1
Introduzione
Il Regolamento 2016/679 con riguardo alla protezione dei dati personali è entrato in vigore
il 25 maggio 2016. Esso ha introdotto rilevanti novità all’interno della normativa europea.
La necessità di adottare un nuovo testo normativo premeva da anni, soprattutto a causa del
rapido progresso tecnologico nell’ambito delle telecomunicazioni. Dal 1995 ad oggi i mezzi
di comunicazione sono profondamente cambiati e di conseguenza anche l’ambiente
socioeconomico. La direttiva 95/46 è stata adottata negli anni ’90 e oramai risultava poco
adeguata alla regolazione della protezione dei dati personali. Dal 2012 dunque è iniziato
l’iter legislativo per adottare un nuovo testo che fosse in grado di garantire la tutela dei dati
personali efficacemente e potesse colmare le carenze della direttiva 95/46, tenendo conto
del contesto storico, in cui il progresso tecnologico è in continua evoluzione. Il regolamento
adottato ha dovuto pertanto, disciplinare più dettagliatamente ambiti non ancora
regolarizzati dalla normativa, ma allo stesso tempo ha dovuto lasciare un margine per far sì
che potesse essere applicato anche in situazioni ancora oggi non immaginabili e pertanto
non possibili di regolamentazione. In concreto questo si realizza con la definizione di diversi
principi a cui viene lasciata ampia discrezionalità agli Stati membri di specificare settori più
circoscritti, e ai titolari del trattamento di individuare le soluzioni più adatte alla propria
situazione, nell’attuare i precetti del regolamento.
Il Gdpr prosegue sulla via della direttiva madre (Dir. 95/46/CE), mantenendo
fedelmente la struttura e seguendo i principi fondamentali del diritto alla protezione dei dati
stabiliti fin dalla Convezione di Strasburgo del 1981. Le novità apportate hanno il fine di
espandere la protezione degli interessati in relazione ai dati personali che li riguardano e
responsabilizzare i titolari del trattamento nell’esercizio dei loro compiti, nel limite in cui la
Direttiva non era più efficace. Rispetto alla direttiva 95/46, che è stata il più importante
riferimento normativo per più di un ventennio nel diritto europeo, si riscontrano numerosi
obblighi in capo ai titolari del trattamento la cui inosservanza causa la potenziale soggezione
a ingenti sanzioni pecuniarie.
L’obiettivo di questo elaborato è quello di valutare se l’introduzione di nuovi
obblighi nel Regolamento 679/2016 relativo alla protezione dei dati personali, sia motivata
da un’estensione dei diritti delle persone fisiche interessate al trattamento. Oggetto della tesi
Introduzione
2
sono, pertanto, le innovazioni introdotte dal Regolamento nell’ambito dei diritti delle
persone interessate e degli obblighi del titolare e del trattamento.
È stato esaminato questo argomento perché, della norma europea, è stato molto
dibattuto nel 2018, soprattutto in seguito al caso Cambridge Analytica. La vicenda ha visto
protagonista un’azienda di consulenza e marketing online chiamata Cambridge Analytica.
L’azienda raccoglieva e analizzava enormi quantità di dati sugli utenti di internet al fine di
creare profili a seconda delle azioni compiute dagli utenti sul web (profilazione) per le
campagne elettorali
1
. Il 17 marzo 2018 sui giornali The Observer, The Guardian e New York
Times, l’ex dipendente della società Wylie
2
dichiara che Cambridge Analytica ha raccolto
una miriade di informazioni da circa 50 milioni di utenti Facebook attraverso un quiz in cui
si richiedeva il consenso per ottenere informazioni anche dai loro amici presenti sul social.
L’azienda cooperava con i collaboratori di Donald Trump durante le elezioni presidenziali
del 2016, proprio nel periodo in cui vi è stata la raccolta illecita di dati da Facebook.
