1
INTRODUZIONE
“Affermare che non si è interessati al diritto alla privacy perché non si ha nulla da
nascondere è come dire che non si è interessati alla libertà di parola perché non si
ha nulla da dire”.
Rispondeva così Edward Snowden – informatico, attivista e whistleblower
statunitense – in una discussione sulla piattaforma Reddit nel 2015
1
. Oggi possiamo
intendere il diritto alla privacy come un diritto fondamentale della persona
2
, un vero
e proprio diritto umano, che in quanto tale non necessita di un motivo che ne
giustifichi l’esistenza poiché “il carico della giustificazione ricade su chi cerca di
infrangere quel determinato diritto. Ma anche se fosse, non puoi cedere i diritti
altrui perché a te non sono utili. Ad esempio, la maggioranza non può votare contro
i basilari diritti di una minoranza”
3
. Tale considerazione del diritto alla privacy si
è affermata nell’esperienza giuridica anglosassone e oggi trova agganci in diverse
disposizioni della nostra Carta costituzionale, ad esempio agli artt. 14, 15, 21 e 32,
nonché direttamente con la formula dell’art. 13 che recita “La libertà personale è
inviolabile”
4
. Proprio con questa premessa intendo cominciare il mio elaborato che
andrà ad incentrarsi sull’analisi della disciplina sulla privacy e, più precisamente,
sugli aspetti problematici del c.d. Data Breach in ambito aziendale, dove il ruolo
della nuova figura che si rivede nel DPO (o Responsabile Protezione Dati) può
giocare un ruolo decisivo nelle azioni di prevenzione. In particolare, il Capitolo I
sarà di introduzione alle principali nozioni in tema di privacy e trattamento di dati
personali, ai principali soggetti e autorità coinvolte e alle principali differenze tra
Codice Privacy e Gdpr. Il Capitolo II tratterà sia lo sviluppo della disciplina sul
1
Just days left to kill mass surveillance under Section 215 of the Patriot Act. We are Edward
Snowden and the ACLU’s Jameel Jaffer. AUA., in reddit.com, 21 maggio 2015 (ultima
consultazione 02/03/2021).
2
L’art. 1 dello stesso GDPR fa rientrare il “diritto alla protezione dei dati personali” proprio nei
diritti e libertà fondamentali, nonché l’art. 8, par. 1 della Carta dei diritti fondamentali dell’UE e
l’art. 16, par. 1 del TFUE stabiliscono che ogni persona ha diritto alla protezione dei dati di
carattere personale che la riguardano.
3
Just days left to kill mass surveillance under Section 215 of the Patriot Act. We are Edward
Snowden and the ACLU’s Jameel Jaffer. AUA., in reddit.com, 21 maggio 2015 (ultima
consultazione 02/03/2021).
4
F. Modugno, I “nuovi diritti” nella Giurisprudenza Costituzionale, Torino, Giappichelli, 1995.
2
Data Breach in ambito nazionale ed europeo sia l’analisi del quadro normativo
vigente, con riferimento alla modalità di compilazione del modulo di notifica da
indirizzare al Garante Privacy.
Successivamente, avendo esposto ampiamente la disciplina di riferimento nei primi
due capitoli, il Capitolo III riguarderà il rapporto tra il fenomeno dell’ingegneria
sociale e il data breach in ambito aziendale facendo riferimento, per l’esplicazione
di casi pratici, soprattutto al libro di K.Mitnick “L’Arte dell’Inganno”
5
poiché, tra
le tipologie di data breach vi è anche quella, forse più pericolosa, causata dal c.d.
Fattore H ossia l’essere umano e quindi anche dal dipendente/dirigente di
un’azienda o di un’impresa, indipendentemente dal ruolo che ha e dalle funzioni
che svolge all’interno della stessa. L’elaborato si concluderà con alcuni spunti
risolutivi di natura preventiva in cui il ruolo del DPO, o RPD, può rivestire una
funzione determinante come “educatore”.
