Il concetto di privacy nel diritto americano
Da questa premessa negli Stati Uniti si consolida un pensiero che considera la riservatezza come uno dei diritti individuali da trattare alla pari degli altri diritti fondamentali della persona, in una sorta di bilanciamento con le altre esigenze di tutela che emergono via via in una società sempre più evoluta. Pertanto, si può affermare che la privacy viene considerata, nei suoi rapporti dinamici, come uno dei punti da osservare alla pari del diritto alla salute, alla sicurezza, al lavoro e all’informazione .
Da un punto di vista prettamente giurisprudenziale però, il concetto di diritto alla privacy nasce solo in seguito alle prime pronunce della Corte Suprema degli Stati Uniti. Nel merito, la prima pronuncia rilevante fu nel 1956 (Communist Party vs. USA) nella quale viene affermato che la privacy, intesa come riservatezza, non può tutelare i sovversivi. A partire da questa pronuncia della Corte Suprema si ha questo primo riconoscimento giurisprudenziale, come diritto ad essere lasciati soli senza che vi sia alcuna ingerenza esterna nella propria vita e nei propri affari privati .
A partire dal 1980, quindi, il “right to privacy”, identificato nel diritto ad essere lasciati in pace per proteggere quella che è la sfera più intima della persona, ha continuato a consolidarsi con ulteriori e diversi concetti per poi giungere fino in Europa, dove applicato a situazioni profondamente diverse tra loro, ha disciplinato esigenze sorte nel contesto sociale a seguito dello sviluppo e del progresso tecnologico, in primis, senza dubbio, vi è il diritto alla tutela dei dati personali.
La nuova direttiva europea
In questo contesto, il grande rivale della privacy è stato identificato nelle grandi imprese multinazionali, come soggetti in grado di violare sistematicamente la vita privata dei cittadini. Così le imprese sono state considerate le naturali destinatarie delle varie leggi sulla data protection che a partire dal 1970 hanno visto la luce in Europa, per poi giungere fini all’approvazione della direttiva comunitaria 95/46, incentrata in modo specifico sul flusso delle informazioni e sulla tutela dei dati personali che il regolamento europeo 2016/679 (“GDPR”) in materia di dati personali ha sostituito il 25 maggio 2016, per trovare piena applicazione dal 25 maggio 2018, termine inderogabile per la sua attuazione.
Il nuovo regolamento europeo sulla privacy, detto anche “GDPR” (General Data Protection Regulation), mira proprio a superare una delle caratteristiche proprie delle imprese multinazionali, vale a dire l’innata capacità, in quanto organismi sopranazionali, di sfuggire in scioltezza alle norme dettate dal singolo Stato e di superare la caratteristica fondamentale della territorialità propria di ogni regola giuridica, cioè il fatto di essere valide, vincolanti e applicabili coattivamente entro un ambito spaziale definito sul quale un Stato esercita appunto la sua potestà.
Come meglio vedremo in seguito, il GDPR, ha come suo obiettivo principale proprio quello di superare o quantomeno attenuare questo pericolo di forum shopping e garantire una effettiva ed efficace protezione nei confronti delle violazioni della riservatezza.
Da un punto di vista prettamente internazionale, il diritto alla protezione della sfera privata di un individuo contro le ingerenze altrui è cristallizzato per la prima volta da uno strumento giuridico internazionale con la Dichiarazione universale dei diritti dell’uomo. All’art. 12, infatti, si afferma quanto segue:
“Nessun individuo potrà essere sottoposto ad interferenze arbitrarie nella sua vita privata, nella sua famiglia, nella sua casa, nella sua corrispondenza, né a lesione del suo onore e della sua reputazione. Ogni individuo ha diritto ad essere tutelato dalla legge contro tali interferenze o lesioni”.
La Dichiarazione Universale dei Diritti dell’Uomo approvata e proclamata il 10 dicembre 1948 dall’Assemblea Generale delle Nazioni Unite, pur non essendo formalmente vincolante per gli Stati membri, in quanto appunto dichiarazione di Principi, costituisce tuttavia la prima testimonianza della volontà della comunità internazionale di riconoscere universalmente il diritto alla riservatezza che spetta a ciascun individuo.
