1. Introduzione

Sin dalle origini, a fine Ottocento, la disciplina giuridica dei dati personali si è caratterizzata per un elevato grado di dinamicità: nel corso del tempo, infatti, sono cambiate le esigenze di protezione, i centri del potere legislativo e di quello economico, sono cambiati i costumi ed è cambiata la società, oggi sempre più immersa nella dimensione digitale.

Il risultato di questa evoluzione è un paesaggio normativo complesso, fatto di princìpi e regole che promanano da soggetti diversi, che rispondono a logiche diverse, anche se tra loro complementari. Prima, dunque, di passare in rassegna le fonti di questa disciplina, ripercorriamo brevemente questa linea evolutiva.

Quando, come è stato ricordato in precedenza, Samuel D. Warren e Louis Brandeis si inventarono il diritto alla privacy, inteso nel senso di right to be let alone (Warren, Brandeis 1890), avevano in mente le intrusioni nella vita privata da parte della neonata stampa scandalistica, accusata da parte loro di aver varcato i limiti della decenza e del rispetto del diritto di proprietà. Il diritto alla privacy veniva cioè coniato come ‘espansione’ del più sacro dei diritti dello stato liberale: la proprietà, appunto, non più considerata come dominio sulle cose connotate da materialità, ma estesa al diritto di impedire la divulgazione di informazioni, pensieri e sentimenti riferibili al soggetto interessato.

Oggi, se pure l’etichetta privacy sia sopravvissuta e ancora largamente impiegata anche nel comune dibattito pubblico, è rimasto ben poco del «diritto ad essere lasciati soli». Anzi, il principale campo di applicazione della normativa privacy è quello delle relazioni sociali e dei rapporti economici nello spazio digitale, nel quale l’animus dell’utente medio è non già quello di escludere qualcuno dal proprio dominio (excludendi) bensì di condividere (communicandi) informazioni, pensieri e sentimenti che lo riguardano con una platea più ampia possibile di soggetti.

Ciò si verifica sia nell’ipotesi in cui la condivisione del dato personale è lo scopo diretto dell’utente sul web, come nel caso delle piattaforme social (Instagram, X o Facebook), sia quando la condivisione è invece strumentale all’accesso ad un servizio, come nel caso dei servizi ‘gratuiti’ di cui fruiamo quotidianamente attraverso internet dando in cambio in nostri dati (dalla galassia dei servizi Google ai software Microsoft, fino ai più recenti sistemi di intelligenza artificiale generativa come Chat-GPT o Gemini). Nonostante ciò, il grado di consapevolezza dell’effetto «sorveglianza» (Zuboff 2018) che questa fruizione gratuita produce rimane molto scarso e, oggi, la privacy, intesa tradizionalmente come «riservatezza», sembra essere divenuta un problema meno percepito di un tempo.

L’evoluzione dei costumi sociali è così ‘ruotata’ intorno al concetto di privacy, che sul piano giuridico è però rimasto per lungo tempo ancorato alla cultura proprietaria che lo aveva ispirato.

Volendo scandire le tappe essenziali di questo percorso, prima di affermazione e poi di affrancamento dal modello proprietario, possiamo – sul piano del diritto internazionale ed europeo – indicare questa prima sequenza di atti: la Convenzione Europea dei Diritti dell’Uomo (del 1950), la Convenzione sulla protezione delle persone rispetto al trattamento automatizzato dei dati di carattere personale (c.d. Convenzione n. 108 del 1981), la Direttiva 95/46/CE, la Carta dei Diritti Fondamentali dell’Unione Europea (c.d. Carta di Nizza, 2001), il Reg. UE 2016/679 (il Regolamento Generale sulla Protezione dei Dati Personali; d’ora in avanti: GDPR) e, da ultimo, il corposo pacchetto di atti con i quali l’Unione Europea ha disciplinato il fenomeno digitale (a partire dal febbraio 2020).

In via di sintesi: il citato modello proprietario ha prodotto sul piano normativo l’affermazione del diritto al rispetto della vita privata e familiare, postulato in ambito convenzionale dall’art. 8 della CEDU e ribadito all’art. 7 della Carta di Nizza. A questo si è affiancato, dapprima con la Direttiva 95/46/CE, poi con l’art. 8 della Carta di Nizza, l’art. 16 del TFUE e infine con il GDPR, il paradigma del ‘controllo’ e della ‘protezione dei dati’, non più inteso in senso assolutistico quale proiezione di un diritto di proprietà, ma quale punto di caduta del bilanciamento tra l’esigenza di tutelare un diritto fondamentale della personalità e l’opposta esigenza di garantire quanto più possibile la ‘circolazione’ dei dati, personali e non personali.