5
K. Mitnick, L'arte dell'inganno, 8ª ed., Milano, Feltrinelli Editore, 2013.
3
CAPITOLO I – PRIVACY: PRINCIPALI CONCETTI TRA
CODICE PRIVACY E GDPR
1.Accezioni di “dato personale” nel Codice Privacy e nel Gdpr
Il significato del termine “privacy” si è sviluppato nel tempo di pari passo con
l’evoluzione tecnologica. Inizialmente, si riferiva alla sfera della vita privata
6
,
mentre oggi concerne il diritto al controllo sui propri dati personali
7
e, più
specificamente, al diritto della persona di controllare che le informazioni che la
riguardano vengano trattate o guardate solo in caso di necessità
8
. A partire dal XXI
secolo, le nuove tecnologie hanno contribuito ad un assottigliamento della barriera
della privacy: la geolocalizzazione di smartphone e smartwatch, oppure la facilità
nel reperire indirizzi di posta elettronica, possono permettere ad aziende di
marketing di monitorare l’utente nelle sue abitudini e gusti personali attraverso la
“pubblicità comportamentale”, cioè una raccolta di informazioni personali degli
utenti al fine di proporre pubblicità specifiche e personalizzate – come evidenziato
da Federprivacy nel 2015 e confermato dall’Università di Pisa in collaborazione
con l’Università dell’Essex e all’Harvard Medical School
9
–.
Una prima forma di regolamentazione del fenomeno si è avuta, in Italia, con la l. n.
675/1996 tramite la quale il legislatore ha dato attuazione alla direttiva UE
95/46/CE
10
del 1995. Successivamente, data l’emanazione di ulteriori leggi più
settoriali, il legislatore italiano ha riorganizzato la disciplina con il c.d. Codice
Privacy – formalmente “Codice per la protezione dei dati personali” – tramite il d.
6
Per una ricostruzione della giurisprudenza di legittimità, si v. Corte Cass., II Sez. Civ., sent.
990/1963; Corte Cass., I Sez. Civ., sent. 2129/1975; Corte Cass., III Sez. Civ., sent. 5658/1998. Con
quest’ultima decisione si è passati da un mero diritto alla riservatezza ad un riconoscimento, col
rinvio a leggi ordinarie, di ogni aspetto correlato all’ambito personale del soggetto, avendo come
parametro l’art. 2 Cost. inerente i diritti inviolabili della persona.
7
Cfr. L. Bolognini, Valutazioni d’impatto sulla protezione dei dati (DPIA), attenzione ai malintesi
interpretativi, in http://www.istitutoitalianoprivacy.it/, 15 settembre 2017: “Proteggere i dati
personali vuol dire proteggere un elemento essenziale dell’essere umano, cioè va inteso – e così è
palesemente inteso dal legislatore europeo sin dai Trattati – come diritto fondamentale strumentale
alla tutela di altri diritti e libertà fondamentali e non va considerata come mera sicurezza dei dati
personali” (ultima consultazione 02/03/2021).
8
“Privacy”, in it.wikipedia.org, https://it.wikipedia.org/wiki/Privacy (ultima consultazione
02/03/2021).
9
Cfr. Federprivacy lancia l’allarme sugli smartwatch che leggono le emozioni, 31 marzo 2015, La
Stampa, https://www.lastampa.it/tecnologia/2015/03/31/news/federprivacy-lancia-l-allarme-sugli-
smartwatch-che-leggono-le-emozioni-1.35284370 (ultima consultazione 02/03/2021).
10
Definibile come la “direttiva madre” in ambito protezione di dati personali.
4
lgs. 196/2003, il quale è entrato in vigore il 1° Gennaio 2004. In ultimo, la disciplina
è stata ulteriormente modificata dal legislatore comunitario, cercando così di
uniformare la normativa degli Stati facenti parte dell’Unione Europea, con il c.d.
GDPR – General Data Protection Regulation (Regolamento UE
11
n. 679/2016) –,
applicato dal 25 Maggio 2018. Al fine di adeguare la disciplina nazionale con il
GDPR
12
, è stato emanato il d. lgs. n. 101/2018 che ha abrogato parzialmente il
Codice Privacy.
Alla luce della ricostruzione appena esposta, bisogna evidenziare cosa si intenda
per “dato personale” all’interno del Codice Privacy (2003) e come viene inteso oggi
nel GDPR. Nel primo, la definizione era fornita dall’art. 4 (Definizioni) che recitava
“qualunque informazione relativa a persona fisica
13
, identificata o identificabile,
anche indirettamente, mediante riferimento a qualsiasi altra informazione, ivi
compreso un numero di identificazione personale”, mentre, nel secondo, troviamo
una definizione più specifica, sempre all’art. 4, la quale identifica il dato personale
come “qualsiasi informazione riguardante una persona fisica identificata o
identificabile (interessato); si considera identificabile la persona fisica che può
essere identificata
14
, direttamente o indirettamente, con particolare riferimento a
un identificativo come il nome, un numero di identificazione, dati relativi
all’ubicazione, un identificativo online o a uno o più elementi caratteristici della
sua identità fisica, fisiologica, genetica, psichica, economica, culturale o sociale”.
