all'utente deve apparire l'indicazione su come acconsentire allo specifico trattamento, premendo, ad esempio, un tasto. Il consenso deve poter essere revocato in qualsiasi momento, senza che ciò pregiudichi la liceità del trattamento basata sul consenso prima della revoca.

Pagamenti e fatturazioni: le ulteriori questioni di interesse per il Garante

Il Garante Privacy, nel Provvedimento esaminato, ha cercato di risolvere le questioni legate ai pagamenti e alla fatturazione, come quello derivante dall'esigenza di adottare adeguate misure in grado di operare un bilanciamento tra la tutela della riservatezza degli effettivi fruitori dei servizi (es. membri della famiglia dell'abbonato) e l'esigenza, che può essere contrapposta, dell'abbonato di verificare la correttezza della fatturazione degli addebiti, nonché di altre questioni relative alla conservazione dei dati, per la quale prescrive la regola generale per cui i dati, dei quali non è necessaria la conservazione in relazione agli scopi per i quali essi sono stati raccolti, devono essere cancellati o trasformati in forma anonima al più presto.

Posto che le informative privacy devono contenere, ai sensi dell'art. 13 GDPR, il periodo di conservazione dei dati personali oppure i criteri utilizzati per determinare tale periodo, in tema di pagamenti e fatturazione si applica: da un punto di vista civilistico il termine di 10 anni a decorrere dall'ultima registrazione del pagamento (secondo quanto disciplinato dall'art. 2220 c.c.); da un punto di vista fiscale le scritture contabili obbligatorie e la relativa documentazione devono essere conservate fino a quando non siano definiti gli accertamenti relativi al corrispondente periodo d'imposta. Se non ricorrono esigenze di specifica fatturazione dei singoli prodotti, e non vi è un distinto e specifico consenso alla profilazione, i dati personali desumibili dal voto televisivo, da sondaggi, acquisti, ecc. non possono essere registrati ed utilizzati per l'una o l'altra di queste finalità.

Decorso il termine per le singole fatturazioni e le relative contestazioni, i dati personali relativi ai singoli servizi o programmi acquistati devono essere cancellati. La cancellazione deve riguardare anche la memorizzazione del consenso, acquisito nei soli casi in cui esso è, come si è detto, necessario – manifestato in forma scritta o telematica equiparabile allo scritto.

Il Garante nel Provvedimento in esame fa riferimento alla cancellazione ed anonimizzazione le quali sono ora annoverate dal Regolamento rispettivamente come nuovo diritto spettante al soggetto interessato e come misura di sicurezza tecnica per garantire la sicurezza minima dei trattamenti. Diversamente dalla disciplina del Codice privacy A-R, la normativa europea rimette la valutazione dell'adeguatezza delle misure, caso per caso, al titolare e al responsabile del trattamento in rapporto ai rischi specificamente individuati. A differenza della precedente normativa il Regolamento europeo non fornisce un elenco dettagliato delle misure tecniche adottabili per garantire la sicurezza minima dei trattamenti, simile a quello di cui all'Allegato B al vecchio cod. privacy. Rispetto alla previgente normativa, tuttavia, il Regolamento fa riferimento ad una serie, non esaustiva, di alcune delle misure tecniche ed organizzative che il titolare e il responsabile sono tenuti ad adottare.

