Diritto e diritti della personalità
La materia nasce da concetti ripresi dal diritto privato, da altri aspetti del diritto e dalla vita di tutti i giorni. Dobbiamo partire dai diritti della personalità, i quali vengono considerati e richiamati e riguardano principalmente la persona, venendo anche definiti diritti personalissimi. Gli elementi di fondo restano, ma sono poi i singoli casi che possono avere diverse soluzioni. Ma come si è arrivati quindi alla protezione dei dati personali?
Quando parliamo di personalità mettiamo al centro la persona, ma nell’ottica originaria si trattava di diritti ritenuti essenziali per l’uomo e che spettano adesso in quanto persona (esempi: diritto alla vita, al nome, all’onore). Perché non è scontato che tutti gli uomini siano persone per il diritto? Dopo la Rivoluzione Francese (1789) si è stabilito che tutti gli uomini sono uguali, prima non era così: ad esempio, le donne sono diventate come gli uomini in tempi abbastanza recenti.
Evoluzione dei diritti della personalità
I diritti della personalità sono definiti come i diritti essenziali che spettano all’uomo in quanto persona. Una prima evoluzione non banale ha riguardato i diritti della personalità visti come diritti sulla propria persona. Questo ha comportato diverse discipline e regole su donazioni di parti del corpo per poi finire anche sugli organi. Il diritto della personalità inizia ad essere visto non soltanto come diritto per l’uomo in quanto persona, ma anche diritto sulla propria persona. Questo aspetto ci permette di riflettere sull’evoluzione legata al fatto che si realizza un’intersezione tra beni immateriali e beni distintivi.
In questo modo, determinati diritti della personalità assumono un ruolo particolare, perché possono assumere una connotazione economicista. L’esempio più lampante è il diritto all’immagine: esso nasce basandosi sul fatto che ho il diritto di essere ritratto secondo la mia figura ed è quindi essenziale come mio diritto in quanto persona, stesso ragionamento per il diritto al nome. Nell’evoluzione storica, questo diritto della personalità è diventato molto più centralizzante: il mio diritto all’immagine non ha le stesse caratteristiche di altri (esempio: il diritto di CR7 non è uguale al mio perché può essere sfruttato anche in maniera diversa). Vi è un valore non solo personale, ma anche economicista. I diritti della personalità diventano oggi valori come prima origine ma anche come estrinsecazioni immateriali.
Protezione dei dati personali
In questa logica il dato personale diventa un qualcosa che può essere suscettibile di una valutazione economica pur riguardando la persona e ci impone una disciplina diversa per determinati aspetti. Si ha anche solo per ragioni tecnologiche diverse fasi di disciplina dei dati personali, trascendendo dall’aspetto prettamente giuridico.
A partire dagli anni '50, si arriva ai primi computer, rendendo possibile aggregare informazioni: in questa prima visione, la soluzione giuridica è quella di dare un controllo agli interessati sulle proprie informazioni (diritto alla trasparenza e diritto all’accesso).
Dagli anni '80, si diffondono i personal computer e la loro diffusione comporta lo svilupparsi di un effettivo valore economico dei dati, perché si comprende che questi possono avere un valore; è quindi fondamentale che io abbia modo di consentire o meno l’utilizzo dei miei dati personali.
Oggi ci confrontiamo con un altro fenomeno, ossia l’esplosione dei big data: in una logica di grande diffusione dei dati, il consenso individuale mostra le sue pecche. Ci sono società che trattano tantissime quantità di dati ed è chiaro che rispetto a tutto ciò non basta la logica dell’autocertificazione, il problema non viene risolto completamente. Il consenso personale non è una soluzione valida, sarà da affiancare adesso anche qualcos’altro. Si realizza un passaggio dalla privacy alla protezione dei dati personali, si passa dalla non ingerenza al controllo attivo. Nella tutela della privacy erano previsti strumenti negativi (come quelli inibitori), ai quali oggi sono affiancati strumenti positivi e preventivi come il diritto all’accesso, ecc.
È importante tenere a mente che tutto ciò deriva da un’evoluzione tecnologica ed economica. La disciplina quindi ad oggi è diversa dal passato, perché oggi anche uno pseudonimo ha un valore, non si può fare finta che all’uso dell’immagine di un soggetto ci siano le stesse conseguenze che c’erano in passato.