E così, il GDPR ha rappresentato un compromesso tra le esigenze del mercato dei dati e quello della tutela dei diritti, delineando uno statuto giuridico dei dati personali, da una parte, strumentale alla garanzia delle libertà fondamentali dell’Unione e, dall’altra, anche funzionale al consolidamento del mercato unico.

Dopodiché, il processo non si è arrestato e il concetto giuridico di ‘dato’ ha iniziato ad essere disciplinato in un’ottica sempre più funzionale all’integrazione del mercato unico. A partire dal 2017, l’Unione Europea ha avviato un ampio processo di riforma che si è incentrato sui temi della «apertura dei dati» e del «riutilizzo delle informazioni» del settore pubblico (favorendo flussi di dati Government to Government, c.d. G2G, e Government to Business, c.d. G2B), in particolare con l’approvazione della Direttiva Open Data. Dopodiché, le tappe sono state scandite dall’approvazione, nel 2018, del Regolamento sulla circolazione dei dati non personali e poi dalla pubblicazione della Strategia europea per i dati del febbraio 2020, che ha gettato le basi, tra gli altri, per il Data Governance Act (che per primo definisce il ‘dato’ in quanto tale) e il Data Act. In particolare, l’Unione ha annunciato la creazione di spazi comuni europei di dati in alcuni settori strategici, non rinunciando ad incoraggiare lo sblocco di flussi di dati dal settore privato a quello pubblico (Business to Government, c.d. B2G) e tra privati (Business to Business, c.d. B2B, e Business to Consumer, c.d. B2C).

In definitiva, la linea tracciata descrive un processo di allontanamento dal paradigma proprietario che ha caratterizzato la prima (right to be let alone) e, in parte, la seconda stagione (protezione e controllo) della normativa privacy, per un approdo ad una terza fase regolatoria caratterizzata da un accento sul tema della ‘condivisione’, che mira a ‘liberare’ enormi quantità di dati a beneficio del mercato unico e della collettività.

2. L’ordinamento multilivello delle fonti in materia di dati personali

Come ormai avviene in molti settori dell’ordinamento, la disciplina in materia di protezione dei dati personali è distribuita su più livelli normativi: vi sono le fonti di diritto internazionale (la CEDU, la Convenzione 108 e le sentenze della Corte EDU); le fonti di diritto europeo (i Trattati, il GDPR, le sentenze della Corte di Giustizia, le Linee guida e i provvedimenti del Comitato europeo per la protezione dei dati); le fonti di diritto interno (la Costituzione, il codice privacy, alcuni atti del Garante per la protezione dei dati personali); le fonti di diritto privato (i codici di condotta, i contratti).

Tutte queste fonti – che analizzeremo separatamente nei paragrafi seguenti – concorrono tra loro, pur avendo un diverso grado gerarchico, diversi ambiti di competenza ed essendo state adottate in tempi diversi.

Per comporre a sistema, dunque, questa pluralità di fonti, occorre anzitutto saper bene governare i criteri di risoluzione delle possibili antinomie, ovvero: il criterio gerarchico, il criterio della competenza e il criterio cronologico.

Il criterio gerarchico prevede che le fonti di grado superiore prevalgano su quelle di grado inferiore. Queste ultime – se in contrasto con la fonte di grado superiore – sono affette da un vizio di validità e debbono essere disapplicate o annullate. Ad esempio, una norma del codice privacy (dunque di diritto italiano) che fosse in contrasto con il GDPR (dunque un regolamento europeo direttamente applicabile) sarebbe invalida. Il che significa che il giudice italiano dovrebbe non applicarla nel caso concreto o che la Corte costituzionale italiana, se investita della questione, dovrebbe annullarla attraverso una dichiarazione di incostituzionalità per violazione degli articoli 11 e 117 della Costituzione, che impegnano l’Italia al rispetto del diritto europeo (secondo il principio del ‘primato’ del diritto europeo, affermato a partire dalla sentenza della Corte di Giustizia nel caso 15 luglio 1964, C-6/64, e poi ancora nella sentenza, 9 marzo 1978, C-106/77).