La cancellazione dei dati personali, disciplinata dall'art. 17 GDPR, prevede che il titolare del trattamento deve procedere con la cancellazione dei dati personali, in presenza di due casistiche principali. La prima è la c.d. deletion by default, secondo cui i dati personali devono essere cancellati se non sono più necessari per le finalità per i quali sono stati raccolti o altrimenti trattati, secondo obblighi di legge relativi alla cancellazione dei dati o per un trattamento (a monte) illecito. Secondo la deletion on demand: i dati personali devono essere cancellati, su richiesta dell'interessato, in quanto: revoca il consenso su cui si basa il trattamento, e non sussiste altro fondamento giuridico per il trattamento, si oppone al trattamento, e non sussiste altro fondamento giuridico per il trattamento o motivi legittimi prevalenti del Titolare, trattamento (a monte) illecito. Se il Titolare ha reso pubblici i dati personali ed è obbligato a cancellarli, tenendo conto della tecnologia disponibile e dei costi di attuazione adotta le misure ragionevoli, anche tecniche, per informare i titolari del trattamento che stanno trattando i dati personali della richiesta dell'interessato di cancellare qualsiasi link, copia o riproduzione dei suoi dati personali. Il Titolare non è obbligato a cancellare i dati personali dei suoi interessati, qualora il trattamento sia necessario: per l'esercizio del diritto alla libertà di espressione e di informazione (c.d. diritto di cronaca); per l'adempimento di un obbligo legale che richieda il trattamento previsto dal diritto dell'Unione o dalla normativa nazionale o per l'esecuzione di un compito svolto nel pubblico interesse oppure nell'esercizio di pubblici poteri di cui è investito il titolare del trattamento; per motivi di interesse pubblico nel settore della sanità pubblica; a fini di archiviazione nel pubblico interesse, di ricerca scientifica o storica o a fini statistici nella misura in cui il diritto alla cancellazione rischi di rendere impossibile o di pregiudicare gravemente il conseguimento degli obiettivi di tale trattamento; per l'accertamento, l'esercizio o la difesa di un diritto in sede giudiziaria.

L'anonimizzazione prevede una deidentificazione irreversibile tale da non consentire più di risalire al dato dettagliato. Pur non trovando una espressa definizione nel Regolamento, i dati anonimizzati sono sottratti, ai sensi del considerando 26, all'applicabilità della disciplina di protezione dei dati. Ciò in linea con la direttiva 95/46/CE che già faceva riferimento all'anonimizzazione escludendo tali dati anche dal relativo ambito di applicazione. Aggiungere elementi di incertezza ai dati personali, sia per il tramite della randomizzazione, sia per mezzo della generalizzazione, è procedimento che, se condotto alle estreme conseguenze, può consentire di pervenire all'anonimizzazione del dato, trattamento cioè che, a meno di uno sforzo irragionevole, ha l'obiettivo di precludere l'identificazione dell'interessato.

Conservazione dei dati personali

Il considerando 39 GDPR prevede che il principio della trasparenza impone che le informazioni e le comunicazioni relative al trattamento di tali dati personali siano facilmente accessibili e comprensibili e che sia utilizzato un linguaggio semplice e chiaro. Tale principio riguarda, in particolare, l'informazione degli interessati sull'identità del titolare del trattamento e sulle finalità del trattamento e ulteriori informazioni per assicurare un trattamento corretto e trasparente con riguardo alle persone fisiche interessate e ai loro diritti di ottenere conferma e comunicazione di un trattamento di dati personali che li riguardano. È opportuno che le persone fisiche siano sensibilizzate ai rischi, alle norme, alle garanzie e ai diritti relativi al trattamento dei dati personali, nonché alle modalità di esercizio dei loro diritti relativi a tale trattamento. In particolare, le finalità specifiche del trattamento dei dati personali dovrebbero essere esplicite e legittime e precisate al momento della raccolta di detti dati personali. I dati personali dovrebbero essere adeguati, pertinenti e limitati a quanto necessario per le finalità del loro trattamento. Da qui l'obbligo, in particolare, di assicurare che il periodo di conservazione dei dati personali sia limitato al minimo necessario. I dati personali dovrebbero essere trattati solo se la finalità del trattamento non è ragionevolmente conseguibile con altri mezzi. Onde assicurare che i dati personali non siano conservati più a lungo del necessario, il titolare del trattamento dovrebbe stabilire un termine per la cancellazione o per la verifica periodica. È opportuno adottare tutte le misure ragionevoli affinché i dati personali inesatti siano rettificati o cancellati. I dati personali dovrebbero essere trattati in modo da garantirne un'adeguata sicurezza e riservatezza, anche per impedire l'accesso o l'utilizzo non autorizzato dei dati personali e delle attrezzature impiegate per il trattamento.

