Tutela della Sicurezza Pubblica vs Tutela della Privacy: un bilanciamento necessario

Tutela della Sicurezza Pubblica vs Tutela della Privacy: un bilanciamento necessario

di Assunta Balzamo

Versione PDF del documento

Il presente scritto si pone l’obiettivo di analizzare il rapporto, talvolta controverso, che viene ad instaurarsi tra la tutela della sicurezza pubblica e la tutela della privacy, mediante l’approfondito esame di alcune tematiche complesse, al fine dell’individuazione di potenziali soluzioni, volte alla risoluzione di potenziali conflitti.

La tutela della privacy

Gli interessi, primari e generali, relativi alla tutela della sicurezza pubblica e alla tutela della privacy[1], data la loro particolare importanza ed intensità, soprattutto in ambito europeo, possono, talvolta, sovrapporsi, determinando in tal mondo un’indebita compressione di tali diritti.

Nell’attuale periodo storico è di estrema importanza dare la giusta rilevanza al tema della privacy e del trattamento dei dati personali, dal momento che le attività di qualsivoglia natura sono ricolme di dati personali e questi sono suscettibili di poter circolare istantaneamente in un ambito spaziale illimitato. Pertanto, appare necessario chiarire alcune questioni preliminari.

Innanzitutto, si configura come “dato personale”, ex art. 4 comma 1 GDPR[2], una qualsiasi informazione relativa ad una persona fisica, che renda la stessa identificata o identificabile, direttamente o indirettamente, mediante determinate informazioni, le quali nell’arco della vita del soggetto interessato possono formare oggetto del c.d. “trattamento dei dati”, inteso, ex art. 4 comma 2 GDPR[3], come qualsiasi operazione o insieme di operazioni applicate a singoli dati personali o ad insiemi di essi, che determina la fuoriuscita dei medesimi dalla sfera personale dell’interessato.

Tuttavia, appare chiaro che un’operazione così delicata, come il trattamento dei dati personali, debba essere sorretta da una serie di garanzie a favore del soggetto interessato, grazie alle quali è possibile mantenere l’operazione nell’ambito della legalità, mediante l’attuazione di specifici principi cardine, quali:

  • Il principio di liceità del trattamento, secondo il quale il trattamento deve avvenire esclusivamente in conformità alle disposizioni normative, che regolano la presente materia;
  • Il principio di finalità, secondo il quale i dati personali devono essere trattati esclusivamente per scopi determinati;
  • Il principio di necessità, secondo il quale il trattamento è ammesso solo nella misura in cui è assolutamente necessario al raggiungimento delle finalità predeterminate e perseguite ed inoltre, deve avere ad oggetto solo i dati considerati indispensabili per le suddette finalità;
  • Il principio di proporzionalità, secondo cui i dati personali, oggetto del trattamento, devono essere pertinenti, completi e non eccedenti, rispetto alle finalità per cui sono raccolti e trattati.

L’Italia, in qualità di stato membro dell’Unione Europea, attua una politica di protezione dei dati personali in linea con le disposizioni del regolamento europeo n. 2016/679 (c.d. GDPR), garantendo, in tal modo, un livello molto elevato di protezione della suddetta fattispecie, in un’ottica estremamente garantistica per il soggetto interessato, nei confronti del quale il diritto alla privacy viene a qualificarsi proprio come un “diritto fondamentale”[4].

Ciò premesso, avendo una chiara consapevolezza della primaria importanza di tale diritto, il quale rappresenta uno dei cardini del nostro sistema normativo, è agevole passare alla trattazione dell’argomento.

Volume consigliato

Privacy e GDPR: Manuale applicativo con esempi e casistiche settoriali

Privacy e GDPR: Manuale applicativo con esempi e casistiche settoriali

Monica Mandico, 2019, Maggioli Editore

Il volume si distingue per il suo carattere multidisciplinare ponendosi quale strumento pratico e immediato per rispondere in modo corretto alle finalità della legge.Per ogni tipologia di attività, dalla sanità, alle assicurazioni, dalle banche, alle PMI fino ad...



La tutela della sicurezza pubblica

Negli ultimi decenni, al fine di perseguire un’efficace tutela della sicurezza pubblica, il complesso degli strumenti, volti alla lotta del riciclaggio di denaro e del finanziamento del terrorismo, è stato caratterizzato da un netto spostamento dal fronte repressivo a quello preventivo, mediante l’introduzione di penetrati obblighi di profilassi finanziaria[5]. In particolare, l’Unione Europea ha modificato il proprio fronte di azione e si è adeguata alle raccomandazioni FATF[6], in materia di “prevenzione e intelligence finanziaria” e di conseguenza, ha adottato una strategia di responsabilizzazione rivolta agli operatori del settore di riferimento (banche, società di intermediazione finanziaria, sgr, trust, ecc.), la quale è stata accompagnata da un approccio basato sul rischio, secondo cui codesti obblighi di profilassi finanziaria devono essere modulati (e dunque, attenuati o rinforzati) a seconda dei casi, in ragione del livello di rischio, collegato ad un Paese, ad una situazione o ad un’operazione; nello specifico, ai sensi dei considerando 75[7] e 76[8] GDPR, per una corretta valutazione del rischio, occorre verificare l’impatto negativo che il trattamento potrebbe avere sulle libertà e sui diritti dell’interessato. Tale rivoluzionaria strategia è conosciuta anche come “Accountability”, ma d’altronde, è necessario sottolineare in merito che il legislatore europeo non ha provveduto a fissare con proprie disposizioni normative delle misure di sicurezza predefinite, a cui i soggetti obbligati potessero adeguarsi, ma, al contrario, in un’ottica di una loro concreta responsabilizzazione, lascia ai medesimi ampia discrezionalità nella scelta dei mezzi con cui dare attuazione alla protezione dei dati personali e minimizzare i potenziali pericoli[9].

Nello specifico, il suddetto adeguamento è avvenuto concretamente mediante l’adozione da parte del legislatore europeo della direttiva n. 2015/849 , in merito alla prevenzione dell’uso del sistema finanziario ai fini di riciclaggio di denaro e finanziamento del terrorismo e del regolamento n. 2015/847, in merito ai dati informativi che si accompagnano al trasferimento di fondi.