Il criterio della competenza prevede invece che l’eventuale contrasto tra fonti – di eguale grado gerarchico – sia risolto in favore della fonte cui è attribuita la competenza per materia, mentre il criterio cronologico prevede che, in caso di contrasto tra fonti di eguale grado gerarchico ed entrambi competenti, la norma successiva abroghi la precedente, e cioè la sostituisca dal momento in cui entra in vigore.

Nelle pagine che seguiranno, dunque, tutte le fonti che saranno passate in rassegna dovranno ritenersi ‘contemporaneamente’ applicabili, ogniqualvolta non si ravvisi un’ipotesi di antinomia, che quindi dovrà essere risolta alla luce dei criteri appena indicati.

3. Il diritto internazionale: la Convenzione Europea dei Diritti dell’Uomo e la Convenzione 108

L’articolo 8 della Convenzione Europea dei Diritti dell’Uomo (CEDU) e la Convenzione 108 del Consiglio d’Europa sono due pilastri fondamentali nella tutela di diritto internazionale del diritto alla privacy e alla protezione dei dati personali. La CEDU e la Convenzione 108 sono state approvate nell’ambito del Consiglio d’Europa, una organizzazione internazionale fondata nel 1949 – che conta oggi 46 stati membri – con l’obiettivo di promuovere i diritti umani, la democrazia e lo stato di diritto. In particolare, dal punto di vista giuridico, la CEDU, adottata nel 1950, è un trattato internazionale che garantisce una serie di diritti e libertà fondamentali agli individui e che ha istituito un giudice appositamente dedicato: la Corte Europea dei Diritti dell’Uomo.

La Convenzione 108, adottata nel 1981, è stata invece il primo trattato internazionale vincolante dedicato esclusivamente alla protezione dei dati personali e alla privacy. Con il protocollo di modifica adottato nel 2018, noto come Convenzione 108 plus, sono state ampliate e rafforzate le misure di protezione al fine di raccogliere le nuove sfide poste dalla digitalizzazione e dalla globalizzazione.

In Italia, entrambe queste convenzioni hanno un valore normativo rilevante. La CEDU, ratificata dall’Italia con la legge n. 848 del 1955, è applicabile e vincolante per il nostro ordinamento (Corte cost. 24 ottobre 2007, nn. 348 e 349). La Convenzione 108 è stata ratificata dall’Italia nel 1985, nella sua versione originaria, e nel 2021, nella sua versione aggiornata.

Entrando nel merito dei due testi normativi, vediamo che l’articolo 8 della CEDU stabilisce il diritto al rispetto della vita privata e familiare, del domicilio e della corrispondenza, tutelando la sfera privata delle persone da ingerenze arbitrarie da parte dello Stato (le uniche giustificazioni ammesse di tali ‘interferenze’ sono relative alla sicurezza nazionale, alla pubblica sicurezza, al benessere economico del paese, alla difesa dell’ordine e alla prevenzione dei reati, alla protezione della salute o della morale, o alla protezione dei diritti e delle libertà altrui). La Corte Europea dei Diritti dell’Uomo ha sviluppato nel corso degli anni un’ampia giurisprudenza sull’applicazione dell’articolo 8, chiarendo che qualsiasi interferenza nella vita privata e familiare deve essere giustificata, proporzionata e basata su una norma chiara e anteriormente conoscibile.

La Convenzione 108 integra la disciplina di principio contenuta nella CEDU, dettagliando maggiormente quali debbono essere gli obblighi degli stati aderenti in tema di protezione delle persone rispetto al trattamento automatizzato dei dati personali. In particolare, si prevede: i) che sia assicurata la trasparenza nelle modalità di trattamento dei dati e la qualità del dato e siano garantiti i diritti degli individui, come il diritto di rettifica; ii) che siano previste rigorose misure di sicurezza per proteggere i dati personali da accessi abusivi non autorizzati; iii) che sia assicurata la collaborazione tra le autorità di protezione dei dati dei vari paesi per affrontare le violazioni transfrontaliere.

4. Il diritto europeo

5. Il diritto costituzionale italiano

6. Il Codice in materia di protezione dei dati personali

Il codice in materia di protezione dei dati personali, noto come codice privacy (d.lgs. n. 196/2003 che ha abrogato la precedente disciplina rappresentata dalla l. 675/1996), ha rappresentato per anni il principale riferimento per la protezione dei dati personali in Italia.

Con l’entrata in vigore del GDPR nel 2018, il Codice Privacy è stato significativamente novellato ad opera del d.lgs. n. 101/2018 che ne ha abrogato molte disposizioni, in virtù della attrazione della disciplina al livello regolamentare europeo, apportando altresì molte modifiche e integrazioni alle disposizioni residue.