L’azienda aveva creato un software in grado di prevedere e influenzare le scelte politiche
attraverso annunci personalizzati. È stato messo in dubbio il potere di Facebook di
salvaguardare la privacy dei suoi utenti, il che ha scatenato un grosso dibattito sulla capacità
delle aziende che operano soprattutto nel web di tutelare i dati personali degli interessati al
trattamento. Inoltre, il potenziale economico dell’utilizzo dei dati degli utenti e dei
consumatori principalmente, ha fatto sì che i dati vengano chiamati il “nuovo petrolio” del
XXI secolo. Pare evidente l’importanza che essi detengono nella nostra società, per cui si è
voluto approfondire l’argomento del diritto alla protezione dei dati personali per accrescere
la consapevolezza con riguardo ai dati personali il cui trattamento è stato autorizzato. Si
riscontra in generale uno scarso interesse tra le persone relativamente a questo aspetto. Ci
si dimentica (o si è del tutto inconsapevoli) che si tratta di un diritto fondamentale, tutelato
dalla Carta dei diritti fondamentali dell’Unione europea e dalla Convenzione europea per la
salvaguardia dei diritti dell’uomo.
1
Emanuele Menietti, “Il caso Cambridge Analytica, spiegato bene. Perché Facebook è di nuovo oggetto di
accuse e critiche su come gestisce i nostri dati, e cosa c'entrano Donald Trump e la Russia” in Ilpost.it,
19/03/2018. Disponibile al link: https://www.ilpost.it/2018/03/19/facebook-cambridge-analytica/.
2
Jaime D'Alessandro, Chiude Cambridge Analytica, la società dello scandalo dei dati di Facebook, in
Repubblica.it, 02/05/2018. Disponibile al link: https://www.repubblica.it/tecnologia/social-
network/2018/05/02/news/chiude_cambridge_analytica_la_societa_coinvolta_nello_scandalo_dei_dati_di_f
acebook-195348563/.
Introduzione
3
Oggetto della tesi sono pertanto la direttiva 95/46 e i cambiamenti apportati dal Gdpr
con riguardo ai diritti dell’interessato, gli obblighi del titolare e l’apparato sanzionatorio. La
tesi segue l’andamento cronologico della normativa, finché non viene introdotto il
Regolamento 2016/679, punto in cui inizia l’analisi. La costruzione prevede, pertanto che
vi sia un capitolo introduttivo sulle origini del diritto alla protezione dei dati personali, un
secondo capitolo sulla spiegazione dei diritti dell’interessato, un terzo sui doveri del titolare
del trattamento, e un quarto capitolo sui mezzi di tutela dell’interessato e sulle sanzioni
derivanti da una violazione delle norme in materia di data protection.
Il primo capitolo intende innanzitutto definire la differenza tra diritto alla privacy e
diritto alla tutela dei dati personali. La privacy ha origini remote, nasce dal bisogno innato
dell’uomo di avere riservatezza e di vivere la propria vita privata e familiare senza
l’intrusione altrui. Si indaga su come nel tempo questa necessità è evoluta a causa di molti
fattori culturali e storici. Nel IX secolo è nato il diritto alla privacy, negli Stati Uniti, grazie
al lavoro di due giovani avvocati che si posero il problema del bilanciamento tra il diritto di
informazione e libera espressione e il diritto alla privacy. Il capitolo affronta le differenze
che ci sono state tra lo sviluppo di questo diritto tra il Nuovo e il Vecchio continente. In
Europa, vi è stato uno sviluppo diametralmente differente da quello americano: ha, infatti,
avuto molta influenza la presenza degli stati totalitari, inducendo al concetto di privacy
inteso principalmente come il diritto di non avere intrusioni nella vita privata da parte della
sfera pubblica.
Nel corso del 1900, in Europa, si è affermato il diritto alla protezione dei dati
personali, anche se lentamente. È il Consiglio d’Europa, per primo, con l’adozione della
Convenzione di Strasburgo del 1981, a regolare la materia. La convenzione di Strasburgo
ha tuttora una notevole importanza a livello internazionale, ha posto per la prima volta i
principi fondamentali del diritto alla protezione dei dati. Ed è stata alla base delle successive
norme comunitarie in tale materia.