Dalle su menzionate fonti si evince che il legislatore europeo tutela come “interessi generali” e dunque preminenti, la tutela del mercato interno e la tutela della sicurezza nazionale, in quanto sono considerati interessi meritevoli di essere perseguiti dagli Stati membri e dall’Unione Europea, talvolta anche mediante l’utilizzo di misure particolarmente restrittive, al fine di rendere maggiormente efficace la loro protezione, ma allo stesso tempo l’art. 43 della direttiva n. 849/2015[10] dispone che il corretto trattamento dei dati personali, effettuato sulla base della medesima direttiva, è da ritenersi di preminente interesse pubblico.

Pertanto, è opportuno considerare che una tale normativa, per sua natura intrinseca volta alla lotta dei suddetti crimini, determina l’utilizzo di numerosi dati inerenti una o più persone fisiche, al fine di poter essere in grado di identificare concretamente potenziali minacce e dunque, si determina inevitabilmente una vera e propria compressione della tutela inerente la privacy e il trattamento dei dati personali. Sicché, sorgono spontanei alcuni interrogativi: una tale compressione è legittima alla luce degli interessi protetti dal regolamento europeo sulla protezione dei dati personali? Come può essere garantita in tali ambiti la tutela dei dati personali?

Problematiche derivanti dalla conciliazioni di tali diritti

Al fine dell’elaborazione di una soluzione adeguata, è necessario soffermarsi preliminarmente sulle principali problematiche.

I primi dubbi sorgono in merito alla normativa europea nella parte in cui prescrive ai soggetti obbligati di effettuare necessariamente una “Due Diligence del Cliente” (CDD), ogniqualvolta vi sia l’accensione di un nuovo rapporto, oppure, una semplice richiesta di operazione occasionale, senza però individuare il contenuto di un tale controllo. Il nuovo assetto valutativo, introdotto con il D. Lgs. 90/2017, segue l’approccio << know your costumer >> (KYC), che delinea un processo di Due Diligence molto complesso, volto ad una valutazione del rischio sia sul versante soggettivo, mediante l’identificazione precisa della persona, sia sul versante oggettivo, attraverso un’analisi attenta della richiesta, al fine di valutare le motivazioni e le finalità ad essa connesse. Una tale fattispecie può essere all’origine di un numero indefinito di potenziali problematiche, dal momento che non è specificata l’ampiezza che una tale procedura di controllo deve rivestire e ancor più nello specifico, non è indicato il tipo di dati che devono essere oggetto del trattamento e dunque, se sono ammessi o esclusi da esso i cd dati sensibili [11], con la conseguenza che il soggetto obbligato viene a trovarsi in una situazione di estrema incertezza. Orbene, una tale configurazione appare estremamente invasiva della sfera personale del soggetto interessato, sicché si rende opportuno e necessario un intervento chiarificatore da parte del legislatore europeo, grazie al quale dovrebbe essere introdotto un elenco tassativo di dati che devono essere presi in considerazione nel corso del controllo in esame, nel quale, al contrario, non bisognerebbe includere i dati sensibili, dal momento che, l’art. 9 GDPR[12] stabilisce il divieto di trattare queste “categorie particolari di dati personali”, salve particolari eccezioni ed inoltre, nella maggior parte dei casi, questi non possono qualificarsi come indispensabili per il raggiungimento del fine prefissato; ad ogni modo, laddove, si rendessero assolutamente necessari in determinate circostanze, è compito del legislatore individuare eventuali linee di azione, al fine di evitare discriminazioni ingiustificate[13].

Consequenzialmente, appare opportuno analizzare la problematica relativa al bilanciamento, che dovrebbe intercorrere tra la protezione dei dati personali e il c.d. divieto di “tipping off”, il quale consiste nel divieto, gravante sui soggetti obbligati, in merito alla rivelazione a terzi non autorizzati di informazioni riguardanti la possibilità che sia stata compiuta o che stia per compiersi una segnalazione di operazione sospetta (SOS) alla UIF competente[14]. Nello specifico, la normativa europea prevede che gli Stati membri siano obbligati a limitare, in tutto o in parte, il diritto di accesso[15] dell’interessato ai propri dati personali, oggetto del trattamento, laddove, tenuto conto dei legittimi interessi dei soggetti interessati, una tale limitazione appaia come una misura assolutamente necessaria e proporzionata in una società democratica, al fine di consentire al soggetto obbligato o all’autorità competente di svolgere adeguatamente i rispettivi compiti ed evitare che siano compromesse le indagini, le analisi, le inchieste ed ogni altro procedimento propedeutico, in modo tale da garantire la prevenzione, l’indagine e l’individuazione del riciclaggio di denaro e del finanziamento del terrorismo. Tuttavia, codesta disciplina rimette eccessivi margini di discrezionalità agli Stati membri e compromette oltremisura il diritto di accesso dell’interessato ai propri dati personali, fattispecie specificatamente garantita e tutelata dal GDPR, a norma del quale il suddetto diritto può essere limitato tassativamente solo in ipotesi eccezionali, con la previsione di specifici limiti temporali. Dunque, alla luce delle problematiche esposte, si evince l’urgente necessità di uno specifico intervento legislativo in materia, avente lo scopo di individuare le linee guida, da dover seguire per poter attuare legittimamente, laddove necessaria, la compressione del diritto di accesso dell’interessato ai propri dati personali [16].

