Le più recenti conclusioni a cui è giunta la giurisprudenza comunitaria in tema di protezione dei dati personali: il consenso informato, il concetto di identificabilità dell’interessato, e il trasferimento dei dati verso paesi terzi.
A cura di Alessandro Pica
Il trattamento dei dati personali è stato oggetto di una significativa attenzione da parte delle autorità europee e dei tribunali, soprattutto in seguito all’entrata in vigore del Regolamento Generale sulla Protezione dei Dati (REG/2016/679/UE).
La disciplina contenuta nel GDPR (General Data Protection Regulation) fornisce un quadro giuridico che assicura la protezione dei dati personali in tutta l’Unione Europea, stabilendo obblighi e responsabilità per coloro che trattano i dati personali. La disciplina GDPR è applicabile dal 25 maggio 2018 e sostituisce la Direttiva sulla protezione dei dati del 1995, fornendo una disciplina più rigorosa e dettagliata per la protezione dei dati personali.
Il trattamento dei dati personali è disciplinato da una serie di principi, tra cui la liceità, la finalità limitata, la minimizzazione dei dati, la corretta informazione e la responsabilità del titolare del trattamento e la sicurezza dei dati. Il GDPR stabilisce anche il diritto degli interessati a esercitare i loro diritti, tra cui il diritto di accesso, il diritto di rettifica, il diritto di cancellazione e il diritto alla portabilità dei dati, ribadendo l’obbligo del responsabile del trattamento ad informare l’interessato dei suoi diritti.
I dati personali sono definiti come “qualsiasi informazione relativa a una persona fisica identificata o identificabile”[1], stabilendo che questi dati vengano trattati in modo lecito, equo e trasparente. Il regolamento richiede ai titolari del trattamento dei dati l’adozione di misure tecniche ed organizzative adeguate a garantire la sicurezza dei dati personali e prevenire eventuali perdite, danneggiamenti o accessi non autorizzati. Ai sensi dell’art. 5, paragrafo 1, lettera a), del regolamento GDPR, il responsabile del trattamento dei dati personali è tenuto a garantire la liceità di tale trattamento e, come precisa il paragrafo 2 dell’art. 5 GDPR, il responsabile del trattamento deve essere in grado di comprovare tale liceità in ogni momento.
La giurisprudenza recente ha fornito ulteriori indicazioni sul trattamento dei dati personali in conformità con il GDPR. L’art. 16 TFUE riconosce ad ogni persona il diritto alla protezione dei dati di carattere personale che la riguardano, e la Corte di Giustizia dell’Unione Europea (CJEU), in questo ambito, svolge un ruolo costituzionale quale garante dell’assetto normativo e del rispetto dei valori alla base del processo di integrazione europea[2].
La CJUE ha stabilito che il trattamento dei dati personali per finalità di marketing diretto è legittimo solo se il titolare del trattamento ha ottenuto il consenso esplicito dell’interessato. Consenso che deve essere informato, ai sensi dell’art. 4, punto 11, del regolamento 2016/679. Il responsabile del trattamento deve fornire alla persona interessata un’informazione completa alla luce di tutte le circostanze che corredano il trattamento dei dati, in forma comprensibile e facilmente accessibile, utilizzando un linguaggio semplice e chiaro, di modo che tale persona venga a conoscenza del tipo di dati che devono essere trattati, dell’identità del responsabile del trattamento, della durata, nonché delle modalità e delle finalità che esso persegue[3]. Una siffatta informazione deve consentire a detta persona di individuare agevolmente le conseguenze di un eventuale consenso prestato e assicurare che questo sia espresso con piena cognizione di causa. L’articolo 7, lettera a) della direttiva 1995/46/CE, ormai abrogato, stabiliva che la persona interessata deve aver manifestato il proprio consenso in maniera inequivocabile, con ciò spostando l’onere della prova dell’esistenza di un valido consenso in capo al titolare del trattamento. L’art. 7, paragrafo 1, del regolamento 2016/679, stabilisce che, qualora il trattamento sia basato sul consenso, tale titolare deve essere in grado di dimostrare che l’interessato ha prestato il proprio consenso al trattamento dei propri dati personali[4].