Il ruolo del GDPR
Il ruolo centrale è dato dal GDPR, il regolamento che disciplina la protezione dei dati personali in maniera innovativa. L’articolo 2 del GDPR ci specifica quando trova applicazione il regolamento in questione e quando non trova invece applicazione. Questo articolo evidenzia come il GDPR si applica al trattamento parzialmente o interamente automatizzato dei dati personali e al trattamento non automatizzato di dati personali presenti in un archivio o destinati a figurarci.
Non si applica ai trattamenti di dati personali effettuati:
- Per attività che non rientrano nell’ambito di applicazione del diritto dell’Unione;
- Daglistati membri con riferimento all’ambito della politica estera e sicurezza comune;
- Ai trattamenti di dati personali utilizzati da una persona fisica a carattere domestico o personale;
- Nel caso di trattamento di dati personali utilizzati da autorità competenti ai fini di prevenzione, indagine, accertamento o perseguimento di reati o esecuzione di sanzioni.
Definizioni cruciali nel GDPR
Cosa si intende per dato personale? L’articolo 4 del GDPR definisce una serie di concetti che poi vengono utilizzati nel disciplinare la materia della protezione dei dati personali. Art 4 n1, dato personale è qualsiasi informazione riguardante una persona fisica identificata o identificabile: questo soggetto sarà definito interessato. Si considera identificabile la persona fisica che può essere identificata direttamente o indirettamente grazie a nome, identificativo online, un numero di identificazione, ubicazione o uno o più elementi riguardanti il proprio aspetto fisico, psichico, culturale o sociale.
Un ruolo centrale viene svolto dalla comprensione di cosa si intenda per persona fisica, perché ci si riferisce ad essa e cosa si intende per identificata o identificabile. Le persone giuridiche (esempio: enti e organizzazioni) sono escluse: il dato personale riguarda le persone fisiche (ossia quelle identificate da nome e cognome). Ma non a tutte: solo alle persone fisiche identificate o identificabili. Cosa si considera per identificato o identificabile? Considerando 26, per stabilire l’identificabilità di una persona, bisogna disporre di tutti i mezzi di cui un terzo può avvalersi per identificare tale persona fisica, direttamente o indirettamente. Per accertare la probabilità di utilizzo dei mezzi per identificare la persona fisica, c’è da tenere conto delle tecnologie disponibili al momento del trattamento che alle evoluzioni tecnologiche future. Il GDPR non si applica ai dati delle persone decedute (Considerando 27).
L’articolo 4 contiene tante definizioni. Le categorie particolari di dati sono individuate in modo specifico, questi sono anche chiamati dati sensibili. Tra queste categorie particolari di dati, rientrano:
- I dati genetici: sono quei dati personali relativi alle caratteristiche genetiche ereditarie riguardo una persona fisica che ci forniscono informazioni univoche sulla fisiologia o sulla salute della suddetta persona fisica;
- I dati biometrici: ottenuti da un trattamento tecnico specifico riguardo le caratteristiche fisiche, fisiologiche o comportamentali di una persona fisica che ne consentono o confermano l’identificazione univoca, come ad esempio l’immagine facciale o i dati dattiloscopici;
- I dati relativi alla salute: attinenti alla salute fisica o mentale di una persona fisica, compresa la prestazione di servizi di assistenza sanitaria, che rivelano informazioni relative al suo stato di salute.
Articoli chiave del GDPR
Articolo 9 del GDPR – Trattamento di categorie particolari di dati personali: è vietato trattare dati personali che rivelino l’origine razziale o etnica, le opinioni politiche, le convinzioni religiose o filosofiche, o l’appartenenza sindacale, nonché trattare dati genetici, dati biometrici intesi a identificare in modo univoco una persona fisica, dati relativi alla salute o alla vita sessuale o all’orientamento sessuale della persona.
Articolo 10 del GDPR – Trattamento dei dati personali relativi a condanne penali e reati: il trattamento dei dati personali relativi alle condanne penali e ai reati o a connesse misure di sicurezza sulla base dell’articolo 6, paragrafo 1, deve avvenire soltanto sotto il controllo dell’autorità pubblica o dagli Stati membri che preveda garanzie appropriate per i diritti e le libertà degli interessati. Un eventuale registro completo delle condanne penali deve essere tenuto soltanto sotto il controllo dell’autorità pubblica.