Il Codice Privacy italiano è dunque una fonte gerarchicamente inferiore al GDPR e contiene solamente una disciplina di carattere attuativo (per le materie nelle quali il legislatore europeo non può intervenire, come le sanzioni penali) e integrativo (per previsioni di dettaglio che lo stesso GDPR ha rimesso alla legislazione degli stati membri).

Essenzialmente, oggi il Codice Privacy fornisce: 1) i principi relativi al trattamento dei dati in situazioni specifiche (come quelli relativi al perseguimento di un compito di interesse pubblico o quelli relativi ai minori, alla sanità e alla giustizia); 2) la disciplina dei trattamenti in ambito pubblico, con particolare riferimento alle strutture socio-sanitarie, all’istruzione, alla ricerca, al lavoro e ai servizi di comunicazione elettronica; 3) la disciplina della composizione, del funzionamento e dei poteri del Garante per la protezione dei dati personali e degli strumenti di tutela amministrativa e giurisdizionale a disposizione dei soggetti interessati; 4) la disciplina del sistema sanzionatorio, amministrativo e penale.

7. La co-regolazione pubblico-privata: codici di condotta, certificazioni e Binding Corporate Rules

Uno degli aspetti più significativi del GDPR, di particolare interesse per quanto attiene al sistema delle fonti analizzato in questo capitolo, è l’approccio di forte incoraggiamento verso forme di co-regolazione pubblico-privata, nelle quali gli attori privati contribuiscono alla individuazione di regole e prassi conformi alle norme di protezione dei dati. Tale approccio si manifesta attraverso diversi strumenti, tra cui codici di condotta, certificazioni, Binding Corporate Rules (BCR), tutti orientati a fornire pratiche settoriali specifiche, aumentare la trasparenza e facilitare la compliance al Regolamento.

Analizziamoli singolarmente. I codici di condotta, ai sensi dell’art. 40 del GDPR, sono strumenti di autoregolamentazione che le associazioni e altri organismi rappresentativi possono sviluppare per facilitare l’applicazione del GDPR in contesti specifici. Il processo di adozione di un codice di condotta prevede che il testo sia sottoposto all’autorità di controllo nazionale competente per la revisione e l’approvazione. Una volta approvato, il codice viene pubblicato e ulteriori organizzazioni di settore possono aderirvi volontariamente. I soggetti promotori del codice di condotta devono altresì istituire organismi di monitoraggio, che debbono essere accreditati dall’autorità di controllo, per verificare il livello di adesione al codice e per gestire eventuali violazioni.

Le certificazioni sono invece strumenti che attestano la conformità di un’organizzazione alle norme del GDPR. L’art. 42 del GDPR incoraggia la creazione di meccanismi di certificazione, sigilli e marchi per dimostrare che i trattamenti di dati personali da parte di titolari e responsabili del trattamento sono conformi al regolamento. Tali certificazioni sono rilasciate da organismi accreditati deputati alla redazione di norme tecniche (standard). Ad esempio, una delle principali certificazioni è la ISO 27001 (rilasciata dalla International Organization for Standardization), che rappresenta lo standard internazionale che descrive le best practices per un sistema di gestione della sicurezza delle informazioni (SGSI).

Le Binding Corporate Rules (BCR) sono uno strumento volto a consentire il trasferimento di dati personali dal territorio dello Stato verso Paesi terzi (extra-UE) tra società facenti parti dello stesso gruppo d’impresa. Ai sensi dell’art. 47 del GDPR, le BCR si concretizzano in una serie di regole, di natura contrattuale, che fissano i principi vincolanti al cui rispetto sono tenute tutte le società appartenenti ad uno stesso gruppo, allo scopo di semplificare gli oneri amministrativi a carico delle società multinazionali con riferimento ai flussi infra-gruppo di dati personali (art. 47 GDPR).

Sempre al fine di agevolare la compliance al GDPR, le BCR sono sottoposte alla revisione dell’autorità di controllo nazionale competente, che può coinvolgere anche altre autorità di controllo europee. Una volta approvate, le BCR sono applicate in tutte le entità del gruppo e il loro rispetto deve essere costantemente monitorato attraverso meccanismi di sorveglianza. Molte grandi aziende tecnologiche, come Google e Microsoft, hanno adottato BCR per gestire i trasferimenti di dati personali tra le loro filiali globali.

Riferimenti bibliografici

Bradford, Anu. 2020. The Brussels Effect: How the European Union Rules the World. Oxford: Oxford University Press.