Dall’entrata in vigore della normativa la giurisprudenza europea ha ampliato l’ambito di operatività del GDPR. La giurisprudenza più recente, chiarendo il concetto di “identificabilità” dell’interessato, ha stabilito che anche informazioni come l’indirizzo IP o i dati raccolti tramite i cookie o che possono essere ricavati dagli acquisti online (ad esempio da alcuni acquisti è possibile risalire allo stato di salute dell’interessato). Tutti questi dati possono essere considerati dati personali se possono essere utilizzati per identificare una persona, ai sensi dell’art. 4 GDPR. Inoltre, l’art. 4 definisce anche la profilazione come qualsiasi forma di trattamento automatizzato di dati personali consistente nell’utilizzo di tali dati personali per valutare determinati aspetti personali relativi ad una persona fisica. L’indirizzo IP, registrato da un fornitore di servizi in occasione della consultazione di un sito internet che tale fornitore ha reso accessibile al pubblico, costituisce un dato personale, qualora detto fornitore disponga di mezzi che gli consentono di far identificare l’interessato grazie alle informazioni aggiuntive di detta persona di cui il fornitore di accesso a internet dispone. Di conseguenza, secondo la giurisprudenza della Corte di Giustizia, la registrazione di tali indirizzi al fine di un loro successivo utilizzo costituisce trattamento ai sensi dell’art. 4, punto 2, GDPR[5]. Questo significa che anche questi tipi di informazioni devono essere protetti e trattati in conformità con il GDPR.
L’art. 5, lettera e) GDPR, il cosiddetto principio della limitazione della conservazione, stabilisce che il titolare del trattamento non può conservare i dati per un arco di tempo superiore al conseguimento delle finalità per le quali sono stati trattati. Il responsabile del trattamento deve dimostrare che tale conservazione dei dati personali si limiti unicamente al periodo necessario, altrimenti anche un trattamento di data inizialmente lecito può diventare incompatibile con il GDPR[6].
Quanto al trasferimento dei dati da parte del fornitore verso un Paese Terzo, la CJUE si è espressa chiaramente. Il GDPR, letto alla luce della Carta di Nizza, vieta il trasferimento di dati personali di un cittadino europeo verso un Paese terzo (da parte di operatori economici a fini commerciali, anche se poi sottoposti al controllo di autorità di sicurezza), qualora l’ordinamento di destinazione non offra garanzie equivalenti a quelle dell’ordinamento europeo e strumenti di ricorso effettivi[7].
In conclusione, la disciplina GDPR e la recente giurisprudenza hanno stabilito standard rigorosi per la protezione dei dati personali e hanno fornito indicazioni sulle modalità di trattamento lecito e trasparente di questi dati. I titolari del trattamento devono adottare misure tecniche ed organizzative adeguate a garantire la sicurezza dei dati personali e rispettare i diritti dell’interessato, fornendo informazioni chiare e complete e che permettano agli interessati di esprimere un consapevole consenso al trattamento dei propri dati personali.
Note
[1] Art. 4, punto 1, REG/2016/679/UE (GDPR).
[2] CAROTTI B., Il trattamento dei dati personali dinanzi alla Corte di Giustizia: un anno difficile, in Giornale di diritto amministrativo, 4/2021.
[3] Corte di Giustizia dell’Unione Europea, Sez. II, 11 novembre 2020, C61/19.
[4] Corte di Giustizia dell’Unione Europea, Sez. II, 11 novembre 2020, C61/19.
[5] Corte di Giustizia dell’Unione Europea, Sez. V, 17 giugno 2021, C597/19.
[6] Corte di Giustizia dell’Unione Europea, Sez. I, 20 ottobre 2020, C77/21.
[7] Corte di Giustizia dell’Unione Europea, Grande Sez., 16 luglio 2020, C311/18, con nota di CAROTTI B., Il trattamento dei dati personali dinanzi alla Corte di Giustizia: un anno difficile.
Foto copertina: Corte di Giustizia e tutela dei dati personali offerta dal GDPR.