La collettività si è trasformata conseguentemente ai nuovi tipi di collegamento che i singoli sono in grado di creare, tanto che sulla rete è possibile ottenere e restituire qualsiasi tipo di informazione e di bene, ma non tutti badano al prezzo per tale servizio.
I principali sistemi di collettività in rete sono i social network ed è a questi che si dovranno ispirare le future legislazioni.
Il valore che diamo alla moneta scambiata per ottenere beni e servizi reali non è considerato, a torto, il medesimo per i dati comunemente e costantemente immessi nella rete. Il titolo di scambio per eccellenza, nel mondo interconnesso, è costituito infatti dai dati personali e proprio a questi prestano attenzione le legislazioni nazionali ed internazionali, senza però fornire una soluzione ai problemi tecnologici che si incontrano nella pratica.
In Italia la legislazione in materia è costituita dal Decreto legislativo n. 196 del 30 giugno 2003. Questa è però destinata a farsi da parte quando, il 25 maggio 2018, scadrà il termine fornito dal Parlamento e dal Consiglio Europeo per apprestare le modifiche che si rendano necessarie alle imprese e alle legislazioni interne per adempiere alle prescrizioni del Regolamento dell’Unione Europea 2016/679 del 27 aprile 2016.
Il nuovo Regolamento in questione, relativo alla protezione delle persone fisiche con riguardo al trattamento dei dati personali, nonché alla libera circolazione di tali dati, abroga la direttiva 95/46/CE (regolamento generale sulla protezione dei dati) che aveva dato vita alla regolamentazione sul trattamento dei dati personali da parte degli Stati membri e, conseguentemente alla sua capacità applicativa diretta, pone la necessità di rimodulare le legislazioni interne in misura almeno equiparata alle prescrizioni del nuovo Regolamento.
Il Regolamento 2016/679, denominato GDPR (General Data Protection Regulation), si pone, nella gerarchia delle fonti, in una posizione inferiore alla Costituzione della Repubblica e, stando alle più recenti conclusioni a cui è pervenuta la giurisprudenza della Corte Costituzionale e della Corte di Giustizia dell’Unione Europea, superiore alle leggi di rango primario.
Tale affermazione comporta non solo la possibilità (rectius: la necessità, salvo l’utilizzo dei c.d. controlimiti) da parte dei Giudici nazionali di disapplicare le leggi esistenti eventualmente contrastanti, ma anche l’obbligo per il Legislatore di promulgare atti normativi ad esso confacenti.
Per ciò che riguarda la nostra disamina, rileva come la compresenza di un Regolamento dell’Unione e di una Legge ordinaria precedente comporti, per gli operatori, una difficoltà di non poco momento consistente nel trovare il giusto equilibrio tra le due fonti in considerazione della preminenza del Diritto europeo e della possibilità che alcune disposizioni nazionali non siano da considerarsi disapplicabili in quanto non contrastanti con il GDPR o addirittura da esso ammesse tramite clausole di apertura ad un diritto interno di dettaglio e specificazione.
Oltre alle clausole di rimando contenute nel Regolamento, è già il Considerando 8 dello stesso a porre questa possibilità. Vi si legge infatti che “Ove il presente regolamento preveda specificazioni o limitazioni delle sue norme ad opera del diritto degli Stati membri, gli Stati membri possono, nella misura necessaria per la coerenza e per rendere le disposizioni nazionali comprensibili alle persone cui si applicano, integrare elementi del presente regolamento nel proprio diritto nazionale”.
Il problema non è stato ancora affrontato dal Legislatore italiano ed è stato consegnato agli operatori del diritto ed al Garante per la protezione dei dati personali. Quest’ultimo, oltre alle sue prerogative di controllo e sanzionatorie, ha il compito di sciogliere i nodi interpretativi per rendere la normativa di settore (quella comunitaria e quella interna) facilmente fruibile non solo a chi è tenuto a trattare correttamente i dati personali, ma anche, forse soprattutto, a chi nel mondo della rete è soggetto, spesso inconsapevolmente, alla mercificazione del proprio diritto alla privacy.