Una tappa importante di tale percorso è stata la pubblicazione delle OECD, Guidelines on the Protection of Privacy and Transborder Flows of Personal Data, redatte a Parigi il 23 settembre 1980 e successivamente aggiornate nel 2013. Queste ultime rappresentano l’ingresso ufficiale dei concetti di Privacy e tutela dei dati personali nel continente europeo, venendo poi riprese anche dalla Convenzione n. 108 sulla protezione delle persone rispetto al trattamento automatizzato di dati di carattere personale, adottata a Strasburgo dal Consiglio d’Europa il 28 gennaio 1981.
In particolare, la Convenzione n. 108 rappresenta il primo strumento internazionale giuridicamente vincolante adottato in materia di protezione dei dati, con l’obiettivo primario di assicurare il rispetto dei diritti e delle libertà fondamentali, ed in particolare del diritto alla vita privata rispetto all’elaborazione automatizzata dei dati di carattere personale che la riguardano . Tutti gli Stati membri dell’Unione europea hanno ratificato la Convenzione n. 108 e nel 2001 è stato adottato un Protocollo addizionale alla Convezione che disciplina i flussi transfrontalieri dei dati verso i paesi terzi e l’istituzione obbligatoria di autorità di controllo nazionale per garantire la protezione dei dati.
La successiva normazione dell’Unione europea in materia di protezione dei dati personali, ha visto il momento di svolta con l’entrata in vigore del Trattato di Lisbona e con la Carta dei diritti fondamentali dell’Unione europea, detta anche Carta di Nizza, solennemente proclamata una prima volta il 7 dicembre 2000 e successivamente il 12 dicembre 2007 a Strasburgo. La Carta ha assunto il medesimo valore giuridico dei Trattati, ai sensi dell’art. 6 del Trattato sull’Unione europea, collocandosi al vertice dell’ordinamento dell’Unione europea come strumento pienamente vincolante per le istituzioni europee e gli Stati membri.
Essa sancisce il “rispetto della vita privata” (art.7) ed il “diritto al trattamento dei propri dati personali” (art.8) quali diritti fondamentali inseriti nel diritto primario dell’Unione europea.
Nello specifico l’art. 8 della Carta di Nizza così recita:
“Ogni individuo ha diritto alla protezione dei dati di carattere personale che lo riguardano. Tali dati devono essere trattati secondo il principio di lealtà, per finalità determinate e in base al consenso della persona interessata o a un altro fondamento legittimo previsto dalla legge. Ogni individuo ha diritto di accedere ai dati raccolti che lo riguardano e di ottenerne la rettifica”.
In tale quadro, occorre ricordare la direttiva 95/46 che, come risulta in particolare dal suo ottavo considerando, ha cercato di rendere effettivamente equivalente in tutti gli Stati membri il livello di tutela dei diritti e delle libertà delle persone in merito al trattamento dei dati personali. Inoltre, il decimo considerando della stessa direttiva, ha chiaramente aggiunto che il ravvicinamento delle legislazioni nazionali applicabili in materia non deve causare un indebolimento della tutela da esse assicurata, ma deve, anzi, mirare a garantire un elevato grado di tutela nella Comunità .
La direttiva, pertanto, è stata la base normativa di riferimento della protezione dei dati personali fino al recente nuovo Regolamento europeo della protezione dei dati personali 2016/679.
In Italia, la direttiva 95/46/CE è stata recepita con la legge n. 675 del 31 dicembre 1996 , prima legge italiana di riferimento in materia di protezione dei dati mentre la successiva delega legislativa contenuta nella legge n. 676/1996 ha consentito, negli anni successivi, di poter intervenire sulla materia per garantire un giusto adeguamento alle mutate esigenze di protezione dei dati.
Si è introdotto, quindi, per la prima volta in Italia il principio per cui la riservatezza delle persone fisiche e giuridiche rappresenta un diritto assoluto e inviolabile meritevole di tutela attraverso la comminazione di sanzioni penali, civili e amministrative.