Nella prestazione di servizi televisivi interattivi o ad accesso condizionato vengono trattate diverse tipologie di dati, per differenti finalità. Accanto a dati «amministrativi» di carattere generale, sono trattati dati inerenti alla fatturazione di singoli consumi televisivi, i quali rilevano in determinati casi come «dati di traffico», anche quando siano trattati dal fornitore del servizio, oltre che dal gestore telefonico (ad esempio, il numero telefonico o il numero della smart card; ora di inizio e durata della comunicazione elettronica relativa al servizio richiesto). Il Garante, già nel Provvedimento analizzato, sembrava coerente con quanto stabilito adesso dal Regolamento, il quale stabilisce ai sensi dell'art. 13 del Regolamento che il Titolare del trattamento deve fornire all'interessato il periodo di conservazione dei dati personali, identificando i termini massimi di conservazione dei dati, anche nel corso del rapporto.

Il trattamento dei dati personali relativi al traffico, in stretta connessione con quanto previsto dal Regolamento, costituisce legittimo interesse del titolare del trattamento, in misura strettamente necessaria e proporzionata per garantire la sicurezza delle reti e dell'informazione, vale a dire la capacità di una rete o di un sistema d'informazione di resistere, a un dato livello di sicurezza, a eventi imprevisti o atti illeciti o dolosi che compromettano la disponibilità, l'autenticità, l'integrità e la riservatezza dei dati personali conservati o trasmessi e la sicurezza dei relativi servizi offerti o resi accessibili tramite tali reti e sistemi da autorità pubbliche, organismi di intervento in caso di emergenza informatica (CERT), gruppi di intervento per la sicurezza informatica in caso di incidente (CSIRT), fornitori di reti e servizi di comunicazione elettronica e fornitori di tecnologie e servizi di sicurezza. Ciò potrebbe, ad esempio, includere misure atte a impedire l'accesso non autorizzato a reti di comunicazioni elettroniche e la diffusione di codici maligni, e a porre termine agli attacchi da “blocco di servizio” e ai danni ai sistemi informatici e di comunicazione elettronica.

Il comma 3 dell'art. 132 del Codice privacy interviene in materia di conservazione dei dati di traffico per fini diversi, prevedendo quella che era la disposizione dell'art. 8, comma 2, lett. f) del cod. privacy A-R, relativa all'accessibilità diretta, da parte del difensore dell'imputato o della persona sottoposta alle indagini, dei dati di traffico telefonico in entrata solo nel caso in cui, dalla mancanza di tali dati, possa derivare un pregiudizio effettivo e concreto per lo svolgimento delle investigazioni difensive di cui alla l. n. 397/2000. A tal proposito il legislatore italiano aggiunge che, nel caso di assenza della condizione di pregiudizio effettivo e concreto per lo svolgimento delle investigazioni difensive, i diritti di cui agli artt. da 12 a 22 del Regolamento possono essere esercitati con le modalità di cui all'art. 2-undecies, comma 3, terzo, quarto e quinto periodo: ciò costituisce un elemento di rilievo, che tali accessi diretti ai dati di traffico telefonico in entrata possono essere esercitati anche mediante l'Autorità, per il tramite di un componente del Collegio designato dal Garante stesso. In tale ipotesi, il Garante informa l'interessato di aver eseguito tutte le verifiche necessarie o di aver svolto un riesame, nonché del diritto dell'interessato di proporre ricorso giurisdizionale. Il titolare del trattamento informa l'interessato delle facoltà di cui al presente comma.