Tralasciando i meriti del Regolamento 2016/679 e l’impegno profuso dall’Unione Europea per la protezione di un diritto finora troppo sottovalutato, è necessario approfondire il principale problema che il GDPR, allo stato attuale e senza il giusto ausilio della normativa interna di settore, non è in grado di risolvere: la tutela del diritto alla privacy all’interno di chat operative su social network e gestite da terze parti.
La chiameremo, in assenza di una differente, migliore e già esistente dicitura, contestualizzazione dei trattamenti.
All’interno di una medesima piattaforma elettronica (social) si condensano una moltitudine di operatori che utilizzano, per proprie finalità, i servizi offerti dalla piattaforma stessa. Le finalità di ognuno devono però fare i conti non solo con i limiti imposti dalla piattaforma social, ma anche dalle prescrizioni date dalle legislazioni di settore, in particolare quelle sulla tutela dei dati personali.
Ciò comporta la necessità che l’utente che navighi all’interno del social network sia edotto, per ogni sua azione e scelta effettuata, dei rischi che corre nel fornire i propri dati e dei suoi diritti: deve essere messo nelle condizioni di contestualizzare i rischi che discendono dall’immissione di dati in funzione dei servizi di cui usufruisce all’interno della piattaforma e non gestiti dalla stessa ma da terze parti.
Questi terzi, operatori del mercato o dei servizi, sono allo stesso tempo utenti della piattaforma e trattari dei dati da essi ricevuti in chat da altri utenti in cambio di informazioni, anche non disinteressate, si pensi agli agenti di marketing o agli operatori sanitari che adoperano la rete per fornire i propri servizi.
Per iniziare si propone una semplificazione della questione: i dati forniti in chat sono tutelati dal sistema che fornisce il servizio di chat o da chi ottiene gli stessi?
La risposta è data dalla lettura della disposizione contenuta al n. 7 dell’articolo 4 del Regolamento, che nello stabilire le definizioni ai fini della sua applicazione considera quale titolare del trattamento “la persona fisica o giuridica, l’autorità pubblica, il servizio o altro organismo che, singolarmente o insieme ad altri, determina le finalità e i mezzi del trattamento di dati personali […]”.
Il tutore dei dati in chat è chiaramente rappresentato dalla figura del titolare del trattamento, a cui si affianca, ove esistente, il responsabile del trattamento, che tratta i dati personali per conto del titolare del trattamento.
Chi determina le finalità e i mezzi del trattamento si assume anche la responsabilità di tutelare il diritto dei soggetti interessati.
E’ il singolo operatore che fa assumere la qualifica di titolare del trattamento o responsabile del trattamento al soggetto, detentore dei fini, per il quale agisce.
Si necessita però di una specificazione ulteriore. Non si sta qui disquisendo di qualsiasi attività gestita tramite chat, ma soltanto di quelle che, per la natura dei dati trattati e per il tipo di gestione degli stessi, debba escludersi avere fini puramente personali. In sostanza si sta ponendo l’accento sui trattamenti di dati che non rientrano tra quelli categorizzati all’articolo 2, Comma 2 del GDPR tra i quali figurano, alla lettera c, i trattamenti di dati personali “effettuati da una persona fisica per l’esercizio di attività a carattere esclusivamente personale o domestico”.
Il trattamento di dati che rientri nell’ambito applicativo del Regolamento deve perciò essere operato entro gli schemi ed i limiti dallo stesso impartiti sotto pena di pesanti sanzioni amministrative pecuniarie e penali, ma come può risolversi la difficoltà tecnica che si prospetti dinanzi ad un titolare del trattamento che operi in una chat già rientrante nei servizi resi da un social network? Come deve essere informato l’utente circa i dati trattati ed il modo in cui questi sono gestiti? Può il titolare del trattamento nascondersi dietro le informative sulla privacy fornite dal social network anche in riferimento all’utilizzo della chat?
Ebbene, nulla viene disposto dal GDPR né dalla normativa interna. Eppure, l’articolo 25, Comma 1, del Regolamento Ue predispone una tutela che sembra rispondere ai quesiti posti.