La legge 675/1996 all’art. 1, riprendendo il modello europeo, afferma che: “…la legge garantisce che il trattamento dei dati personali si svolga nel rispetto dei diritti, delle libertà fondamentali, nonché della dignità delle persone fisiche, con particolare riferimento alla riservatezza e all’identità personale; garantisce altresì i diritti delle persone giuridiche e di ogni altro ente o associazione”. A tutela del diritto ai “propri dati”, sono state inserite due disposizioni a contenuto sanzionatorio: l’art. 18 prevede che “Chiunque cagiona danno ad altri per effetto del trattamento dei dati personali è tenuto al risarcimento ai sensi dell’art. 2050 del codice civile”, stabilendo una previsione di risarcimento in forma di danno non patrimoniale; la seconda all’art. 29, ultimo comma sancisce che: “il danno non patrimoniale è risarcibile anche nei casi di violazione dell’articolo 9”.
A completamento di tale attività normativa in materia, il 1° gennaio 2004 fu approvato il decreto legislativo n. 196 del 30 giugno 2003 “Codice in materia di protezione dei dati personali” composto da 186 articoli che raccoglie le indicazioni e le direttive europee intercorse dal 1996 fino al 2003.
Il quadro generale in materia di protezione dei dati ha subito un’ulteriore regolazione a partire dal 25 gennaio 2012, allorquando la Commissione europea ha presentato ufficialmente il cosiddetto “pacchetto protezione dati” con lo scopo di garantire un sistema giuridico coerente e complessivamente armonizzato in materia di protezione dei dati nell’Unione europea. Si tratta di un regolamento, che sostituisce la direttiva 95/46/CE, e di una direttiva che andrà a disciplinare i trattamenti per finalità di giustizia e polizia (attualmente esclusi dal campo di applicazione della direttiva 95/46/CE).
Il 4 maggio 2016, sono stati pubblicati sulla Gazzetta Ufficiale dell’Unione europea (G.U.U.E.) i testi del Regolamento europeo in materia di protezione dei dati personali e della direttiva che regola i trattamenti di dati personali nei settori di prevenzione, contrasto e repressione dei crimini .
Pertanto, il 25 maggio 2018 il Regolamento UE 2016/679 è divenuto definitivamente applicabile in via diretta in tutti i Paesi UE.
Il nuovo regolamento europeo sulla protezione dei dati (GDPR) si pone come strumento di garanzia di tutti i diritti fondamentali nel pieno rispetto delle libertà e dei Principi riconosciuti dalla Carta, sanciti dai Trattati, in particolare il rispetto della vita privata e familiare, del domicilio e delle comunicazioni, la protezione dei dati personali, le libertà di pensiero, di coscienza e di religione, la libertà di espressione e d’informazione, la libertà d’impresa, il diritto a un ricorso effettivo e a un giudice imparziale, senza dimenticare di tutelare la diversità culturale, religiosa e linguistica.
Sono stati stabiliti nuovi diritti sul trattamento dei dati personali e sono state introdotte nuove regole organizzative basate sul concetto della responsabilità che interesseranno qualsiasi soggetto, anche extraeuropeo.
Difatti, è stato introdotto il principio dell’applicazione del diritto dell’Unione europea anche ai trattamenti di dati personali non svolti all’interno dell’UE, purché relativi all’offerta di beni o servizi a cittadini UE o tali da comportare il monitoraggio dei loro comportamenti.
Una novità importante rispetto alla precedente regola che individuava la normativa applicabile in base al luogo in cui ha sede il Titolare del trattamento. In linea con il nuovo regolamento 2016/679, infatti, i social network al pari di piattaforme web e motori di ricerca, sono soggette alla normativa europea anche se gestite da società con sede fuori dal territorio dell’Unione europea.