La disciplina dei dati relativi al traffico è stata rinnovata dal Codice privacy il quale prevede, all'art. 123 che tali tipologie di dato, trattati dal fornitore di una rete pubblica di comunicazioni o di un servizio di comunicazione elettronica accessibile al pubblico riguardante contraenti ed utenti, sono cancellati o resi anonimi quando non sono più necessari ai fini della trasmissione della comunicazione elettronica. Tali informazioni devono essere rese note mediante informativa al soggetto interessato poiché nell'art. 123 comma 4, è stato inserito il corretto riferimento agli artt. 13 e 14 GDPR. Il trattamento dei dati relativi al traffico strettamente necessario a fini di fatturazione per il contraente, ovvero di pagamenti in caso di interconnessione, è consentito al fornitore, a fini di documentazione (in caso di contestazione della fattura o per la pretesa del pagamento), per un periodo non superiore a sei mesi, salva l'ulteriore specifica conservazione necessaria per effetto di una contestazione anche in sede giudiziale. Il fornitore di un servizio di comunicazione elettronica accessibile al pubblico può trattare i predetti dati nella misura e per la durata necessarie a fini di commercializzazione di servizi di comunicazione elettronica o per la fornitura di servizi a valore aggiunto, solo se il contraente o l'utente cui i dati si riferiscono hanno manifestato preliminarmente il proprio consenso.

Il trattamento dei dati personali relativi al traffico è consentito unicamente a persone autorizzate al trattamento (designati) ai sensi dell'art. 2-quaterdeciesdel d.lgs. n. 101/2018 e che operano sotto la diretta autorità del fornitore del servizio di comunicazione elettronica accessibile al pubblico o, a seconda dei casi, del fornitore della rete pubblica di comunicazioni e che si occupano della fatturazione o della gestione del traffico, di analisi per conto di clienti, dell'accertamento di frodi, o della commercializzazione dei servizi di comunicazione elettronica o della prestazione dei servizi a valore aggiunto. Il trattamento è limitato a quanto è strettamente necessario per lo svolgimento di tali attività e deve assicurare l'identificazione della persona autorizzata che accede ai dati anche mediante un'operazione di interrogazione automatizzata.

I dati relativi al traffico telefonico sono conservati dal fornitore per ventiquattro mesi dalla data della comunicazione, per finalità di accertamento e repressione dei reati, mentre, per le medesime finalità, i dati relativi al traffico telematico, esclusi comunque i contenuti delle comunicazioni, sono conservati dal fornitore per dodici mesi dalla data della comunicazione.

I dati relativi alle chiamate senza risposta, trattati temporaneamente da parte dei fornitori di servizi di comunicazione elettronica accessibili al pubblico oppure di una rete pubblica di comunicazione, sono conservati per trenta giorni.

Per quanto concerne l'archiviazione delle informazioni nell'apparecchio terminale di un contraente o di un utente o l'accesso a informazioni già archiviate, rileva l'art. 122 del Codice privacy (noto come “cookie law”) che prevede, che l'archiviazione delle predette informazioni è consentita unicamente a condizione che il contraente o l'utente abbia espresso il proprio consenso dopo essere stato informato con modalità semplificate. Il d.lgs. n. 101/2018 ha, difatti, eliminato il rinvio all'art. 13 del codice abrogato ed ha corretto il riferimento con riguardo all'informativa da rendere ai sensi dell'art. 13 GDPR. Ciò non vieta l'eventuale archiviazione tecnica o l'accesso alle informazioni già archiviate se finalizzati unicamente ad effettuare la trasmissione di una comunicazione su una rete di comunicazione elettronica, o nella misura strettamente necessaria al fornitore di un servizio della società dell'informazione esplicitamente richiesto dal contraente o dall'utente a erogare tale servizio.