Colapietro, Carlo, e Antonio Iannuzzi. 2017. “I principi generali del trattamento dei dati personali e i diritti dell’interessato.” In C.C. Licia Califano (a cura di), Innovazione tecnologica e valore della persona. Il diritto alla protezione dei dati personali nel Regolamento UE 2016/679, 85-136. Napoli: Editoriale scientifica.

Rodotà, Stefano. 1973. Elaboratori elettronici e controllo. Bologna: Il Mulino.

Ryngaert, Cedric, e Mistale Taylor. 2020. “The GDPR as Global Data Protection Regulation?.” AJIL Unbound 114: 5-9.

Warren, Samuel D., e Louis D. Brandeis. 1890. “The Right to Privacy.” Harvard Law Review 4, 5: 193-200.

Zuboff, Shoshana. 2019. The Age of Surveillance Capitalism: The Fight for a Human Future at the New Frontier of Power. New York: Public Affairs.

Elia Cremona, University of Siena, Italy, elia.cremona@unisi.it, 0000-0001-9336-218X

Referee List (DOI 10.36253/fup_referee_list)

FUP Best Practice in Scholarly Publishing (DOI 10.36253/fup_best_practice)

Elia Cremona, Le fonti, © Author(s), CC BY-SA 4.0, DOI 10.36253/979-12-215-0796-6.04, in Chiara Angiolini, Antonello Iuliani (edited by), Manuale sulla protezione e circolazione dei dati personali, pp. -33, 2025, published by Firenze University Press and USiena PRESS, ISBN 979-12-215-0796-6, DOI 10.36253/979-12-215-0796-6

1. I dati personali

I dati personali sono definiti dall’art. 4, par. 1, n. 1 del Reg. UE 2016/679 (d’ora in avanti: GDPR) come «informazion[i] riguardant[i] una persona fisica identificata o identificabile “interessato”».

L’analisi della definizione si può scomporre in due parti, la prima, oggettiva, relativa alla nozione di ‘informazione’ e la seconda relativa al versante soggettivo e dunque al legame fra i dati e la persona che è descritta da tali dati.

Con riguardo alla nozione di informazione, in linea generale questa può indicare un processo, così come il suo risultato. Nel linguaggio normativo del GDPR la nozione di dati personali si basa prevalentemente sulla seconda accezione. Infatti, gli artt. 15 e 20 GDPR fanno riferimento al formato dei dati e il GDPR ne regola la conservazione, la cancellazione (art. 17), la richiesta di copia (art 15).

Questa impostazione, che guarda ai dati come risultati, rende possibile scinderli dall’interessato e da chi li ha raccolti e dunque dare loro un connotato di oggettività.

Considerare i dati come oggetti permette anche di dar conto di quelle ipotesi, sempre più frequenti, in cui i dati personali descrivono dei comportamenti che non riguardano un solo soggetto e delle relazioni, ma una collettività. Si pensi ad esempio alle informazioni circa l’età e il nome delle persone che hanno visualizzato un post di un utente di Instagram, ai dati relativi all’esistenza di un contratto fra due parti, o alle annotazioni di un esaminatore relative a una prova d’esame, personali sia rispetto al valutatore che al candidato (quest’ultima ipotesi è tratta da: CGUE, 20 dicembre 2017, C-434/16).

Sul piano normativo la definizione di dati personali crea un legame persistente fra tali dati e l’interessato. I profili più rilevanti sono due.

In primo luogo, la posizione dell’interessato non è tutelata soltanto perché i dati lo riguardano, per così dire, originariamente, ma anche in quanto sono utilizzati riferendoli a questi. A tal proposito il Gruppo di Lavoro Art. 29 ha affermato che se un impiego dei dati può avere un impatto sui diritti e gli interessi dell’interessato, questi sono da ritenere personali (Gruppo di Lavoro Art. 29, Parere 4/2007 sul concetto di dati personali).

A contrario, i dati c.d. «fittizi», utilizzati ad esempio come strumento per test informatici o a fini di ricerca, non sono dati personali, in quanto non descrivono una persona fisica identificata o identificabile ma una persona che non esiste (così CGUE, 5 dicembre 2023, C-683/21, § 55).