Ulteriore tematica controversa si presenta in relazione alla suddetta normativa europea, laddove prevede il rafforzamento della comunicazione e della cooperazione tra le UIF dei vari Stati europei, nella misura più ampia possibile, affinché esse possano scambiarsi, autonomamente o su richiesta, ogni informazione che possa risultare loro utile per il trattamento o l’analisi di dati collegati ad indagini relative alla lotta del riciclaggio di denaro e del finanziamento del terrorismo. Infatti, nonostante, codesta previsione possa apportare sicuri benefici alla lotta dei summenzionati crimini, permangono dubbi in merito alla normativa che deve regolare un tale rapporto di cooperazione. In particolare, la normativa di riferimento non prevede alcuna menzione specifica in relazione allo status organizzativo delle singole UIF, il quale, al contrario, può essere determinato con ampia discrezionalità da ogni singolo Stato membro; inoltre, la controversa questione è complicata dalla previsione ex art. 2 comma 2 lett. d GDPR [17], secondo la quale è esclusa l’applicazione del medesimo regolamento al trattamento dei dati personali, effettuato dalle autorità competenti al fine di perseguire crimini ed eseguire sanzioni penali, allo scopo di garantire un’adeguata sicurezza pubblica. Orbene, secondo l’orientamento minoritario della dottrina, tale pressione, generata dalle suddette incertezze, determinerebbe l’applicazione della Decisione quadro 2008/977 sulla protezione dei dati personali nell’ambito della cooperazione giudiziaria e di polizia in materia penale, per cui le singole UIF sarebbero equiparate ad autorità di polizia e di conseguenza, il trattamento dei relativi dati sarebbe corredato da garanzie notevolmente attenuate, rispetto all’ordinaria disciplina europea, ma tuttavia, in relazione alla presente corrente di pensiero permangono numerose questioni irrisolte[18]. Di conseguenza, appare preferibile aderire alla tesi dottrinale maggioritaria, la quale esclude l’applicazione della suddetta decisione quadro, dal momento che le UIF, in armonia con l’ultima Comunicazione adottata dalla Commissione Europea in materia[19], non sono da considerarsi quali autorità di polizia, e dunque, è necessario che anch’esse si conformino integralmente alla legislazione europea sulla protezione dei dati personali[20]. Ciò nonostante, anche in codesta fattispecie sarebbe opportuno un intervento legislativo, seppure meramente chiarificatore, il quale dovrebbe stabilire specificatamente le condizioni per una corretta applicazione della normativa: innanzitutto, in armonia con le disposizioni del GDPR, è necessaria la previsione del periodo di tempo massimo di conservazione dei dati personali da parte delle suddette autorità, trascorso il quale, i medesimi dati devono essere automaticamente cancellati; in secondo luogo, deve essere assicurato l’aggiornamento periodico di codesti dati da agenti individuati come responsabili all’interno delle singole UIF, al fine di garantire in maniera assoluta la loro perenne veridicità e attendibilità; ed infine, è necessario stabilire le modalità, mediante cui assicurare la comunicazione e la cooperazione tra le UIF europee, sfruttando magari canali di comunicazione protetti[21].

Tematica per certi versi affine alla precedente, ma connotata da ulteriori aspetti patologici, riguarda la normativa europea nella parte in cui estende il suddetto rafforzamento della comunicazione e della cooperazione alle UIF europee ed extra europee, soltanto laddove anche i paesi terzi garantiscano un’adeguata tutela dei dati personali trasmessi. In tale ambito, la controversia si origina dall’incerta configurazione da dare all’aggettivo qualificativo della protezione transfrontaliera, così come previsto ex art. 45 comma 1 GDPR[22], ovvero la sua “adeguatezza”. Infatti, il problema centrale della questione riguarda la fattispecie per cui la normativa di tutela dei dati personali europea, data prima con la direttiva 95/46/CE e poi con il Regolamento 2016/679, c.d. GDPR, è unica in ambito extra europeo, dal momento che prevede una disciplina dettagliata e concreta di massima protezione, la quale, invece, non è assicurata da alcuna legislazione extra europea o quanto meno, nessuna di esse garantisce un equivalente livello di protezione. Specificamente, l’art. 44 GDPR[23] stabilisce il c.d. “principio generale per il trasferimento”, secondo il quale qualunque trasferimento di dati personali verso paesi terzi od organizzazioni internazionali è lecito e dunque, possibile, solo se il titolare del trattamento extra europeo si impegna al  rispetto del diritto europeo in merito alla protezione dei medesimi dati.

Invero, tale tematica in ambito extra europeo è regolata da accordi internazionali con i paesi terzi, mediante i quali sono stabilite misure volte ad assicurare, a livello quanto meno teorico, l’integrale rispetto della normativa europea, tra le quali, a mero titolo esemplificativo, si ricordano da un lato le “clausole contrattuali standard” (SCC),  ossia clausole, approvate dalla Commissione Europea, volte ad assicurare l’attuazione della normativa europea, attraverso la previsione di un vincolo contrattuale, gravante sul soggetto terzo importatore di dati al di fuori dei confini europei e dall’altro lato, le “binding corporate rules” (BCRs), le quali si concretizzano in un documento, contenente una serie di clausole, le quali vincolano al rispetto della normativa europea tutte le società appartenenti ad uno stesso gruppo, che intendano trasferire i dati personali di cittadini europei in paesi extra europei. Ciò nondimeno, tali misure non assicurano un’adeguata tutela dei dati personali, in quanto sono misure idonee a vincolare solo le relative parti contrattuali, ma non le autorità dei paesi terzi verso cui sono trasferiti i medesimi dati[24]. Di conseguenza, anche gli attuali accordi internazionali sono da considerarsi inadeguati, dal momento che non sono in grado di garantire una disciplina mirata al tassativo rispetto della normativa europea e dunque, non assicurano un’adeguata tutela dei dati personali [25]. Sicché, anche in questa materia la soluzione andrebbe ricondotta all’intervento del legislatore europeo, indispensabile per la stipulazione di nuovi accordi internazionali, i quali con regole giuridiche uniformi e comuni siano idonei ad assicurare un elevato grado di protezione, quanto meno equiparabile a quello assicurato dalla normativa europea di riferimento, fungendo in tal modo come una legittima base giuridica per il trattamento dei dati personali in ambito extra europeo.

Ulteriore controversia giuridica si origina in merito alla previsione legislativa riguardante la durata legittima del periodo di conservazione delle informazione relative ai dati personali, acquisite al fine della lotta dei summenzionati crimini. Partendo da un punto di analisi della normativa estremamente specifico si evidenziano con chiaro favore le indicazioni normative, ex art. 5 comma 1 lett. e GDPR[26], secondo cui il periodo di conservazione delle suddette informazioni non deve essere superiore ai tempi strettamente necessari al conseguimento delle finalità perseguite dal trattamento, decorrenti dalla conclusione del rapporto o dall’esecuzione della prestazione occasionale e ancor più garantista è la previsione secondo la quale i soggetti obbligati sono tenuti alla cancellazione automatica di tali informazione alla scadenza del termine prefissato. Orbene, la presente disciplina appare in teoria legittima, se non fosse per l’ulteriore previsione, secondo la quale ciascuno Stato membro dell’Unione Europea ha la facoltà, laddove considerato estremamente necessario, di autorizzare la conservazione delle suddette informazioni per un’ulteriore periodo di tempo, senza che però vi siano significative indicazioni circa criteri e linee guida per la determinazione di tale periodo. Di conseguenza, appare legittimo affermare che anche la presente controversia giuridica ha consuetamente origine dall’eccessivo margine di discrezionalità riservato ai singoli Stati, i quali possono determinare arbitrariamente i periodi di conservazione dei dati personali trattati. Sicché, è costante la necessitò di un urgente intervento normativo per far luce sulla presente problematica, mediante la determinazione di criteri dirimenti in materia, al fine di individuare il giusto periodo di conservazione per ogni singola fattispecie, nonché i casi di estrema necessità, che possono rendere legittima la conservazione dei dati personali un ulteriore periodo di tempo, garanzie processuali ed infine, la tipologia di dati che possono essere oggetto di un ulteriore conservazione dopo lo spirare del termine prefissato dalla normativa[27].