La norma più importante del diritto comunitario è stata a lungo costituita dalla
direttiva n. 46 del 1995. Non fu facile l’iter legislativo che portò all’adozione della norma,
ma doveva essere approvata assolutamente perché necessaria al corretto funzionamento del
mercato unico europeo e all’applicazione della Convenzione di Schengen del 1995. La
direttiva aveva lo scopo di armonizzare la materia all’interno del Unione e dello Spazio
economico europeo. Purtroppo, questo creò diversi problemi perché seppur basate sugli
Introduzione
4
stessi principi e sulle stesse garanzie, le legislazioni nazionali mantenevano diverse
differenze che portavano a complicazioni nell’applicazione coerente e omogenea della
direttiva.
Si esaminano altre norme importanti, quali la direttiva 2002/58 riguardante le
comunicazioni elettroniche e le successive modifiche del 2006 e 2009. Verrà dedicato
spazio alla ragione per la quale la Corte di giustizia dell’Unione europea invalidò la direttiva
2006/24/CE che abrogava la direttiva 2002/58.
Infine, si chiariscono i termini fondamentali del diritto alla protezione dei dati
personali, ovvero le definizioni di dato personale e trattamento dei dati. L’analisi inoltre
perderebbe di sostanza se non si spiegassero i principi fondamentali alla base della
protezione dei dati ovvero: il principio di liceità del trattamento, di finalità del trattamento,
principio di qualità dei dati, principio di esattezza, aggiornamento, rettifica e cancellazione,
principio di conservazione per un periodo limitato di tempo, il principio di correttezza del
trattamento e l’ultimo aggiunto principio di responsabilità. Per quanto riguarda il principio
di liceità di trattamento, si è ottenuto opportuno definire quali sono i casi in cui il trattamento
è legittimo, soffermandosi in particolare sul consenso dell’interessato.
Il secondo capitolo introduce la riforma del diritto alla protezione dei dati personali,
iniziata nel 2012, partendo dalle proposte di revisione della Commissione europea del
“pacchetto protezione dati”, nel quale rientra anche la direttiva 2016/680 relativa al
trattamento dei dati da parte delle autorità per fini di indagine e accertamento dei reati.
In questo capitolo si introduce il GDPR e viene chiarito a chi è indirizzata la norma e in che
territorio si applica. Per quanto riguarda l’ambito di applicazione territoriale, rispetto alla
direttiva, il GDPR aumenta l’estensione della protezione anche a casi in cui il trattamento
non sia effettuato materialmente nell’Unione europea, segno di quanto la globalizzazione
sia stata significativa nell’adozione della norma. Infine, nell’introduzione del regolamento
era doveroso fare un riferimento anche alla norma di adeguamento italiana, ovvero il decreto
legislativo 101/2018 che modifica il Codice privacy del 2003 (d.lgs. 196/2003).
Il capitolo prosegue su uno dei due temi fondamentali oggetto della tesi, ossia i diritti
degli interessati, soffermandosi particolarmente sul principio di trasparenza, novità
introdotta del regolamento. Infatti, anche tutti i diritti seguenti, disciplinati dagli articoli da
13 a 22, nel regolamento sono sempre interpretati alla luce del principio di trasparenza. Si
prendono in considerazione tutti i diritti tutelati per evidenziare le differenze che vi sono tra
Introduzione
5
la normativa nuova e quella vecchia. Il diritto all’informativa è uno dei diritti che più
rispecchia il principio di trasparenza perché garantisce all’interessato di ricevere
informazioni chiare e comprensibili sul trattamento dei suoi dati. Particolare importanza
viene dedicata al diritto alla cancellazione, chiamato anche diritto all’oblio, e alla sentenza
della Corte di giustizia dell’UE Google Spain del 2014, che era una delle novità più attese
dalla nuova normativa. Non meno importanti, il diritto alla portabilità dei dati, diritto di
opposizione e soprattutto di opposizione al processo decisionale automatizzato e alla
profilazione. Quest’ultimo mostra la difficoltà di far combaciare il diritto con la tecnologia
in questo delicato momento storico.