Misure di sicurezza ed ulteriori prescrizioni

Per quanto riguarda gli obblighi relativi all'adozione delle misure di sicurezza occorre fare un cenno all'art. 11 d.lgs. n. 101/2018, va a modificare il Titolo X, Capo I, del Codice privacy e l'art. 27, comma 1, lett. d), della normativa di attuazione abrogando l'allegato B e con esso le prescrizioni minime che il titolare o responsabile del trattamento dovevano adottare a garanzia dei dati personali in proprio possesso. Ciò riflette l'approccio dettato dal legislatore sovranazionale che è quello di non individuare misure minime di sicurezza ma, basandosi sul principio di accountability (responsabilizzazione), concedere discrezionalità ai titolari e responsabili del trattamento di individuare le adeguate misure tecniche ed organizzative per assicurare la necessaria tutela dei dati. Tra questi, il predetto principio di responsabilizzazione costituisce il fondamento di tutta la disciplina prevista dal Regolamento e dovrà caratterizzare la condotta dei titolari del trattamento i quali sono chiamati a porre in essere tutte le loro attività in conformità dei principi e delle regole previste dalla normativa comunitaria.

Il passaggio dall'Allegato B, contenente le prescrizioni minime che il titolare o responsabile del trattamento dovevano attuare ai fini di una corretta protezione dei dati, ad un sistema fondato sulla responsabilizzazione del titolare si fonda sia sugli effetti derivanti dal progresso tecnologico ma anche sulla comprensione della molteplicità di contesti in cui i dati personali sono trattati.

È importante indicare l'abrogazione degli artt. 32 e 32-bisdel cod. privacy A-R, innovati dal d.lgs. n. 69/2012, in recepimento delle modifiche introdotte dalla Direttiva 2009/136/CE che a sua volta modificava la Direttiva e-privacy 2002/58/CE. Tali disposizioni si riflettono perfettamente negli artt. 132- ter e 132- quater del Codice privacy. All'art. 132-ter (rubricato “sicurezza del trattamento”), si prevede che, ai sensi dell'art. 32 GDPR, il fornitore di un servizio di comunicazione elettronica accessibile al pubblico adotti, anche attraverso altri soggetti a cui sia affidata l'erogazione del servizio, misure tecniche ed organizzative adeguate al rischio esistente. Tale comma, erede del primo comma dell'abrogato art. 32 del Codice, riferisce in sostanza la disciplina di sicurezza e-privacy a quella contenuta nel Regolamento. Le predette misure garantiscono la protezione dei dati relativi al traffico e all'ubicazione e degli altri dati personali archiviati o trasmessi dalla distruzione anche accidentale, da perdita o alterazione anche accidentale e da archiviazione, trattamento, accesso o divulgazione non autorizzati o illeciti, nonché garantiscono l'attuazione di una politica di sicurezza. Quando la sicurezza del servizio o dei dati personali richiede anche l'adozione di misure che riguardano la rete, il fornitore del servizio di comunicazione elettronica accessibile al pubblico adotta tali misure congiuntamente con in fornitore della rete pubblica di comunicazioni. In caso di mancato accordo, su richiesta di uno dei fornitori, la controversia è definita dall'Autorità per le garanzie nelle comunicazioni secondo le modalità previste dalla normativa vigente ex art. 32 del codice. La previsione di cui all'ultimo comma del previgente art. 32 del codice si sposta in un autonomo art. del codice, il 132-quater, rubricato “Informazioni sui rischi”. In esso, si stabilisce un importante obbligo informativo per il fornitore di un servizio di comunicazione elettronica accessibile al pubblico: quest'ultimo deve informare gli abbonati e, ove possibile, gli utenti, “mediante linguaggio chiaro, idoneo ed adeguato rispetto alla categoria e alla fascia di età dell'interessato a cui siano fornite le suddette informazioni, con particolare attenzione in caso di minori di età”, se sussiste un particolare rischio di violazione della sicurezza della rete, indicando, quando il rischio è al di fuori dell'ambito di applicazione delle misure che il fornitore stesso è tenuto ad adottare a norma dell'art. 132-ter, commi 2, 3 e 5, tutti i possibili rimedi ed i relativi costi presumibili. Rispetto alla precedente normativa, la novità è costituita nei requisiti di linguaggio e di adeguamento a categoria ed età dell'interessato a cui sia fornita l'informazione, requisiti che in precedenza non sussistevano.