In secondo luogo, la connessione fra persona interessata e dati personali creata a livello normativo è resa particolarmente forte grazie al riferimento nella definizione giuridica di dati personali, non soltanto a una persona identificata, ma anche identificabile. La nozione di identificabilità assume sicura importanza nei contesti di trattamento massivo dei dati. Sul punto, il considerando 26 GDPR recita:

Per stabilire l’identificabilità di una persona è opportuno considerare tutti i mezzi, come l’individuazione, di cui il titolare del trattamento o un terzo può ragionevolmente avvalersi per identificare detta persona fisica direttamente o indirettamente. Per accertare la ragionevole probabilità di utilizzo dei mezzi per identificare la persona fisica, si dovrebbe prendere in considerazione l’insieme dei fattori obiettivi, tra cui i costi e il tempo necessario per l’identificazione, tenendo conto sia delle tecnologie disponibili al momento del trattamento, sia degli sviluppi tecnologici.

È di particolare interesse qui il caso Breyer, nel quale la Corte di Giustizia dell’Unione Europea ha affermato che ai fini della qualificazione di un dato come personale non è necessario che tutte le informazioni che consentono di identificare la persona interessata «debbano essere in possesso di una sola persona» (CGUE, 19 ottobre 2016, C-582/14, §§ 43 ss.; si veda anche: CGUE, 9 novembre 2023, C-319/2022). Di recente la Corte di Giustizia dell’UE è ritornata sulla questione, affermando che la circostanza per cui un soggetto non acceda alle informazioni Y che, associate a quelle X, che tratta, permettono di identificare una persona fisica non esclude la qualificazione delle informazioni X trattate come dati personali (CGUE, 7 marzo 2024, C-604/22, §§ 38 ss.).

A fronte di tale orientamento, la sentenza della Corte di Giustizia dell’UE del 4 settembre 2025, C-413/23 P è di particolare rilevanza. In questa pronuncia la Corte assume una prospettiva soggettiva con riguardo alla definizione di dati personali, applicata in ragione delle informazioni disponibili per il titolare del trattamento. In particolare, con riguardo ai dati pseudonimizzati la Corte distingue, non sempre con un’argomentazione chiara, fra i soggetti che hanno accesso o possono aver accesso ai codici di identificazione o altre informazioni aggiuntive che permettano l’identificazione o l’identificabilità degli interessati, per cui i dati sono personali, e i soggetti che hanno accesso ai soli dati pseudonimizzati, senza avere la possibilità di accesso ai codici di identificazione o ad altre informazioni aggiuntive che permettano l’identificazione o l’identificabilità degli interessati. Rispetto a tali ultimi soggetti, la Corte afferma che i dati non sono da considerare personali. L’impatto e l’interpretazione di tale pronuncia sono in discussione in dottrina.

La nozione di identificabilità è molto ampia e non definibile una volta per tutte, in quanto assume importanza il contesto di riferimento e lo sviluppo tecnologico, come emerge anche dalla lettura del considerando 26 GDPR già richiamato. È ben possibile quindi che un dato inizialmente anonimo divenga personale, in ragione del tipo di trattamento o dell’evoluzione della tecnologia (Purtova 2018).

Il procedimento inverso, l’anonimizzazione, è ritenuto sempre più difficile da ottenere in pratica: l’attuale tecnologia ha portato la comunità scientifica e poi anche il Gruppo di Lavoro Art. 29, a sottolineare la difficoltà di un’anonimizzazione sicura e dunque di avere certezza circa una definitiva trasformazione dei dati da personali ad anonimi, con il conseguente venir meno del legame, giuridicamente sancito, fra dati personali e interessato (Gruppo di Lavoro Art. 29, Parere 5/2014 sulle tecniche di anonimizzazione, 10 aprile 2014).

2. La persona interessata

La nozione di persona interessata è strettamente legata a quella di dato personale come risulta evidente dalla lettura dell’art. 4, par. 1, n. 1 GDPR, già citato in apertura del precedente paragrafo.

Infatti, i dati sono «personali» in quanto descrivono una persona fisica ed è proprio il legame, anche giuridico, fra dati e persona la ragione principale per la definizione di un regime ad hoc. In proposito, è stato da tempo mostrato che il trattamento dei dati personali permette di acquisire una conoscenza anche molto approfondita dell’interessato, modulata in base al punto di vista di chi raccoglie e tratta i dati. Tale conoscenza risulta utile a vari fini e la letteratura ha a più riprese sottolineato come questa fondi un potere capace di incidere sulle relazioni di cui l’interessato è parte (Rodotà 1995; Zuboff 2019). In una prospettiva giuridica, i trattamenti possono incidere sulla sfera della personalità e delle relazioni dell’interessato, ed è questa una delle ragioni per cui i dati personali sono utili a vari fini, anche profittevoli.