Dal confronto di queste due formulazioni si può evincere come il legislatore
comunitario sia stato più dettagliato rispetto a quello italiano del 2003, in quanto ha
voluto specificare alcuni mezzi con i quali una persona fisica può essere
identificata. Inoltre, tenendo presente i C26 e 27
15
al GDPR, quest’ultimo non si
applica né al trattamento di informazioni sufficientemente anonime, poiché non è
11
Fonte comunitaria direttamente applicabile (self executing) e di rango superiore alla legge
ordinaria interna ex art. 288, co. 2 del Trattato sul funzionamento dell'Unione Europea (2012/C
326/01) versione consolidata.
12
D’ora in poi richiamato anche come “Regolamento”.
13
Si fa riferimento alla figura dell’interessato ossia la persona fisica cui si riferiscono i dati
personali.
14
In ambito online si può fare riferimento, in base al Considerando 30 del GDPR, agli indirizzi IP,
ai marcatori temporanei (cookies) oppure ai tag di identificazione a radiofrequenza.
15
Con “C” si indicano i “Considerando” al GDPR, ovverosia considerazioni descrittive di
importanza fondamentale che aiutano nella comprensione del testo normativo.
5
possibile l’identificazione dell’interessato, né ai dati personali delle persone
decedute, a meno che non lo prevedano specifiche norme degli Stati membri.
Un importante punto da considerare è inerente alle diverse accezioni di dato
personale che si possono evincere dal Cod. Privacy e dal Regolamento. Nel primo
si differenziavano, in base all’art. 4:
• I “dati identificativi” ossia i dati personali che permettono l’identificazione
diretta dell’interessato (ad es. nome, cognome, codice fiscale, indirizzo e-
mail, numero di carta di credito, numero di telefono, ecc…);
• I “dati sensibili” ossia dati idonei a rivelare l’origine razziale ed etnica, le
convinzioni religiose, filosofiche o di altro genere, le opinioni politiche,
l’adesione a partiti, sindacati, associazioni od organizzazioni a carattere
religioso, filosofico, politico o sindacale, nonché i dati personali idonei a
rivelare lo stato di salute e la vita sessuale;
• I “dati giudiziari” ossia i dati personali idonei a rivelare provvedimenti in
materia di casellario giudiziale, di anagrafe delle sanzioni amministrative
dipendenti da reato e dei relativi carichi pendenti, o la qualità di imputato o
di indagato ai sensi degli articoli 60 e 61 del codice di procedura penale;
• I “dati anonimi” ossia dati che in origine, o a seguito di trattamento, non
possono essere associati ad un interessato identificato o identificabile.
Il suddetto articolo è stato sostituito dalla disciplina del Regolamento che ha
operato, sostanzialmente, una differenziazione tra “dato personale” e “dato
particolare”
16
. In quest’ultima categoria rientrano, ad esempio, i dati genetici
17
, i
dati biometrici
18
, i dati relativi alla salute
19
e ogni altro dato personale che rientrava
nella categoria di “dato sensibile”, già nel Codice Privacy.
16
In base all’art. 9 del GDPR, è limitato il trattamento di alcune categorie particolari di dati
personali, a meno che non si verifichino determinate condizioni (si v. infra, par. 2).
17
In base al C34, sono i dati personali relativi alle caratteristiche genetiche, ereditarie o acquisite,
di una persona fisica, che risultino dall’analisi di un campione biologico della persona fisica in
questione, in particolare dall’analisi dei cromosomi, del DNA o del RNA, ovvero dall’analisi di un
altro elemento che consenta di ottenere informazioni equivalenti.
18
Si può fare riferimento all’immagine facciale o ai dati dattiloscopici.
19
Si intendono dati personali inerenti alla salute fisica o mentale di una persona fisica, compresa la
prestazione di servizi di assistenza sanitaria, che rivelano informazioni relative al suo stato di salute.
Ricevi informazioni sui nostri servizi, sulle offerte e non perdere news e consigli su università e lavoro.