C’è quindi da capire se si ha a che fare con un dato personale o con una categoria particolare di dato. Il problema è stato sollevato in tutta una serie di luoghi, per esempio ha riguardato un parere del gruppo articolo 29. Con riferimento alle immagini digitali come categoria particolare di dato, queste possono essere considerati tali, ma non sempre. Quando le immagini digitali delle persone o i modelli sono trattate per ottenere categorie particolari di dati, esse vanno considerate in queste categorie (ad esempio se sono usate per avere informazioni sull’origine etnica o razziale, orientamento sessuale ecc). Sul punto ci torna anche il considerando 51 del GDPR perché evidenzia come meritano una specifica protezione quei dati personali sensibili per i diritti e le libertà fondamentali, così come i dati che rivelano l’origine razziale o etnica. Questo considerando 51 rafforza quanto già indicato dal gruppo articolo 29.
Sono due i pilastri della disciplina sui quali regge questa distinzione tra dati personali e categorie particolari di dati. Le diverse condizioni di liceità del trattamento nel caso delle categorie particolari di dati sono più stringenti (articolo 9 GDPR paragrafo 2). Sono inoltre previsti obblighi ulteriori che vanno dall’applicazione di misure di garanzie, valutazione di impatto, nomina del responsabile della protezione dei dati ed è necessario disporre del registro delle attività di trattamento.
Nozioni principali
Che cosa si intende per trattamento, archivio e attività a carattere esclusivamente personale e domestico? In alcuni casi si richiamano articoli del regolamento, in altri ci sono determinati considerandi.
Definizioni di trattamento, archivio e attività personale
Trattamento (articolo 4, n2): qualsiasi operazione o insieme di esse compiute con o senza l’ausilio di processi automatizzati e applicate a dati personali o insieme di dati personali, come la raccolta, la registrazione, l’organizzazione, la strutturazione, la conservazione, l’adattamento o la modifica, l’estrazione, la consultazione, l’uso, la comunicazione mediamente trasmissione, diffusione o qualsiasi altra forma di messa a disposizione, il raffronto o l’interconnessione, la limitazione, la cancellazione o la distruzione. Si parla quindi del trattamento con una formula molto ampia, la definizione mira a considerare qualsiasi operazione che riguarda i dati personali, a prescindere da come vengono trattati. La seconda parte della definizione mira a compiere una semplificazione, riportando tutte le operazioni che toccano il tema dei dati personali. La definizione ha due step: un primo di definizione generale, un secondo di puntualizzazione attraverso l’elencazione delle diverse operazioni.
Archivio (articolo 4, n6): qualsiasi insieme strutturato di dati personali accessibili secondo criteri determinati, indipendentemente dal fatto che tale insieme sia centralizzato, decentralizzato o ripartito in modo funzionale o geografico (Considerando 15). Il Considerando 15 evidenzia come al fine di evitare l’insorgere di gravi rischi di elusione, la protezione delle persone fisiche dovrebbe essere neutrale dal punto di vista tecnologico, indipendentemente dalle tecniche utilizzate. La protezione delle persone fisiche deve essere garantita sia in caso di dati automatizzati che in caso di trattamento manuale.
Attività a carattere esclusivamente personale e domestico (Considerando 18): non si applica al trattamento di dati personali effettuato da una persona fisica nell’ambito di attività a carattere esclusivamente personale o domestico e quindi senza una connessione con un’attività commerciale o professionale. Le attività a carattere personale o domestico potrebbero comprendere la corrispondenza e gli indirizzari, e l’uso dei social network e attività online intraprese nel quadro di tali attività. Tuttavia, il presente regolamento si applica ai titolari e al responsabile del trattamento che forniscono i mezzi per trattare i dati personali anche nell’ambito di tali attività a carattere personale o domestico.
Titolare del trattamento (art 4, n7): la persona fisica o giuridica, l’autorità pubblica, il servizio o l’altro organismo, che singolarmente o insieme ad altri, determina le finalità e i mezzi del trattamento di dati personali. Quando le finalità e i mezzi sono determinati dal diritto dell’Unione o degli Stati membri, il titolare del trattamento o i criteri specifici applicabili alla sua designazione possono essere stabiliti dal diritto dell’Unione o degli Stati membri.