Il Legislatore europeo la chiama impostazione predefinita del trattamento dei dati e dispone un generico obbligo, in capo al titolare del trattamento, di adottare le “misure tecniche e organizzative adeguate”. Con ciò si evince la necessità, nonostante le difficoltà tecniche, che anche in mancanza di conoscenze e di strumenti tecnici e tecnologici in grado, allo stato dell’arte, di tutelare la privacy, i titolari del trattamento debbono “attuare in modo efficace i principi di protezione dei dati”.
In sostanza non si esclude la responsabilità per l’inottemperanza alle prescrizioni del GDPR solo per il fatto di non essere nella possibilità di agire con adeguati strumenti tecnici e il problema viene traslato sugli operatori e sui tecnici del diritto.
La questione problematica risiede nella peculiarità della struttura dei social network, che si rendono fruibili anche da categorie di soggetti attinti dagli obblighi sulla privacy senza dare loro la possibilità tecnica di provvedervi.
L’alternativa, per queste categorie di soggetti, sembra essere tra il non utilizzo dei social network ed il loro utilizzo inosservante delle regole sul trattamento dei dati.
Posto che anche il Legislatore europeo pone l’accento sulla positività dell’interconnessione e dei servizi che la facilitano, deve trovarsi una soluzione che integri la sicurezza dei dati, l’informazione agli utenti interessati, la prevenzione dei rischi da trattamento e la sicurezza, per i soggetti responsabili, di non essere raggiunti da sanzioni che il Regolamento europeo ha fortemente aggravato.
Se così deve essere inquadrata la questione, è necessario allora giungere ad una conclusione pratica: in caso di utilizzo di servizio chat di un social network non si può evitare di affrontare l’ostacolo dell’informativa obbligatoria e, se del caso, della richiesta del consenso al trattamento dei dati personali.
Sembra necessario inserire, prima dell’apertura della chat, l’informativa prevista dagli articoli 12, 13, 14 e 15 del GDPR.
Qualora si tratti di trattamento che necessiti di consenso espresso, addirittura sarebbe necessario impedire l’accesso alla chat senza che si sia fornito il consenso ex articolo 7 del Regolamento.
Ma come conciliare gli obblighi imposti al titolare del trattamento con la struttura tecnica dei social network che non danno la possibilità agli operatori di modificare le impostazioni di accesso ai servizi di chat?
Non resta che provvedere alle prescrizioni del Regolamento all’interno della chat stessa, consapevoli dei problemi, irrisolvibili allo stato attuale, che ciò comporti in termini di fastidio verso l’utente che certo non avrà piacere nell’imbattersi in un messaggio molto lungo già all’apertura della chat, pur trattandosi di una tutela dei suoi diritti.
E come risolvere la questione del consenso espresso?
Anche qui l’unica possibilità è data dalla richiesta di consenso, dopo l’invio dell’informativa sulla privacy, tramite chat con relativa necessità di risposta positiva dell’utente.
Tali stratagemmi, paragonabili all’utilizzo della pietra focaia al tempo degli accendi sigari elettronici, pur apparentemente utili a scongiurare le pesanti sanzioni amministrative e penali previste dalla normativa di settore, non confortano certo le intenzioni del Legislatore europeo che richiede di fornire le indicazioni del trattamento in modo adeguato ed utile alla prevenzione del rischio di lesione del diritto alla privacy.
D’altronde, ed ecco che ritorna il nodo tecnico della questione, l’operatore della chat, ovvero la longa manus del titolare del trattamento, non può certo impedire che l’utente cominci la conversazione prima di aver adempiuto ai suoi oneri.
Non si dimentichi che spesso già all’apertura della casella di testo il fornitore del servizio di social network e della relativa chat avrà inviato al titolare del trattamento i dati che siano stai oggetto di consenso espresso all’atto dell’iscrizione dell’utente al social. Benchè si tratti di dati oggetto di manifesta pubblicazione da parte dello stesso utente, perciò sottratti alla disciplina regolamentare a norma dell’articolo 9, Comma 2, lettera e, questi possono essere utilizzati per la profilazione in aggiunta a quelli forniti dall’interessato in chat.
Non può, perciò, ritenersi che i servizi resi in un contesto di messaggistica siano esenti dalla regolamentazione europea, altrimenti sviandosi i principi fondamentali della stessa contenuti nei considerando al GDPR.