Una questione giuridica si pone rispetto ai diritti delle persone decedute su cui si rinvia al relativo box nel capitolo I diritti dell’interessato.

3. Il trattamento

Il trattamento dei dati personali, secondo quanto previsto dall’art. 4, par. 1, n. 2 GDPR, è:

qualsiasi operazione o insieme di operazioni, compiute con o senza l’ausilio di processi automatizzati e applicate a dati personali o insiemi di dati personali, come la raccolta, la registrazione, l’organizzazione, la strutturazione, la conservazione, l’adattamento o la modifica, l’estrazione, la consultazione, l’uso, la comunicazione mediante trasmissione, diffusione o qualsiasi altra forma di messa a disposizione, il raffronto o l’interconnessione, la limitazione, la cancellazione o la distruzione.

L’ampiezza di questa definizione, che include un elenco non tassativo di operazioni (così CGUE, 7 marzo 2024, C-740/20) contribuisce a garantire un’applicazione estesa della disciplina in materia di trattamento dei dati personali, funzionale alla tutela del diritto fondamentale alla protezione dei dati personali di cui all’art. 8 CDFUE (così CGUE, 5 ottobre 2023, C-659/22, §§ 27-28; v. anche CGUE, 5 ottobre 2023, C-659/22; sull’art. 8 CDFUE v. cap. Le fonti della disciplina in materia di dati personali).

A titolo di esempio, far comparire su una pagina Internet dati personali è da considerare come un’operazione di trattamento (CGUE, 6 novembre 2003, C-101/01, § 25), anche quando riguardano informazioni già pubblicate nei media tali e quali (CGUE, 13 maggio 2014, C-131/12, § 30). Ancora, la CGUE qualifica come trattamento la comunicazione orale di dati personali (CGUE, 7 marzo 2024, C-740/20)

Alcune operazioni di trattamento, come la raccolta e la conservazione, hanno regole peculiari, dovute alla loro specificità rispetto all’uso dei dati personali. Infatti, la raccolta è l’operazione che permette di creare i dati personali come un oggetto, anche giuridico, distinto dall’interessato, e la conservazione rende possibili ulteriori usi dei dati personali (Angiolini 2020).

Altri tipi di trattamenti si distinguono in ragione delle modalità, anche tecniche. Un esempio è quello della profilazione, che è definita dall’art. 4, par. 1, n. 4 GDPR come:

qualsiasi forma di trattamento automatizzato di dati personali consistente nell’utilizzo di tali dati personali per valutare determinati aspetti personali relativi a una persona fisica, in particolare per analizzare o prevedere aspetti riguardanti il rendimento professionale, la situazione economica, la salute, le preferenze personali, gli interessi, l’affidabilità, il comportamento, l’ubicazione o gli spostamenti di detta persona fisica.

La profilazione porta con sé alcuni rischi, legati alla mancata trasparenza delle tecniche usate per attuarla e alle conseguenze per gli interessati e può avere effetti discriminatori (Gruppo di Lavoro Art. 29, Linee guida sul processo decisionale automatizzato relativo alle persone fisiche e sulla profilazione ai fini del Reg. UE 2016/679, 6 febbraio 2018). E per questo ad essa si applicano anche particolari norme, come l’art. 22 GDPR, rubricato «processo decisionale automatizzato relativo alle persone fisiche, compresa la profilazione» (v. cap. I diritti dell’interessato).

4. Le categorie particolari di dati personali 

L’art. 9 GDPR detta un regime specifico per le «categorie particolari di dati personali» (v. cap. La disciplina dell’attività di trattamento). Questi dati sono denominati anche ‘sensibili’ in quanto il loro trattamento può avere conseguenze significative rispetto alle libertà e ai diritti fondamentali dell’interessato (si vedano in proposito: il considerando 51 GDPR e le seguenti pronunce della Corte di Giustizia dell’UE CGUE, 4 luglio 2023, C-252/21, spec. §§ 66 ss.; CGUE, 21 dicembre 2023, C-667/21, spec. §§ 37 ss.).

Le categorie particolari di dati personali sono descritte dal par. 1 dell’art. 9 GDPR, come quelle relative a quei dati che:

rivelino l’origine razziale o etnica, le opinioni politiche, le convinzioni religiose o filosofiche, o l’appartenenza sindacale, nonché […] dati genetici, dati biometrici intesi a identificare in modo univoco una persona fisica, dati relativi alla salute o alla vita sessuale o all’orientamento sessuale della persona.