Responsabile del trattamento (art 4, n8): la persona fisica o giuridica, l’autorità pubblica, il servizio o l’altro organismo che tratta dati personali per conto del titolare del trattamento. Non è da confondere con il responsabile della protezione dei dati.
Casi giuridici significativi
Caso Lindqvist (6.11.2003)
- Pubblicazione sul sito internet dedicato ai corsi gestiti dalla parrocchia di dati dei parrocchiani.
- Pubblicazione online è trattamento automatizzato, non si tratta di attività personale, non c’è un trasferimento di dati.
- Si può applicare perché è un trattamento automatizzato e non un uso personale domestico.
Caso Breyer (19.10.2016)
- Siti internet conservano indirizzi IP dinamici di chi accede al sito;
- C’è identificabilità anche se le informazioni necessarie per identificare l’interessato sono detenute da un altro soggetto, purché si dispongano degli strumenti giuridici per accedere a tali informazioni.
- In questi casi, l’identificazione avviene con un sistema che è quello dell’identificazione attraverso l’indirizzo IP. La persona è quindi identificabile e questo caso rientra a patto che vi siano gli strumenti giuridici per accedere a tali informazioni.
Caso YS (17.7.2014)
- Richiesta di accesso agli atti relativi alla richiesta di un permesso di soggiorno.
- Le informazioni personali sono dati personali, ma non l’analisi giuridica relativamente alla situazione di un interessato (in quest’ultimo caso la questione è quella dell’accesso a documenti amministrativi, non è coperta dalla disciplina sui dati personali).
- Il focus è la richiesta di accesso agli atti circa aspetti giuridici, quindi l’applicazione del regolamento avrebbe poco a che vedere.
Caso Autorità garante finlandese (10.7.2018)
- Raccolta di dati da parte di testimoni di Geova nella loro attività porta a porta.
- Il trattamento non è automatizzato in una prima fase, ma per vedere se però il processo è tale da far in modo che i dati vengano poi messi in un archivio, al cui interno i dati sono poi messi secondo criteri specifici che consentano di recuperarli.
- Tendenzialmente si potrebbe applicare, specialmente se poi vengono tenuti in archivi strutturati e sono accessibili.
Campo territoriale di applicazione (Articolo 3 GDPR)
1) Il presente regolamento si applica al trattamento dei dati personali effettuato nell’ambito delle attività di uno stabilimento da parte di un titolare del trattamento o di un responsabile del trattamento nell’Unione, indipendentemente dal fatto che il trattamento sia effettuato o meno nell’Unione (Considerando 22). Il Considerando 22 dice che lo stabilimento implica l’effettivo e reale svolgimento di attività nei quadri di un’organizzazione stabile. A tale riguardo, non è determinante la forma giuridica assunta, sia essa una succursale o una filiale dotata di una personalità giuridica.
2) Il presente regolamento si applica al trattamento dei dati personali interessati che si trovano nell’Unione, effettuato da un titolare o responsabile che non è stabilito nell’Unione, quando le attività di trattamento riguardano:
- L’offerta di beni o la prestazione di servizi ai suddetti interessati nell’Unione, indipendentemente dall’obbligatorietà di un pagamento dell’interessato (Considerando 23).
- Il monitoraggio del loro comportamento nella misura in cui ha luogo all’interno dell’Unione (Considerando 24).
3) Il presente regolamento si applica al trattamento dei dati personali effettuato da un titolare del trattamento che non è stabilito nell’Unione, ma in un luogo soggetto al diritto di uno Stato membro in virtù del diritto internazionale pubblico (Considerando 25).
I soggetti del trattamento
- Titolare del trattamento;
- Responsabile del trattamento;
Scarica il documento per vederlo tutto.
Scarica il documento per vederlo tutto.
Scarica il documento per vederlo tutto.
Scarica il documento per vederlo tutto.
Scarica il documento per vederlo tutto.
Scarica il documento per vederlo tutto.
Scarica il documento per vederlo tutto.
-
Protezione internazionale
-
Protezione dei Litorali
-
Regolamento generale sulla protezione dei dati personali
-
Protezione integrata dai fitofagi