Infine, ultima questione controversa da dover analizzare riguarda la legittimità della pubblicazione di sanzioni amministrative, contenti informazioni idonee ad identificare la persona interessata dal trattamento dei dati personali, nonché la natura della violazione fonte della sanzione, dal momento che è agevole intuire che una simile fattispecie rende pregiudizievole la tutela dei dati personali dell’interessato. Purtroppo, anche in questo caso, per sua intrinseca importanza, non può si prescindere dall’intervento del legislatore europeo, il quale dovrebbe essere volto alla creazione di un sistema, all’interno del quale la pubblicazione automatica della sentenza amministrativa di condanna non rappresenti la regola da dover seguire in tutte le ipotesi, ma, al contrario, rappresenti un’eccezione, soltanto laddove indispensabile, intanto, fino ad allora sarebbe più opportuno per il soggetto obbligato valutare l’esistenza di  misure alternative, che permettano di raggiungere lo stesso fine con un sacrificio minore del diritto alla privacy e alla protezione dei dati personali, ritenuto anche in questo caso  l’interesse predominante.

Conclusioni

Nell’attuale fase storica è quasi un luogo comune affermare che la privacy si configura come un diritto fondamentale, centrale per la continuità di una società democratica e ciò determina, inevitabilmente, che le sue limitazioni devono avvenire in circostanze estremamente specifiche e devono essere assistite da idonee garanzie. In particolare, le limitazioni di codesto diritto sono considerate legittime e non eccessive, laddove:

  • Vi sia una base legislativa precisa e specifica, che possa guidare gli Stati membri nell’attuazione delle proprie politiche di tutela della privacy e del trattamento dei dati personali;
  • Vi sia la necessità di una simile limitazione al fine di perseguire uno scopo legittimo, considerato anch’esso di interesse generale;
  • Via sia la sicurezza che una tale limitazione avvenga secondo corretti parametri di proporzionalità, rispetto allo scopo perseguito;
  • Vi sia l’estrema necessità ed urgenza per il legittimo mantenimento di una società democratica. [28]

Dunque, ad oggi occorre evidenziare che il fatidico bilanciamento tra la tutela della privacy, la tutela del mercato interno e la tutela della sicurezza pubblica è stato effettuato, fino al presente momento, nel silenzio del legislatore, dalle Autorità e Giudici europei, secondo i quali le limitazioni al diritto della tutela dei dati personali devono avvenire esclusivamente per realizzare l’attuazione di interessi superiori e generali di sicurezza, ma è necessario che siano corredate da un adeguato giudizio circa la loro necessarietà e proporzionalità.

Ciò premesso, appare evidente che le summenzionate lacune normativa sono ben note al legislatore europeo, stante le varie raccomandazioni e pronunce del Garante Europeo per la protezione dei dati personali e le numerose sentenze dei Giudici europei, sicché appare agevole dedurre che le medesime non sono state ancora colmate per una precisa scelta di politica legislativa, adottata dai vertici europei, la quale appare mirata a favorire una maggiore responsabilizzazione dei singoli Stati membri, mediante il riconoscimento di un’importante (e forse eccessivo) potere discrezionale. Tuttavia, sulla scorta delle pronunce giurisprudenziali, è di recente intervenuta la Commissione Europea con una sua Comunicazione, mediante la quale è stata riconosciuta l’urgente necessità di un mirato intervento normativo nella presente materia, al fine di migliorare, attraverso un attività di “enforcement”, il quadro delle norme volto al contrasto del riciclaggio di denaro e del finanziamento del terrorismo e, al contempo, di affrontare le gravi carenze che presenta l’applicazione della normativa, anche (ma non soltanto) in relazione alla questione privacy[29].

Una possibile soluzione, volta all’attenuazione della presente situazione conflittuale, può essere individuata nell’utilizzo, da parte dei soggetti obbligati, delle c.d. Privacy Enhancing Technology (PETs), le quali si configurano come un insieme di tecnologie, metodologie e pratiche, dirette alla riduzione dei rischi connessi alla gestione dei dati personali, durante tutto il ciclo della loro vita, senza però compromettere l’attendibilità e la veridicità dei dati sottostanti. Invero, principio cardine, che governa codesto sistema di nuove tecnologie è il c.d. “principio di minimizzazione” dei dati, il quale si fonda sul postulato, secondo cui il titolare del trattamento dei dati personali deve trattare solo i dati, di cui ha realmente bisogno per realizzare le finalità del trattamento, eliminando così dall’operazione i dati considerati superflui e, lo stesso, in fase di attuazione, si delinea nei seguenti profili: l’adeguatezza dei dati raccolti, per cui i dati raccolti devono essere adeguati a realizzare le finalità del trattamento; la pertinenza dei dati rispetto al fine perseguito, che permette di scindere e utilizzare solo i dati utili al raggiungimento del fine prefissato; ed infine, la limitazione del trattamento, il quale deve essere mirato a realizzare esclusivamente il fine espressamente previsto dalla normativa di riferimento. Naturalmente, è chiaro che codesto principio, per avere effettiva utilità pratica, deve essere accompagnato da concrete misure di tutela e tra le più importanti, appare necessario ricordare:

  • La Pseudonimizzazione dei dati personali, tecnica grazie alla quale si assicura la conservazione dei dati personali in una forma che impedisca l’identificazione del soggetto, a cui esse si riferiscono e dunque, nello specifico si provvede a mascherare i dati di una persona affinché i medesimi siano non facilmente o direttamente riconducibili al soggetto interessato, senza l’utilizzo di informazioni aggiuntive. Nondimeno, va evidenziato che non si tratta di una tecnica infallibile, in quanto eventuali hacker potrebbero tentare di identificare la chiave per decifrare i dati, mediante l’utilizzo di un algoritmo, che teoricamente prova tutte le possibili soluzioni, fino ad individuare quella idonea a decriptare il contenuto del sistema.
  • L’anonimizzazione dei dati, è una tecnica che consiste nella sottrazione di un elemento identificativo primario del dato, così da renderlo “anonimo” e non attribuibile in alcun modo al soggetto interessato. Infatti, laddove tale operazione è eseguita correttamente, dovrebbe essere impossibile invertire il processo, che risulta quindi irreversibile. L’anonimizzazione è uno degli strumenti più preziosi nella lotta alle fattispecie criminose oggetto del presente esame, in quanto consente la condivisione di set di dati tra i soggetti obbligati, garantendo sia la privacy delle persone fisiche sia la possibilità di sfruttare il predetto set di dati per analisi e indagini.
  • La Privacy by design riguarda il principio di incorporazione della normativa sulla privacy fin dal momento della progettazione del sistema di tutela di una determinata realtà aziendale, facente capo al titolare del trattamento, grazie al quale è possibile dare attuazione a preventive misure di sicurezza, al fine di garantire a priori il trattamento dei soli dati necessari al raggiungimento del fine prefissato. Dunque, tale sistema rappresenta il futuro della regolamentazione della privacy, dal momento che valuta tutti i potenziali rischi relativi alla tutela della persona fisica nella fase primordiale dell’organizzazione, con lo scopo di prevenire e non correggere potenziali violazioni della normativa europea di riferimento.
  • La Privacy by default si configura come una tecnica di protezione dei dati personali per impostazione predefinita, grazie alla quale il titolare del trattamento dei dati personali è tenuto a trattare i medesimi dati solo nella misura strettamente necessaria e sufficiente per realizzare le finalità perseguite e per il periodo necessario, individuato ex ante. L’intento del legislatore europeo si concentra nella prevenzione di potenziali rischi, per evitare la raccolta di dati non necessari alle finalità perseguite dal titolare del trattamento; e dunque, mediante tale tecnica, si vuole garantire che i dati personali siano resi accessibili ad un numero definito e preciso di soggetti e che gli interessati sappiano sempre per quali finalità vengono raccolti e trattati i propri dati personali.

Peraltro, quando il trattamento, nonostante l’utilizzo delle summenzionate nuove tecnologie, può determinare l’insorgenza di un rischio elevato per i diritti e le libertà della persona interessata, è compito del titolare, prima dell’inizio del medesimo, procedere, ex art. 35 comma 1 GDPR [30], ad un “Privacy impact assessment” (c.d. PIA), ossia una valutazione dell’impatto del trattamento sulla protezione dei dati personali, il cui contenuto è disciplinato ex art. 35 par. 7 GDPR [31]. Nella circostanza in cui la suddetta valutazione rilevi “alti rischi”, dovuti all’assenza di misure di sicurezza adeguate alla correttezza e alla liceità del trattamento, il titolare è tenuto alla consultazione preventiva dell’autorità di controllo, per ottenere dalla stessa un parere scritto, in merito alle misure da dover adottare per poter procedere al trattamento, entro otto settimane dal ricevimento della richiesta [32].

In conclusione, l’utilizzo di codeste tecnologie PETs può essere utile a diminuire le numerose potenziali interferenze tra le varie normative di riferimento, con la conseguenza di garantire una concreta effettività alla tutela dei dati personali, contribuendo in maniera determinante al suddetto necessario bilanciamento, in quanto tali strumenti e tecnologie consentono agli attori del sistema finanziario europeo di poter collaborare nei processi di business critical e allo stesso tempo, di poter rispettare la normativa relativa alla protezione dei dati personali, fissata dal legislatore europeo, mediante un’analisi avanzata su set di dati combinati o crittografati, salvaguardando così la privacy delle singole persone fisiche interessate, ma contribuendo parallelamente a perseguire crimini come il riciclaggio di denaro e il finanziamento del terrorismo, i quali sono potenzialmente in grado di mettere in pericolo la sicurezza pubblica e di conseguenza, anche il mercato interno.

Dunque, alla luce delle suddette osservazioni, al fine di garantire un’adeguata tutela della privacy e dei dati personali sarebbe, dunque, opportuno non percepire l’attuale sistema di tutela della privacy come un ostacolo, quanto più come un requisito, necessario a realizzare adeguatamente le garanzie di protezione e al contempo, si auspica un intervento risolutore del legislatore europeo nel prossimo futuro, al fine dell’individuazione di una reale conciliazione tra i due diritti egualmente fondamentali,  oggetto del presente elaborato, per imporre certezza nelle suddette materie, siccome vi è la necessità che i requisiti di protezione dei dati personali vadano di pari passo con la prevenzione del riciclaggio e del finanziamento del terrorismo.

Volume consigliato

Privacy e GDPR: Manuale applicativo con esempi e casistiche settoriali

Privacy e GDPR: Manuale applicativo con esempi e casistiche settoriali

Monica Mandico, 2019, Maggioli Editore

Il volume si distingue per il suo carattere multidisciplinare ponendosi quale strumento pratico e immediato per rispondere in modo corretto alle finalità della legge.Per ogni tipologia di attività, dalla sanità, alle assicurazioni, dalle banche, alle PMI fino ad...



 

Bibliografia

  • Baldini V., “Che cos’è un diritto fondamentale. La classificazione dei diritti fondamentali. Profili storico-teorico-positivi”, in it, 2016
  • Borlini L., “ Tutela della privacy e protezione dei dati personali a fronte della sicurezza pubblica e dell’integrità del sistema finanziario europeo”, in IL MULINO web, 2017
  • Communication of European Commission on a “Action plan for a comprehensive Union policy on preventing money laundering and terrorist financing”, 05.07.2020
  • European Data Protection Supervisor, Brussels, 04.07.2013
  • Frequently Asked Questions on the judgement of the Court of Justice of the European Union in Case C-311/18 – Data Protection Commission vs Facebook Ireland Ltd and Maximillian Schrems, 23.07.2020
  • Focarelli C., “La privacy. Proteggere i dati personali oggi”, Bologna, 2015
  • Ibba F.G., “Brevi riflessioni sul rapporto tra privacy, trasparenza amministrativa e accountability alla luce del GDPR”, in camminodiritto.it, 2018
  • Mitsilegas V., Vavoula N., “The evolving EU Anti-Money Laundering Regime. Challenges for Fundamental Right and Rule of Law”, in Maastricht Journal of European & Comparative Law, 2016

[1] C. Focarelli, “La Privacy. Proteggere i dati personali oggi”, Bologna, 2015, p. 36. Nell’analisi del presente scritto è opportuno avere presente le parole del presente autore, secondo il quale : << La protezione dei dati personali non coincide con il diritto alla privacy, anche se indubbiamente vi sono delle intersezioni. Da un lato, la privacy è un concetto più ampio, perché riguarda anche ma non solo, i dati personali. Dall’altro, la protezione dei dati personali è più ampia perché i dati sono protetti anche quando non violano la privacy >>.