In conclusione, anche l’Europa si è accorta del problema ma non è stata in grado di risolverlo. Il principio del considerando 6 e 7 lascia però il compito agli operatori di fornire la protezione necessaria stabilendo rispettivamente che (Considerando 6) “La rapidità dell’evoluzione tecnologica e la globalizzazione comportano nuove sfide per la protezione dei dati personali. La portata della condivisione e della raccolta di dati personali è aumentata in modo significativo. La tecnologia attuale consente tanto alle imprese private quanto alle autorità pubbliche di utilizzare dati personali, come mai in precedenza, nello svolgimento delle loro attività. Sempre più spesso, le persone fisiche rendono disponibili al pubblico su scala mondiale informazioni personali che li riguardano. La tecnologia ha trasformato l’economia e le relazioni sociali e dovrebbe facilitare ancora di più la libera circolazione dei dati personali all’interno dell’Unione e il loro trasferimento verso paesi terzi e organizzazioni internazionali, garantendo al tempo stesso un elevato livello di protezione dei dati personali”. (Considerando 7) “Tale evoluzione richiede un quadro più solido e coerente in materia di protezione dei dati nell’Unione, affiancato da efficaci misure di attuazione, data l’importanza di creare il clima di fiducia che consentirà lo sviluppo dell’economia digitale in tutto il mercato interno. È opportuno che le persone fisiche abbiano il controllo dei dati personali che li riguardano e che la certezza giuridica e operativa sia rafforzata tanto per le persone fisiche quanto per gli operatori economici e le autorità pubbliche”.
Gli operatori economici e sociali, oltre che gli enti pubblici, non hanno altra possibilità se non contestualizzare il trattamento, ovverosia presentare l’offerta di trattamento dei dati personali che si necessitino per le finalità del servizio, recidendo la copertura data dalle normative privacy interne dei gestori dei social network e, tuttavia, appesantendo l’utilizzo del servizio reso.
Il tutto si giustifica nell’ottica del principio di tutela dei dati e delle persone abbracciata dal GDPR, oltre che nella necessità di salvare le imprese da sanzioni sociali, economiche e penali.
Volume consigliato
La tutela della privacy in ambito sanitario
L’opera mira a fornire agli operatori del settore sanitario, pubblico e privato, gli strumenti per comprendere in modo chiaro e semplice la copiosa normativa relativa al trattamento dei dati sanitari, in modo che gli stessi possano adempiere con tranquillità agli obblighi su di loro gravanti, volti alla cura e alla protezione dei dati personali dei loro assistiti. In particolare, l’Autore, dopo aver illustrato le caratteristiche principali dei dati sanitari, necessarie per poter individuare quali informazioni rientrano in detta categoria, si dedica all’esame di tutte le disposizioni che incidono sul loro trattamento: dal codice privacy fino al GDPR, passando per le linee guida adottate dal Garante nel corso degli anni in tema di dossier sanitario, siti web dedicati alla salute, referti on-line, indagini di customer satisfaction nonché per la normativa in tema di fascicolo sanitario elettronico. Il trattamento dei dati in ambito sanitario, in considerazione della delicatezza delle informazioni che riguardano lo stato di salute degli interessati, è sempre stato estremamente pericoloso. L’opera si rende ancor più utile oggi, in un mondo in cui anche nell’ambito sanitario i dati personali assumono un’importanza fondamentale e vengono trattati attraverso diversi strumenti tecnologici ed elettronici, rientrando la protezione di tali dati tra i principali adempimenti che i professionisti e le strutture sanitarie debbono curare per poter fornire le proprie prestazioni senza preoccupazioni di incorrere in responsabilità.Pier Paolo Muià Si è laureato in Giurisprudenza presso l’Università degli Studi di Firenze. Esercita la professione di avvocato tra Firenze, Prato e Pistoia, occupandosi in particolare di responsabilità medica, diritto di internet, privacy e IP. È autore di numerose pubblicazioni sulle principali riviste giuridiche nazionali e collabora stabilmente con il portale giuridico Diritto.it. È stato relatore in diversi convegni, anche per ordini professionali medici.
Pier Paolo Muià | 2018
Scrivi un commento
Accedi per poter inserire un commento