Il terzo capitolo si dedica ai doveri del titolare (o contitolari) e responsabile del
trattamento, introducendo il rilevante principio di accountability. Vengono presentate le
figure del titolare del trattamento, responsabile del trattamento e il responsabile della
protezione dei dati personali (DPO) soffermandosi sull’incremento delle loro responsabilità
rispetto alla normativa precedente. Si è voluto procedere a un’analisi più approfondita con
riguardo al principio di accountability, vengono pertanto esaminati importanti documenti
dell’Ocse e del Gruppo Articolo 29.
Altrettanto importante e alla base delle novità della disciplina è il principio di privacy by
default e by design, ovvero il concetto della protezione sin dalla progettazione dei sistemi
di trattamento e di protezione attraverso impostazioni predefinite, con il quale si impone al
titolare di tenere presente dei rischi del trattamento ben prima dell’inizio della raccolta dei
dati. Il successivo paragrafo si occupa della sicurezza dei dati personali, ovvero tutte quelle
misure tecniche e organizzative necessarie affinché sia effettivamente garantita la
protezione dei dati personali. Nello specifico si tratta dell’obbligo di notifica in caso di
violazione dei dati, di fare una valutazione di impatto nei casi indicati, dell’adesione a codici
di condotta e meccanismi di certificazione.
Il quarto capitolo affronta un tema di cui si è molto discusso quale l’apparato
sanzionatorio adottato dal regolamento, che innova del tutto quello precedente. Le sanzioni
previste del regolamento sono infatti molto elevate e prive di un importo minimo. La
dottrina si è soffermata su questo aspetto, temendo ripercussioni per i diritti fondamentali
degli individui. Spiega anche quali sono i mezzi di tutela dell’interessato, ovvero il reclamo
all’autorità di controllo e i ricorsi giurisdizionali verso l’autorità di controllo e il titolare o
Introduzione
6
il responsabile del trattamento, che si presume abbiano violato un suo diritto tutelato a
norma del regolamento.
Lo scopo della tesi è dunque quello di valutare i passi avanti fatti dalla nuova
normativa rispetto alla precedente in tema di diritti e doveri, e valutare se sia giustificato
l’aggravio introdotto rispetto a prima o si riveli piuttosto un eccesso burocratico dispendioso
economicamente. Grande importanza nell’analisi l’hanno avuta i pareri del Gruppo Articolo
29, il contributo dei quali è stato fondamentale per l’interpretazione del testo normativo.
Nelle conclusioni si cercherà, alla luce della ricerca e dell’analisi effettuata, di dare una
risposta il più possibile esauriente a questo quesito.
7
Capitolo Primo
1. Origini e sviluppo normativo del diritto alla tutela del
trattamento dei dati personali
1.1. Ricostruzione storica del diritto alla privacy
1.1.1. La costituzione del diritto alla privacy negli Stati Uniti e in Europa
La nozione di “privacy” ha origini molto antiche, individuabili agli albori dell’essere
umano. Una delle necessità primarie dell’uomo era, infatti, il bisogno di tutela e protezione,
e all’interno delle mura domestiche si sentiva protetto
1
.
Nella polis greca i cittadini partecipavano alla vita sociale attraverso la politica, il
servizio militare e alle pratiche religiose; esisteva una forte contrapposizione tra la
dimensione politica-sociale e quella domestica: all’interno della casa era sorta la
consuetudine di proteggere l’intimità della famiglia e la vita privata
2
. Si era ancora lontani
dall’idea e dall’esigenza di riservatezza che l’individuo contemporaneo ha, in quanto le
famiglie antiche erano costituite da molte persone e non era semplice e tantomeno usuale
avere uno spazio o un momento in cui godere della propria privatezza.
Insieme alla nozione di privacy in senso stretto, in campo militare e,
successivamente nelle vicende romantiche, si conosceva già la pratica della crittografia,
ovvero l’uso di messaggi scritti in modo tale che solo il mittente e il destinatario potessero
leggerli, anche attraverso l’uso di simboli o rituali
3
.