[2] Art. 4 comma 1, Regolamento UE n. 2016/679, << Ai fini del presente regolamento s’intende per “dato personale” qualsiasi informazione riguardante una persona fisica identificata o identificabile («interessato»); si considera identificabile la persona fisica che può essere identificata, direttamente o indirettamente, con particolare riferimento a un identificativo come il nome, un numero di identificazione, dati relativi all’ubicazione, un identificativo online o a uno o più elementi caratteristici della sua identità fisica, fisiologica, genetica, psichica, economica, culturale o sociale >>.

[3] Art. 4 comma 2, Regolamento UE 2016/679, << Ai fini del presente regolamento s’intende per “trattamento” qualsiasi operazione o insieme di operazioni, compiute con o senza l’ausilio di processi automatizzati e applicate a dati personali o insiemi di dati personali, come la raccolta, la registrazione, l’organizzazione, la strutturazione, la conservazione, l’adattamento o la modifica, l’estrazione, la consultazione, l’uso, la comunicazione mediante trasmissione, diffusione o qualsiasi altra forma di messa a disposizione, il raffronto o l’interconnessione, la limitazione, la cancellazione o la distruzione >>.

[4] V. Baldini, “Che cos’è un diritto fondamentale. La classificazione dei diritti fondamentali. Profili storico- teorico- positivi”, in dirittifondamentali.it, 2016, fasc.1, p. 1. Secondo il pensiero dell’autore : << Tali diritti configurano in Costituzione la più alta forma di garanzia giuridica a presidio delle sfere di libertà fondamentali o delle pretese a prestazioni sociali connesse al pieno sviluppo della persona, nonché di interessi anche collettivi ritenuti meritevoli di copertura costituzionale. Ma, oltre questo comune denominatore, i diritti in questione si sviluppano nel contesto di un’ esperienza variegata, caratterizzata, in ogni caso, da un dinamismo creativo che implica un continuo adeguamento e ricomposizione del sistema dei diritti fondamentali. Tale dinamismo appare supportato, in primo luogo, dal contributo del giudice costituzionale nazionale, inoltre, dagli orientamenti dei giudici europei (Corte di Strasburgo e Corte UE) nell’esegesi delle rispettive Carte dei diritti, a cui l’ ordinamento è tenuto a prestare osservanza; infine, dagli esiti del dialogo costituzionale transnazionale che al livello di Stati europei coinvolge, oltre che i legislatori nazionali, soprattutto le Corti costituzionali e i giudici di merito >>.

Dunque, in linea teorica e generale possono essere identificati come “diritti fondamentali” tutti quei diritti soggettivi che spettano universalmente a tutti gli esseri umani, in quanto dotati dello status di personae o di cittadini o di persone capaci di agire.

[5] L. Borlini, “Tutela della privacy e protezione dei dati personali a fronte della sicurezza pubblica e dell’integrità del sistema finanziario europeo”, in IL Mulino – Rivisteweb, 2017, p. 23

[6] FATF, acronimo di “Financial Action Task Force”, si configura come un’organizzazione intergovernativa, costituita tra i paesi partecipanti al G7, volta a sviluppare strategie di lotta al riciclaggio di denaro e al finanziamento del terrorismo.

[7] Considerando n. 75 GDPR : << I rischi per i diritti e le libertà delle persone fisiche, aventi probabilità e gravità diverse, possono derivare da trattamenti di dati personali suscettibili di cagionare un danno fisico, materiale o immateriale, in particolare: se il trattamento può comportare discriminazioni, furto o usurpazione d’identità, perdite finanziarie, pregiudizio alla reputazione, perdita di riservatezza dei dati personali protetti da segreto professionale, decifratura non autorizzata della pseudonimizzazione, o qualsiasi altro danno economico o sociale significativo; se gli interessati rischiano di essere privati dei loro diritti e delle loro libertà o venga loro impedito l’esercizio del controllo sui dati personali che li riguardano; se sono trattati dati personali che rivelano l’origine razziale o etnica, le opinioni politiche, le convinzioni religiose o filosofiche, l’appartenenza sindacale, nonché dati genetici, dati relativi alla salute o i dati relativi alla vita sessuale o a condanne penali e a reati o alle relative misure di sicurezza; in caso di valutazione di aspetti personali, in particolare mediante l’analisi o la previsione di aspetti riguardanti il rendimento professionale, la situazione economica, la salute, le preferenze o gli interessi personali, l’affidabilità o il comportamento, l’ubicazione o gli spostamenti, al fine di creare o utilizzare profili personali; se sono trattati dati personali di persone fisiche vulnerabili, in particolare minori; se il trattamento riguarda una notevole quantità di dati personali e un vasto numero di interessati >>.

[8] Considerando n. 76 GDPR : << La probabilità e la gravità del rischio per i diritti e le libertà dell’interessato dovrebbero essere determinate con riguardo alla natura, all’ambito di applicazione, al contesto e alle finalità del trattamento. Il rischio dovrebbe essere considerato in base a una valutazione oggettiva mediante cui si stabilisce se i trattamenti di dati comportano un rischio o un rischio elevato >>.

[9] F.G. Ibba, “Brevi riflessioni sul rapporto tra privacy, trasparenza amministrativa e accountability alla luce del GDPR”, in rivista.camminodiritto.it, 2018. Secondo l’autore, << l’Accountability viene considerata come un deus ex machina, ossia una forza superiore, finora quasi estranea, in grado di risolvere le cose. […] Questa espressione di un’etica della responsabilità dei titolari del trattamento rappresenta la chiave di volta per un mondo nuovo, in cui la protezione di dati personali viene percepita dall’interessato e dal soggetto obbligato come valore condiviso >>.