Il nuovo quadro normativo di riferimento è pertanto incentrato sul concetto di accountability (responsabilizzazione) e sui doveri in capo al titolare del trattamento che, in base a tale principio, dovrà dimostrare di aver adottato tutte le politiche privacy e le misure specifiche in conformità con il Regolamento. Un approccio che deve seguire il principio del “data protection by design and default”, vale a dire l’incorporazione della privacy fin dalla progettazione dei processi aziendali e degli applicativi informatici di supporto, ovvero della messa in atto di meccanismi per garantire che siano trattati – di default – soli i dati necessari per ciascuna finalità specifica del trattamento.
Il regolamento 2016/679, inoltre, ai sensi dell’art. 37 punto 1, introduce la figura del “responsabile per la protezione dei dati” (RPD) o Data Protection Officer (DPO) che sarà la figura principale di questo nuovo sistema per molte organizzazioni, facilitandone l’adeguamento alla normativa vigente. In particolare la designazione del DPO è prevista in 3 casi specifici: quando il trattamento è effettuato da un’autorità/ente pubblico; quando il core business del titolare o del responsabile consiste di operazioni di trattamento, che richiedono il monitoraggio regolare e sistematico di interessati su larga scala; o quando il core business del titolare o del responsabile consiste nel trattamento su larga scala di particolari categorie di dati personali o giudiziari.
Ulteriore aspetto del nuovo regolamento riguarda le sanzioni che diventano molto più pesanti: fino al 4% del fatturato complessivo (consolidato) per i gruppi societari e fino a € 20.000.000 per i privati e le imprese non facenti parte di gruppi.
Nel corso del ventennio che va dall’approvazione della direttiva 95/46 al Regolamento 2016/679 abbiamo sicuramente assistito ad una rapida trasformazione che ha portato al centro dell’attenzione i dati, intesi non più come proiezione dell’individuo, tutelati in quanto indirettamente rappresentano una persona, ma considerati come vero e proprio bene giuridico da proteggere e valorizzare.
La necessità di strumenti normativi idonei a regolare comportamenti socialmente dannosi o pericolosi legati alle nuove tecnologie era infatti stata avvertita fin dai primi anni Ottanta, allorquando numerosi Stati, sia europei (vedi Danimarca, Norvegia, Austria e Francia) che extraeuropei (vedi Stati Uniti, Australia, Canada e Giappone), si sono dotati di una specifica legislazione in materia penale volta a tutelare i dati personali.
La previsione di norme penali a protezione dei dati personali è un segnale evidente di questo processo giunto a pieno compimento con il Regolamento europeo 2016/679. La tutela del dato personale diviene il soggetto principale della normativa, in quanto esso stesso è considerato portatore di valore e di interesse di carattere generale.
È pacifico oramai che i dati sono destinati a diventare sempre di più la materia che sarà alla base dei servizi e dei prodotti innovativi e solo creando le condizioni per un uso uniforme, senza barriere giuridiche e differenze normative tra gli Stati europei e non solo, si potrà finalmente delineare un nuovo concetto di economia basata sull’uso esteso dei dati.
Il regolamento 2016/679, pertanto, garantisce uno strumento di competizione economica rilevante che permette ai soggetti operanti nel mercato europeo di disporre di regole condivise cui anche chi è posto fuori dall’Unione europea sarà obbligato a conformarsi. La strategia economica sottesa al regolamento consiste proprio in questo: assicurare che i dati personali di ciascun individuo siano adeguatamente protetti per accrescere la fiducia dei consumatori nei servizi online e nelle piattaforme di e-commerce in modo particolare .
Volume consigliato
Un confronto tra le diverse realtà ordinamentali
Con tali premesse, il raffronto tra diverse realtà può essere utile per delineare un quadro d’insieme sul tema del diritto alla riservatezza, al fine di individuare le basi portanti del sistema.