Durante il medioevo, le persone che abitavano nello stesso quartiere erano a
conoscenza dei fatti privati di tutti e non esisteva affatto la possibilità di avere della privacy:
si era parte di una comunità e chi tentava di isolarsi era guardato con sospetto
4
.
Vi furono dei cambiamenti durante il rinascimento, quando le famiglie più ricche e
nobili incominciarono a vivere in case più grandi in città e le famiglie erano costituite da un
1
Michele Iaselli, Stefano Gorla, Storia della privacy, Lex Et Arts, 2015, p. 9-21.
2
Ibidem.
3
Ibidem.
4
Ibidem.
La costituzione del diritto alla privacy negli Stati Uniti e in Europa
8
numero minore di persone
1
. Ma fu con l’avvento della borghesia in Europa che nacque un
concetto di privacy più vicino a quello come inteso nella società contemporanea occidentale;
nelle campagne, tuttavia, la vita rimase molto simile a quella medievale, quando sfera
pubblica e privata non potevano essere separate: la privacy rimaneva un privilegio delle
classi più abbienti
2
.
Verso la fine del 1700, la privacy iniziò ad avere una connotazione giuridica simile
a quella moderna. Nel 1773, Lord Chatham
3
, durante un dibattito sull’uso delle garanzie
pronunciò davanti al Parlamento inglese questa affermazione: “…il più povero degli uomini
può, nella sua casetta lanciare una sfida opponendosi a tutte le forze della corona. La
casetta può essere fragile, il suo tetto può essere traballante, il vento può soffiare da tutte
le parti, la tempesta può entrare e la pioggia può entrare, ma il re d’Inghilterra non può
entrare; tutte le sue forze non osano attraversare la soglia di tale casetta in rovina
4
».
Questo dimostra che la privacy nell’ Europa illuminista veniva concepita come la capacità
della persona di opporsi alla Corona, di porre dei limiti all’azione dello Stato e delle autorità
pubbliche nei confronti dell’individuo
5
.
Il primo vero interesse giuridico riguardo alla questione della privacy vi fu alla fine
del XIX secolo, nel periodo in cui la borghesia statunitense era all’apice del suo sviluppo.
Due avvocati, Samuel Warren e Louis Brandeis, pubblicarono un saggio intitolato “Right to
Privacy” sulla Harvard Law Review il 15 dicembre 1890. Il loro lavoro ha avuto origine a
causa dell’attenzione eccessiva dei giornali nei confronti della vita mondana della moglie
di Warren, portando i coniugi a citare in giudizio i giornali per l’invasione eccessiva nella
loro vita privata. Essi rifletterono su quali dovessero essere le informazioni di interesse
pubblico e quando queste informazioni dovessero cessare di essere considerate tali
6
.
Secondo Warren e Brandeis, il problema nasceva a causa dell’avvento delle nuove
1
Ibidem.
2
Ibidem.
3
William Pitt, 1st Earl of Chatham, (15 novembre 1708 – 11 maggio 1778) era un uomo di stato britannico
del gruppo Tory che guidò il governo della Gran Bretagna due volte a metà del XVIII secolo. Gli storici lo
chiamano Pitt di Chatham, o William Pitt il Vecchio, per distinguerlo da suo figlio, William Pitt il Giovane,
che era anche un primo ministro. Vedi https://www.biography.com/people/william-pitt-1st-earl-of-chatham-
21388995.
4
Vedi The Elder Lord Chatham, discorso del marzo 1763, citato in H.P. Brougham, Historical Sketches of
Statesmen Who Flourished in the Time of George III, Charles Knight e co., Londra 1839, vol. I, p.52.
5
Mariella Immacolato, Bioetica e Privacy: la cultura dei diritti individuali in sanità, Relazione presentata al
Convegno 'Privacy e diritto alla salute' - Casciana Terme (PI) 24/25 ottobre 2002, reperibile al link di seguito
https://www.privacy.it/archivio/ccasciaimmacolato.html.
6
M. Iaselli, Storia della privacy, cit. p. 27-28.
Ricevi informazioni sui nostri servizi, sulle offerte e non perdere news e consigli su università e lavoro.