[10] Art. 43 direttiva UE n. 849/2015  << Il trattamento dei dati personali, effettuato sulla base della presente direttiva, ai fini della prevenzione del riciclaggio e del finanziamento del terrorismo, di cui all’art.1, è considerato di interesse pubblico, ai sensi del regolamento europeo 2016/679 >>.

[11] Sono considerati “dati sensibili” quelli idonei a rivelare delicate informazioni inerenti la persona dell’interessato, che potrebbero dar luogo a discriminazioni ingiustificate, quali: l’origine razziale o etnica, opinioni politiche, credi filosofici o religiosi, associazione a sindacati, dati genetici, dati biometrici, oppure, dati che riguardano la salute, la vita sessuale o l’orientamento sessuale del soggetto.

[12] Art. 9 comma 1 GDPR  << 1. È vietato trattare dati personali che rivelino l’origine razziale o etnica, le opinioni politiche, le convinzioni religiose o filosofiche, o l’appartenenza sindacale, nonché trattare dati genetici, dati biometrici intesi a identificare in modo univoco una persona fisica, dati relativi alla salute o alla vita sessuale o all’orientamento sessuale della persona >>.

[13] European Data Protection Supervisor, Brussels, 04/07/2013, p. 17 e ss.

[14] Per UIF si intende “L’Unità di informazione finanziaria per l’Italia”, la quale si configura come un’autorità indipendente italiana, con funzioni di contrasto al riciclaggio di denaro e al finanziamento del terrorismo. È stata istituita con D. Lgs. 231/2007 ed opera in regime di autonomia operativa e gestionale presso la Banca d’Italia.

[15] Art. 15 GDPR, rubricato “Diritto di accesso dell’interessato” dispone espressamente: <<L’interessato ha il diritto di ottenere dal titolare del trattamento la conferma che sia o meno in corso un trattamento di dati personali che lo riguardano e in tal caso, di ottenere l’accesso ai dati personali e alle seguenti informazioni: a) le finalità del trattamento; b) le categorie di dati personali in questione; c) i destinatari o le categorie di destinatari a cui i dati personali sono stati o saranno comunicati, in particolare se destinatari di paesi terzi o organizzazioni internazionali; d) quando possibile, il periodo di conservazione dei dati personali previsto oppure, se non è possibile, i criteri utilizzati per determinare tale periodo; e) l’esistenza del diritto dell’interessato di chiedere al titolare del trattamento la rettifica o la cancellazione dei dati personali o la limitazione del trattamento dei dati personali che lo riguardano o di opporsi al loro trattamento; f) il diritto di proporre reclamo a un’autorità di controllo; g) qualora i dati non siano raccolti presso l’interessato, tutte le informazioni disponibili sulla loro origine; h) l’esistenza di un processo decisionale automatizzato, compresa la profilazione di cui all’articolo 22, paragrafi 1 e 4, e, almeno in tali casi, informazioni significative sulla logica utilizzata, nonché l’importanza e le conseguenze previste di tale trattamento per l’interessato >> .

[16] European Data Protection Supervisor, cit. p. 38 ss.

[17] Art. 2 comma 2  GDPR << Il presente regolamento non si applica ai trattamenti di dati personali: a) effettuati per attività che non rientrano nell’ambito di applicazione del diritto dell’Unione; b) effettuati dagli Stati membri nell’esercizio di attività che rientrano nell’ambito di applicazione del titolo V, capo 2, TUE; c) effettuati da una persona fisica per l’esercizio di attività  a carattere esclusivamente personale o domestico; d) effettuati dalle autorità competenti ai fini di prevenzione, indagine, accertamento o perseguimento di reati o esecuzione di sanzioni penali, inclusa la salvaguardia contro minacce alla sicurezza pubblica e la prevenzione delle stesse >>.

[18] In questo senso, V. Mitsilegas, N. Vavoula, “The evolving EU Anti-Money Laundering Regime. Challenges for Fundamental Right and Rule of Law”, in Maastricht Journal of European & Comparative Law, 2016, p. 291

[19] Communication of European Commission on an “Action Plan for a comprehensive Union policy on preventing money laundering and terrorist financing”, 05.07.2020, p. 7

[20] L. Borlini, “Tutela della privacy e protezione dei dati personali a fronte della sicurezza pubblica e dell’integrità de sistema finanziario europeo”, cit. p. 39 ss.

[21] European Data Protection Supervisor, cit. p . 19 ss.

[22] Art. 45 comma 1 GDPR  <<Il trasferimento di dati personali verso un paese terzo o un’organizzazione internazionale è ammesso se la Commissione ha deciso che il paese terzo, un territorio o uno o più settori specifici all’interno del paese terzo, o l’organizzazione internazionale in questione garantiscono un livello di protezione adeguato. In tal caso il trasferimento non necessita di autorizzazioni specifiche >>.

[23] Art. 44 GDPR << Qualunque trasferimento di dati personali oggetto di un trattamento o destinati a essere oggetto di un trattamento dopo il trasferimento verso un paese terzo o un’organizzazione internazionale, compresi trasferimenti successivi di dati personali da un paese terzo o un’organizzazione internazionale verso un altro paese terzo o un’altra organizzazione internazionale, ha luogo soltanto se il titolare del trattamento e il responsabile del trattamento rispettano le condizioni di cui al presente capo, fatte salve le altre disposizioni del presente regolamento. Tutte le disposizioni del presente capo sono applicate al fine di assicurare che il livello di protezione delle persone fisiche garantito dal presente regolamento non sia pregiudicato >>.

[24] Frequently Asked Questions on the judgement of the Court of Justice of the European Union in Case C-311/18 – Data Protection Commission v Facebook Ireland Ltd and Maximillian Schrems, 23.07.2020

[25] Un tipico esempio è dato dal rapporto tra Unione Europea e Stati Uniti. Innanzitutto, va considerato il caso “Schrems”, deciso dalla Corte di giustizia dell’Unione Europea con sentenza nell’Ottobre 2015. Con tale sentenza, la Corte individua una chiaro contrasto tra il diritto europeo e il sistema “Safe Harbour”, che governava la disciplina della privacy tra i due paesi, in quanto codesto sistema è stato considerato contrario al sistema di garanzia dei diritti fondamentali proprio dell’Unione Europea ed in particolare, con gli artt. 7 e 8 della Carta di Nizza, i quali riguardano rispettivamente il rispetto della vita privata e della vita familiare e la protezione dei dati di carattere personale.

