Trattamento dei dati personali

Trattamento dei dati personali

Il trattamento di dati personali può costituire un'ingerenza con il diritto al rispetto della vita privata.

Però, quest'ultimo diritto non è un diritto assoluto, ma relativo, cioè va contemperato opportunamente con gli altri diritti in gioco, sia privati che pubblici. Qualsiasi trattamento  di dati personali deve, quindi, essere svolto: 
- in maniera lecita e secondo correttezza e trasparenza
- i dati devono essere raccolti e trattati per scopi determinati, espliciti e legittimi, e utilizzati in termini compatibili con tali scopi; 
- i dati devono essere esatti e aggiornati, pertinenti, completi e non eccedenti rispetto agli scopi del trattamento; 
- i dati devono essere conservati per un periodo non superiore al tempo necessario per raggiungere gli scopi del trattamento, trascorso il quale i dati vanno cancellati oppure anonimizzati. 
Il titolare del trattamento deve anche essere in grado di dimostrare costantemente la conformità alle leggi del suo trattamento dei dati personali altrui (principio di responsabilizzazione). 

Ovviamente i dati raccolti o trattati in modo illecito non possono essere in alcun modo utilizzati. In caso contrario l'utilizzatore può essere soggetto a sanzioni e condannato al risarcimento dei danni causati (art. 2050 cod. civ. e art. 13 Cod. Privacy). 

L'articolo 4 del Regolamento europeo definisce il trattamento dei dati personali, come qualsiasi operazione o insieme di operazioni, compiute con o senza l’ausilio di processi automatizzati e applicate a dati personali o insiemi di dati personali, come la raccolta, la registrazione, l’organizzazione, la strutturazione, la conservazione, l’adattamento o la modifica, l’estrazione, la consultazione, l’uso, la comunicazione mediante trasmissione, diffusione o qualsiasi altra forma di messa a disposizione, il raffronto o l’interconnessione, la limitazione, la cancellazione o la distruzione. Il concetto di trattamento ingloba, quindi, tutte quelle operazioni che implicano una conoscenza di dati personali. E' irrilevante per la configurabilità del trattamento la mancata registrazione dei dati in una banca dati, essendo sufficiente anche una raccolta di dati e conseguente elaborazione temporanea. 

 

Tipi di trattamento

La raccolta dei dati è la prima operazione e generalmente rappresenta l'inizio del trattamento; consiste nell'attività di acquisizione del dato. 
La registrazione consiste nella memorizzazione dei dati su un qualsiasi supporto. 
L'organizzazione consiste nella classificazione dei dati secondo un metodo prescelto. 
La strutturazione consiste nell'attività di distribuzione dei dati secondi schemi precisi. 
La conservazione consiste nel mantenere memorizzate le informazioni su un qualsiasi supporto. 
La consultazione è la lettura dei dati personali. Anche la semplice visualizzazione dei dati è un trattamento che può rientrare nell'operazione di consultazione. 
L'elaborazione consiste nell'attività con la quale il dato personale subisce una modifica sostanziale. La modificazione differisce dall'elaborazione in quanto può riguardare anche solo parte minima del dato personale. 
La selezione consiste nell'individuazione di dati personali nell'ambito di gruppi di dati già memorizzati. 
L'estrazione consiste nell'attività di estrapolazione di dati da gruppi già memorizzati. 
Il raffronto è un'operazione di confronto tra dati, sia un conseguenza di elaborazione che di selezione o consultazione. 
L'utilizzo è un'attività generica che ricopre qualsiasi tipo di impiego dei dati. 
L'interconnessione consiste nell'utilizzo di più banche dati, e si riferisce all'impiego di strumenti elettronici. 
Il blocco consiste nella conservazione con sospensione temporanea di ogni altra operazione di trattamento. 
La comunicazione (o cessione) consiste nel dare conoscenza di dati personali ad uno o più soggetti determinati diversi dall'interessato, dal rappresentante del titolare nel territorio dello Stato, dal responsabile e dagli incaricati. In caso di comunicazione il dato viene trasferito a terzi, ed è quindi attività particolarmente delicata. 
Per diffusione, invece, si intende il dare conoscenza dei dati a soggetti indeterminati, in qualunque forma anche mediante la loro messa a disposizione o consultazione. Si ha, quindi, diffusione anche quando si pubblica online, ad esempio una fotografia su un social network. In assenza di consenso tale attività deve ritenersi illecita. 
La cancellazione consiste nell'eliminazione di dati tramite l'utilizzo di strumenti elettronici. 
La distruzione è l'attività di eliminazione definitiva dei dati.

  

Base giuridica del trattamento

Un trattamento per essere lecito deve trovare fondamento in una idonea base giuridica (consenso,legittimi interessi, ecc...). La normativa prevede, inoltre, che il titolare del trattamento debba tenere e aggiornare il registro dei trattamenti effettuati, da fornire alle autorità in caso di controllo. 

 

Ambito di applicazione materiale e esenzioni

In base all'art. 2 il Regolamento generale si applica a due tipi di trattamenti di dati personali:
1) quelli interamente o parzialmente automatizzati;
2) quelli non automatizzati (il riferimento è a trattamenti su carta) di dati personali contenuti in un archivio o destinati a figurarvi.