Secondo un approccio puramente comparatista, esaminando le normative adottate nei principali Paesi per assicurare la tutela dei dati personali, il relativo trattamento, la comunicazione e la diffusione, emerge un principio comune garantito dai vari legislatori nazionali: ogni persona è titolare del diritto di disporre dei dati che descrivono e che ne qualificano l’individualità. Un corollario di tale principio è costituito dal diritto di disporre ed esercitare un controllo sui dati nei confronti di chiunque, e pertanto anche nei confronti dell’autorità statale, impedendo che tali dati vengano utilizzati liberamente. Tuttavia, premesso che la posizione soggettiva in oggetto è un diritto disponibile, viene generalmente accolto il criterio per cui l’interessato con il suo consenso, e a determinate condizioni, può consentire che altri soggetti utilizzino i suoi dati personali per scopi specifici.
Da un’analisi prettamente comparatista emerge, però, una netta divisione tra due sistemi concettualmente molto distanti nel modo di concepire e mettere in pratica il criterio del consenso dell’interessato.
Il primo sistema preso in considerazione è costituito dal divieto, posto a chiunque, di utilizzare i dati personali senza il consenso della persona interessata. In questo caso, la manifestazione di volontà del soggetto cui si riferiscono i dati, opera come una concessione che rende conforme un’azione che altrimenti sarebbe illecita. Nel mondo anglosassone tale concezione è qualificata come “Opt-in System”, vale a dire un sistema che concede all’interessato il diritto di scegliere se entrare a far parte o meno della categoria di persone i cui dati personali possono essere utilizzati.
Il secondo sistema, invece, parte dal concetto che chiunque ha facoltà di utilizzare per il trattamento la comunicazione e la diffusione i dati personali di altri soggetti. Principio dominante di questo sistema è il diritto potestativo dell’interessato di manifestare il suo dissenso all’uso dei propri dati. È pertanto evidente la definizione di “Opt-out System”: in questo senso il titolare dei dati personali, che teoricamente rientra nella schiera di persone i cui dati possono essere utilizzati, può scegliere di essere posto al di fuori di questa categoria e di impedire che i suoi dati diventino oggetto di trattamento. Sarebbe opportuno aggiungere che molte volte gli stessi interessati nemmeno sono a conoscenza che altri soggetti utilizzano i loro dati personali, creando, con molta evidenza, un meccanismo che non permette un’adeguata protezione del diritto alla privacy.
In un’analisi di diritto comparato ulteriori differenze si manifestano relativamente ai requisiti richiesti per esprimere il consenso o il dissenso all’uso dei propri dati personali. In via generale è richiesto che l’interessato sia informato dei suoi diritti. Tuttavia, mentre in alcuni Paesi è consentita la possibilità di esprimere il consenso in modo implicito, collegato alla circostanza che l’interessato non ha manifestato esplicitamente il suo dissenso, altri ordinamenti, invece, espressamente stabiliscono che l’interessato debba manifestare in modo inequivocabile il suo consenso all’uso dei propri dati personali.
Nel contesto europeo l’unica nazione, oltre l’Italia, ad aver aderito con decisione alla famiglia dell’ “Opt-in system” è la Danimarca , la quale richiede che il trattamento dei dati sia legittimato dal consenso espresso dall’interessato. Altri Paesi europei come Francia, Spagna e Portogallo, ad anche Olanda, hanno adottato l’”Opt-out system”, in questo caso l’interessato ha il diritto di essere informato tanto della possibilità che i suoi dati vengano utilizzati per fini commerciali, quanto del relativo diritto di richiedere che i suoi dati siano cancellati dagli archivi del soggetto titolare del trattamento.
Analizzando più nel dettaglio la situazione dei vari Paesi, in Francia il 6 gennaio 1978 è stata approvata la Loi informatique e libertés ed è stata istituita un’autorità indipendente per garantirne l’effettività la Commission Nationale de l’Informatique e des Libertés (CNIL). La stessa Francia è stata, invece, l’ultimo Paese a dare attuazione alla direttiva 95/46, con legge del 6 agosto 2004, che ha modificato la legge del 6 gennaio 1978.
In Spagna dal 14 gennaio 2000 sono in vigore la Ley Organica n. 15 de Protección de Datos de Carácter Personal (LOPD) del 13 dicembre 1999, con la quale è stata data attuazione anche in Spagna alla direttiva europea 95/46, e il Regolamento n. 994/1999 sulle misure minime di sicurezza.