Ciò nonostante, la Corte si è limitata a dichiarare l’inadeguatezza del sistema, ma non ne ha interdetto l’efficacia.

Tuttavia, il legislatore europeo, a seguito dell’emanazione del GDPR, ha dovuto provvedere ad una modifica di tali accordi con gli Stati Uniti e si è pervenuti alla stipula di un altro sistema di condivisione dei dati, il c.d. “Privacy Shield”, anch’esso poi risultato inadeguato alla luce della sentenza della Corte di giustizia dell’Unione Europea, emanata il 16 Luglio 2020, con la quale è stata dichiarata l’invalidità del suddetto nuovo sistema, a causa di una scarsa sorveglianza degli Stati Uniti sulla disciplina di protezione dei dati personali, il che genera un inevitabile contrasto con la normativa estremamente garantista del GDPR.

[26] Art. 5 comma 1 lett. e GDPR << I dati personali sono: a) trattati in modo lecito, corretto e trasparente nei confronti dell’interessato («liceità, correttezza e trasparenza»); b) raccolti per finalità determinate, esplicite e legittime, e successivamente trattati in modo che non sia incompatibile con tali finalità; un ulteriore trattamento dei dati personali a fini di archiviazione nel pubblico interesse, di ricerca scientifica o storica o a fini statistici non è, conformemente all’articolo 89 paragrafo 1, considerato incompatibile con le finalità iniziali («limitazione della finalità»); c) adeguati, pertinenti e limitati a quanto necessario rispetto alle finalità per le quali sono trattati («minimizzazione dei dati»); d) esatti e, se necessario, aggiornati; devono essere adottate tutte le misure ragionevoli per cancellare o rettificare tempestivamente i dati inesatti rispetto alle finalità per le quali sono trattati («esattezza»); e) conservati in una forma che consenta l’identificazione degli interessati per un arco di tempo non superiore al conseguimento delle finalità per le quali sono trattati; i dati personali possono essere conservati per periodi più lunghi a condizione che siano trattati esclusivamente a fini di archiviazione nel pubblico interesse, di ricerca scientifica o storica o a fini statistici, conformemente all’articolo 89 paragrafo 1, fatta salva l’attuazione di misure tecniche e organizzative adeguate richieste dal presente regolamento a tutela dei diritti e delle libertà dell’interessato («limitazione della conservazione»); f) trattati in maniera da garantire un’adeguata sicurezza dei dati personali, compresa la protezione, mediante misure tecniche e organizzative adeguate, da trattamenti non autorizzati o illeciti e dalla perdita, dalla distruzione o dal danno accidentali («integrità e riservatezza») >> .

[27] European Data Protection Supervisor, cit. p. 14 e ss.

[28] Art. 8 CEDU << 1. Ogni persona ha diritto al rispetto della propria vita privata e familiare, del proprio domicilio e della propria corrispondenza. 2. Non può esservi ingerenza di un’autorità pubblica nell’esercizio di tale diritto, a meno che tale ingerenza sia prevista dalla legge e costituisca una misura che, in una società democratica, è necessaria alla sicurezza nazionale, alla pubblica sicurezza, al benessere economico del paese, alla difesa dell’ordine e alla prevenzione dei reati, alla protezione della salute o della morale, o alla protezione dei diritti e delle libertà altrui >>.

[29] Communication of European Commission on an “Action Plan for a comprehensive Union policy on preventing money laundering and terrorist financing”, 05.07.2020, p. 1

[30] Art. 35 comma 1 GDPR << Quando un tipo di trattamento, allorché prevede in particolare l’uso di nuove tecnologie, considerati la natura, l’oggetto, il contesto e le finalità del trattamento, può presentare un rischio elevato per i diritti e le libertà delle persone fisiche, il titolare del trattamento effettua, prima di procedere al trattamento, una valutazione dell’impatto dei trattamenti previsti sulla protezione dei dati personali. Una singola valutazione può esaminare un insieme di trattamenti simili che presentano rischi elevati analoghi >>.

[31] Art. 35 par. 7 GDPR << La valutazione contiene almeno: a) una descrizione sistematica dei trattamenti previsti e delle finalità del trattamento, compreso, ove applicabile, l’interesse legittimo perseguito dal titolare del trattamento; b) una valutazione della necessità e proporzionalità dei trattamenti in relazione alle finalità; c) una valutazione dei rischi per i diritti e le libertà degli interessati di cui al paragrafo 1; d) le misure previste per affrontare i rischi, includendo le garanzie, le misure di sicurezza e i meccanismi per garantire la protezione dei dati personali e dimostrare la conformità al presente regolamento, tenuto conto dei diritti e degli interessi legittimi degli interessati e delle altre persone in questione >>.

[32] Art. 36 comma 2 GDPR << Se ritiene che il trattamento previsto di cui al paragrafo 1 violi il presente regolamento, in particolare qualora il titolare del trattamento non abbia identificato o attenuato sufficientemente il rischio, l’autorità di controllo fornisce, entro un termine di otto settimane dal ricevimento della richiesta di consultazione, un parere scritto al titolare del trattamento e, ove applicabile, al responsabile del trattamento e può avvalersi dei poteri di cui all’art. 58. Tale periodo può essere prorogato di sei settimane, tenendo conto della complessità del trattamento previsto. L’autorità di controllo informa il titolare del trattamento e, ove applicabile, il responsabile del trattamento di tale proroga, unitamente ai motivi del ritardo, entro un mese dal ricevimento della richiesta di consultazione. La decorrenza dei termini può essere sospesa fino all’ottenimento da parte dell’autorità di controllo delle informazioni richieste ai fini della consultazione >>.

Diventa autore di Diritto.it

© RIPRODUZIONE RISERVATA


Per la tua pubblicità sui nostri Media:
maggioliadv@maggioli.it  |  www.maggioliadv.it

Gruppo Maggioli
www.maggioli.it

Ricevi tutte le novità di Diritto.it attraverso le nostre newsletter. Se sei interessato a un ambito specifico effettua l’iscrizione direttamente a questo indirizzo.

Non abbandonare Diritto.it
senza iscriverti alle newsletter!