Per "archivio" (filing system) si intende "qualsiasi insieme strutturato di dati personali accessibili secondo criteri determinati, indipendentemente dal fatto che tale insieme sia centralizzato, decentralizzato o ripartito in modo funzionale o geografico" (GDPR art. 4). Tale nozione è stata specificata meglio dalla Corte di Giustizia: "l’insieme di dati personali raccolti nell’ambito di un’attività di predicazione porta a porta, contenente nomi, indirizzi e altre informazioni riguardanti le persone contattate porta a porta, allorché tali dati sono strutturati secondo criteri specifici che consentono, in pratica, di recuperarli facilmente per un successivo impiego. Affinché il suddetto insieme rientri in tale nozione, non è necessario che esso comprenda schedari, elenchi specifici o altri sistemi di ricerca” (CGUE, C-25/17). Si tratta di una definizione importante perché delimita l'applicabilità del GDPR (a differenza del Codice Privacy previgente). Il concetto di archivio, quindi, esclude dall'ambito di applicazione del GDPR gli archivi non strutturati, ma nel contempo il GDPR si guarda bene dall'escludere un trattamento solo perché esso sia realizzato su carta. In sintesi se è possibile estrarre informazioni su un individiduo anche dai registri cartacei, tali documenti rientrano nel concetto di archivio.

Il GDPR disciplina solo il trattamento dei dati personali che riguardano una persona fisica, con esclusione delle persone giuridiche (tranne poche eccezioni). Quindi solo le persone fisiche possono essere interessati del trattamento, non anche le persone giuridiche. Il GDPR, però, non si applica alle persone decedute (Considerando 27), ma qui interviene il Decreto di adeguamento del Codice Privacy che estende le tutele del GDPR al trattamento dei dati dei deceduti (art. 2-terdecies).

Il regolamento, invece, non si applica nei seguenti casi:
- trattamenti effettuati per attività che non rientrano nell’ambito di applicazione del diritto dell’Unione;
- trattamenti effettuati dagli Stati membri nell’esercizio di attività che rientrano nell’ambito di applicazione del titolo V, capo 2, del Trattato dell’UE (politica estera e sicurezza);
- trattamenti effettuati dalle autorità competenti a fini di prevenzione, indagine, accertamento o perseguimento di reati o esecuzione di sanzioni penali, incluse la salvaguardia contro minacce alla sicurezza pubblica e la prevenzione delle stesse (direttiva 2016/680);
- trattamenti effettuati da una persona fisica per l’esercizio di attività a carattere esclusivamente personale o domestico (esenzione per uso personale).

   

Esenzione per uso personale (o domestico)

Il Codice per la privacy (art. 5)  permetteva, senza necessità di consenso, la raccolta di dati personali per uso strettamente personale purché non destinati alla comunicazione o alla diffusione sistematica a terzi (es. pubblicazione sul web). Il caso classico è l'agenda personale, compreso le agende automatizzate. Altre ipotesi di esenzioni si hanno con riferimento agli appunti e al materiale informativo (ritagli da giornali, cd-rom, libri) che chiunque è solito conservare nella propria sfera privata per esigenze culturali o altre esigenze della vita di relazione. L'eccezione va interpretata, secondo la Corte di Giustizia europea, in senso restrittivo rientrando nella previsione solo un trattamento di dati personali che sia effettuato nella sfera esclusivamente personale o domestica della persona che procede a tale trattamento. Quindi, la pubblicazione di foto online costituisce trattamento soggetto alla normativa in materia di data protection (quindi occorre informativa e consenso). 

L'articolo del Codice è stato poi abrogato dal decreto di adeguamento. Infatti il regolamento europeo (art. 2 lett c) prevede che la regolamentazione non si applichi ai trattamenti di dati personali "effettuati da una persona fisica per l’esercizio di attività a carattere esclusivamente personale o domestico” (household exclusion provision). La norma ricalca quella del Codice privacy, senza la delimitazione della destinazione alla comunicazione o diffusione. Questo perché la Corte di Giustizia europea (caso C-101/01 e poi caso C-212/13) ha chiarito che il trattamento di dati personali sul web non può rientrare nell'eccezione delle attività per uso personale e familiare. L'eccezione, in conclusione, deve interpretarsi nel senso che rientrano in essa solo le attività della vita privata o familiare dei singoli, con esclusione della pubblicazione online che, invece, rende accessibili i dati ad un numero indefinito di persone. 

In realtà il considerando 18 prevede che il regolamento europeo “non si applica al trattamento di dati personali effettuato da una persona fisica nell’ambito di attività a carattere esclusivamente personale o domestico e quindi senza una connessione con un’attività commerciale o professionale. Le attività a carattere personale o domestico potrebbero comprendere la corrispondenza e gli indirizzari, o l’uso dei social network e attività online intraprese nel quadro di tali attività”. In tal modo si è ampliata l'eccezione rispetto al passato. 

Tuttavia sempre il medesimo considerando stabilisce che il “presente regolamento si applica ai titolari del trattamento o ai responsabili del trattamento che forniscono i mezzi per trattare dati personali nell’ambito di tali attività a carattere personale o domestico”. In tal modo sembra che la responsabilità sia spostata sugli intermediari della comunicazione. In tal senso ricordiamo che l'articolo 2, ultima comma, precisa che “Il presente regolamento non pregiudica pertanto l’applicazione della direttiva 2000/31/CE, in particolare le norme relative alla responsabilità dei prestatori intermediari di servizi di cui agli articoli da 12 a 15 della medesima direttiva”. In questo modo il legislatore chiarisce che il regolamento in materia di protezione dei dati personali non ha effetti giuridici sull'applicazione della direttiva eCommerce (2000/31/CE) e quindi sulle responsabilità in capo ai provider. In tale prospettiva non è, purtroppo, chiaro il rapporto tra le due normative. 

 

Valutazione di impatto

Una novità prevista dal nuovo regolamento generale è data dalla DPIA, la valutazione di impatto del trattamento sui diritti degli interessati, che è diventata un elemento essenziale della nuova regolamentazione. Con essa il titolare dovrà valutare il rischio per ogni trattamento, individuando ed applicando, nei casi di rischio elevato, le misure specifiche per l'eliminazione o attenuazione del rischio.