Per quanto riguarda le figure interne, il Provvedimento fa ancora riferimento agli incaricati e responsabili intesi ai sensi dagli artt. 29 e 30 del cod. privacy A-R, del d.lgs. n. 101/2018, che li ha ora espressamente abrogati. Tale parte del provvedimento deve quindi considerarsi superata da quanto disposto dal Regolamento e dall'art. 2- quaterdecies del cod. privacy.

Il concetto di responsabile interno del trattamento è superato dalla normativa europea, che all'art. 28 pone tutta una serie di obblighi e previsioni che devono essere ricondotti a una figura di responsabile del trattamento necessariamente esterna. Al contrario, la figura di un soggetto interno, paragonabile a quella già esistente dell'incaricato del trattamento, appare compatibile con il Regolamento, che all'art. 4 n. 10 prevede che ci possano essere “persone autorizzate al trattamento dei dati personali sotto l'autorità diretta del titolare o del responsabile”. L'eventuale preposizione di eventuali responsabili ed incaricati «esterni» incontra, nel settore in esame, precisi limiti di legge e non può portare ad eludere le garanzie di abbonati ed utenti in tema di comunicazione dei dati a terzi, di trasparenza nell'informativa e di rispetto delle finalità dichiarate.

In continuità con il Regolamento, l'art. 2-quaterdeciesdel cod. privacy afferma che “il titolare o il responsabile del trattamento possono prevedere, sotto la propria responsabilità e nell'ambito del proprio assetto organizzativo, che specifici compiti e funzioni connessi al trattamento di dati personali siano attribuiti a persone fisiche, espressamente designate, che operano sotto la loro autorità.” Tali “soggetti designati”, in parte equiparabili al precedente incaricato al trattamento, si differenziano però da quest'ultimo perché la loro presenza è facoltativa e spetta al titolare o al responsabile, nell'ottica della già citata accountability, stabilire le funzioni da essi svolte e le istruzioni con cui questi dovranno operare. Infatti, a differenza di quanto previsto dal cod. privacy A-R, che richiedeva la designazione scritta degli incaricati del trattamento “tra le misure minime di sicurezza ex art. 33 del codice in quanto trattasi di un'attività (che il titolare del trattamento è tenuto ad effettuare nei confronti di quanti ordinariamente operano sui dati personali) volta a garantire il livello minimo di sicurezza nelle operazioni di trattamento”, nella formulazione del nuovo art. 2-quaterdecies, viene a mancare tale obbligatorietà. Il trattamento dei dati personali relativi al traffico, ai sensi dell'art. 123, comma 5 del Codice privacy, è consentito unicamente a persone che risultano autorizzate al trattamento e che operano sotto la diretta autorità del fornitore del servizio di comunicazione elettronica accessibile al pubblico o, a seconda dei casi, del fornitore della rete pubblica di comunicazioni e che si occupano della fatturazione o della gestione del traffico, di analisi per conto di clienti, dell'accertamento di frodi, o della commercializzazione dei servizi di comunicazione elettronica o della prestazione dei servizi a valore aggiunto.

In tema di richiesta di informazioni e di esibizione di documenti per l'espletamento dei propri compiti, il Garante, secondo l'art. 157 del Codice privacy, prevede che nell'ambito dei poteri di cui all'art. 58 del Regolamento, può richiedere al Titolare, al responsabile, all'interessato o anche a terzi di fornire informazioni e di esibire documenti anche con riferimento al contenuto di banche dati. L'art. 168 del Codice privacy prevede, al primo comma, che salvo che il fatto costituisca più grave reato, chiunque, in un procedimento o nel corso di accertamenti dinanzi al Garante, dichiara o attesta falsamente notizie o circostanze o produce atti o documenti falsi, è punito con la reclusione da sei mesi a tre anni. Fuori dai casi di cui al comma 1, è punito con la reclusione sino ad un anno chiunque intenzionalmente cagiona un'interruzione o turba la regolarità di un procedimento dinanzi al Garante o degli accertamenti dallo stesso svolti (art. 2 comma art. 168 cod. privacy).