In seguito il legislatore ha adottato due ulteriori provvedimenti: la Ley de Servicios de la Sociedad de Información y de Comercio Electrónico (LSSI) e la Ley General de Telecomucaciones (LGT), a cui poi si è aggiunto il Real Decreto (RD) n. 424/2005, che hanno disciplinato i dati sul traffico e i dati di localizzazione.
Menzione a parte merita la Germania, vera culla della data protection europea. La Germania, infatti, fin dagli anni Settanta si è dotata di un’ampia disciplina in materia di privacy e trattamento dei dati personali, sia a livello federale che di singoli Lander. Nello specifico, il Parlamento federale ha adottato nel 1977 il Bundesdatenschtuzgesetz , a cui sono succedute la legge del 1990 e il BDSG del 2001 di attuazione della direttiva 95/46, quest’ultima modificata nel luglio del 2009 che, pur prevedendo che il soggetto interessato manifesti il suo consenso al trattamento, espressamente esclude la necessità di consenso per il trattamento dei cosiddetti “dati liberi”, cioè quei dati che riconducono sostanzialmente ai dati anagrafici e cioè: nome, cognome, indirizzo, recapito telefonico.
Posizione a sé stante è occupata, invece, dal Regno Unito, che dispone sin dal 1984 di una propria normativa in materia di tutela dei dati personali . Dal 1° marzo 2000 la tutela dei dati personali nel Regno Unito è disciplinata dal Data Protection Act 1998, di attuazione della direttiva 95/46/CE. Quest’ultimo ha sicuramente contribuito a rafforzare il regime di tutela dei dati personali previsto in precedenza. È bene ricordare che il Regno Unito si basa sul meccanismo dell’opt-out system, pertanto la normativa di riferimento richiede esclusivamente di informare gli interessati del fatto che i dati personali potranno essere utilizzati a fini commerciali. Non è invece previsto il dovere del titolare del trattamento di informare l’interessato del suo diritto di richiedere la cancellazione dei dati personali dagli archivi né è necessario ricevere un consenso preventivo prima di utilizzare tali dati.
Agli occhi del comparatista, pertanto, è più vivo che mai il dibattito per la regolamentazione della protezione dei dati personali o meglio per definire il right to privacy, il diritto alla riservatezza, importato dagli Stati Uniti e che sta trovando oggi in Europa ulteriori impulsi di crescita e di sempre maggior attenzione. Il vecchio continente da questo punto di vista e soprattutto in seguito al Regolamento UE 2016/679, può legittimamente attribuirsi la qualifica di vera “patria della privacy”.
Ad alimentare il dibattito recente è intervenuto il noto caso di Cambridge Analytica, società britannica di analisi politica ingaggiata dalla campagna di Donald Trump e impadronitasi irregolarmente di informazioni su 87 milioni di “amici” di Facebook, 70 milioni solo negli Stati Uniti. Mark Zuckerberg, fondatore e amministratore delegato del social network Facebook, durante l’audizione con il Congresso americano prima al Senato e poi alla Camera, ha sin da subito recitato il mea culpa sui ritardi nella lotta a notizie false. Ed ecco allora l’apertura a un intervento legislativo, lo stesso Zuckerberg, infatti, ha affermato che la legge potrebbe cristallizzare le norme sul trattamento dei dati personali, stabilendo che cosa le piattaforme possano o non possano fare. Inoltre i legislatori potrebbero dare alle persone la sicurezza di poter disporre in maniera piena del proprio profilo e delle proprie informazioni.
Una proposta di legge che trova il sostegno di Facebook ed anche di Twitter è l’Honest Advertising Act, che rivelerebbe costi, autori e target di pubblicità politiche online. Gli auspicati e drastici interventi da parte del Congresso restano tuttavia un’incognita in un anno elettorale, con il rinnovo di Camera e di un terzo del Senato a novembre. Come sono sicuramente difficili svolte anche nel modello di business vero e proprio: Facebook vanta utili operativi pari a 50 centesimi per ogni dollaro di entrate e gli analisti prevedono aumenti di spese – in risposta agli scandali – limitati al 49% quest’anno e al 30% per l’anno prossimo, pari a limature del margine operativo al 45 per cento.
Pertanto, che questo processo sia destinato a sfociare in una riforma profonda, sottomettendo a regolamentazione un’economia digitale che fin qui è riuscita ad evitare ogni tipo di vincolo, è tutt’altro che certo. Non sono pochi gli scettici convinti che alla fine tutto continuerà come prima: le ammissioni e scuse di Zuckerberg, il Congresso che urla ma che alla fine prende per buona la promessa di Facebook, cambiare rotta entrando in un’era di seria autoregolamentazione. In fondo i repubblicani, maggioranza in tutte e due le aule sono il partito della deregulation e Donald Trump, scatenato contro Amazon, non è mai sembrato orientato ad intervenire sulle reti social come Facebook e Twitter che gli hanno fatto non poco comodo durante la campagna elettorale.
In conclusione, secondo un’ottica armonizzatrice della materia, va detto che dopo un lungo iter iniziato nel 2011 è stato portato a termine dal Comitato dei ministri del Consiglio d’Europa, il processo di modernizzazione della Convenzione di Strasburgo del 1981, o anche Convenzione 108 del Consiglio d’Europa, uno dei più importanti strumenti legali per garantire la protezione degli individui rispetto al trattamento automatizzato dei dati personali.
La modernizzazione della Convenzione 108, che è tuttora l’unico strumento sulla protezione dei dati vincolante a livello internazionale, risponde alle molte sfide intervenute negli anni delle nuove tecnologie, assicurando la tenuta dei principi della Convenzione e rafforzandone i meccanismi per la sua effettiva implementazione.
Il Protocollo garantisce standard elevati in una cornice normativa flessibile che facilita la loro adozione da parte di un ampio numero di Paesi, inclusi quelli che non fanno parte del Consiglio d’Europa. Costituisce, inoltre, un ponte tra i diversi approcci regionali, incluso il Regolamento (UE) 2016/679 che colloca l’adesione da parte di Paesi terzi alla Convenzione 108 tra i criteri da considerare nella valutazione di adeguatezza di tali Paesi nel contesto dei trasferimenti dei dati.
Le principali novità riguardano: il rafforzamento degli obblighi di trasparenza a carico dei titolari del trattamento; l’ampliamento dei diritti degli interessati, che ora racchiudono anche il diritto a non essere soggetto a decisioni puramente automatizzate e a conoscere la logica del trattamento; maggiori garanzie per la sicurezza dei dati, incluso l’obbligo di notificare i data breach, e di assicurare un approccio di privacy by design. Il Protocollo, inoltre, rafforza i compiti delle Autorità di protezione dei dati e del Comitato della Convezione, quest’ultimo chiamato a svolgere un importante ruolo nella valutazione dell’effettivo rispetto dei principi della Convenzione che deve essere assicurato dai Paesi che ne fanno parte.
Ti potrebbe interessare anche: “Il D.P.O.”
Bibliografia
AA.VV. The Law and Economics of Privacy, in the Journal of Legal Studies, vol. IX, 1980.
AULETTA T.A., Riservatezza e tutela della personalità, Milano, 1978.
BOLOGNINI L., PELINO E., BISTOLFI C., Il Regolamento privacy europeo, Commentario alla nuova disciplina sulla protezione dei dati personali, 2016.
BUTTARELLI G., Banche dati e tutela della riservatezza. La privacy nella società dell’informatica, Milano, 1997.
FRIEDMAN L.M., La società orizzontale, Bologna, 2002.
MAGLIO M., Manuale di diritto alla protezione dei dati personali, 2017.
PIZZETTI F., Privacy e il diritto europeo alla protezione dei dati personali, 2016.
ROSSI E., Il diritto alla Privacy nel quadro giuridico europeo ed internazionale alla luce delle recenti vicende sulla sorveglianza di massa, in Diritto Comunitario e degli scambi internazionali, 2014.
Scrivi un commento
Accedi per poter inserire un commento