Tale elenco va letto congiuntamente all’art. 4, par. 1 nn. 13, 14 e 15 GDPR, che definisce i dati relativi alla salute, i dati genetici e i dati biometrici.

I dati relativi alla salute sono definiti come «i dati personali attinenti alla salute fisica o mentale di una persona fisica, compresa la prestazione di servizi di assistenza sanitaria, che rivelano informazioni relative al suo stato di salute».

Rispetto alla definizione di tale categoria di dati, la Corte di Giustizia dell’UE ha affermato che l’espressione «dati relativi alla salute» deve essere interpretata in modo ampio, «in modo da includere informazioni relative a tutti gli aspetti, sia fisici che mentali, della salute di un individuo» (CGUE 6 novembre 2003, C-101/01; cfr., altresì, CGUE, 4 ottobre 2024, C-21/23, secondo la quale nel caso in cui il gestore di una farmacia commercializzi, tramite una piattaforma online, medicinali la cui vendita è riservata alle farmacie, le informazioni che i clienti di tale gestore inseriscono al momento dell’ordine online dei medicinali, quali il loro nome, l’indirizzo di consegna e gli elementi necessari all’individualizzazione dei medicinali, costituiscono dati relativi alla salute anche qualora la vendita di tali medicinali non sia soggetta a prescrizione medica).

Nella stessa ottica, il Comitato Europeo per la Protezione dei Dati (d’ora in avanti: EDPB) ha ritenuto che i dati relativi alla salute possono essere ricavati da fonti diverse; ad esempio, possono essere raccolti da un operatore sanitario nel corso di una visita di controllo o in una cartella clinica o ancora vi possono essere dati che, mediante riferimenti incrociati con altri dati, divengono «relativi alla salute» in quanto rivelano lo stato di salute o i rischi per la salute (EDPB, Linee guida 03/2020 sul trattamento dei dati relativi alla salute a fini di ricerca scientifica nel contesto dell’emergenza legata al COVID-19, 21 aprile 2020).

Poi, sono considerati dati genetici ex art. 4, par. 1, n. 13:

i dati personali relativi alle caratteristiche genetiche ereditarie o acquisite di una persona fisica che forniscono informazioni univoche sulla fisiologia o sulla salute di detta persona fisica, e che risultano in particolare dall’analisi di un campione biologico della persona fisica in questione [si veda anche il considerando 34 del Reg. Ue 2016/679].

La peculiarità di tali dati è che possono riguardare più persone, come riconosciuto dalla Corte Europea dei Diritti dell’Uomo nella causa Marper c. Regno Unito, del 4 dicembre 2008, ric. n. 30562/04 e 30566/04.

A questo proposito, il Gruppo di lavoro art. 29 (ora sostituito dall’EDPB v. cap. La regolamentazione e la tutela amministrativa) nel suo documento di lavoro sui dati genetici, adottato il 17 marzo 2004, ha affermato che:

se da un lato le informazioni genetiche sono uniche e distinguono un individuo da altri individui, dall’altro possono anche rivelare informazioni e avere implicazioni per i parenti di sangue di quell’individuo (famiglia biologica), compresi quelli delle generazioni successive e precedenti. Inoltre, i dati genetici possono caratterizzare un gruppo di persone (ad esempio, comunità etniche).

I dati genetici sono una categoria di dati che mostra la complessità della dimensione individuale e collettiva dei dati e della protezione della salute: questi dati possono riguardare più persone e il loro trattamento può essere necessario per proteggere la salute di una o di molte di esse.

I dati biometrici sono definiti dall’art. 4, par. 1, n. 14 GDPR come

i dati personali ottenuti da un trattamento tecnico specifico relativi alle caratteristiche fisiche, fisiologiche o comportamentali di una persona fisica che ne consentono o confermano l’identificazione univoca, quali l’immagine facciale o i dati dattiloscopici.

Dunque, ai sensi dell’art. 4, par. 1, n. 14 GDPR i dati biometrici sono generati attraverso l’uso di tecnologie specifiche che elaborano le caratteristiche degli individui per identificare (identificazione biometrica) o confermare (verifica biometrica) l’identità della persona interessata.

Nel leggere congiuntamente l’art. 4, par. 1, n. 14 e l’art. 9 GDPR emerge una questione interpretativa, discussa in dottrina; il regime, più rigoroso, definito dall’art. 9 GDPR relativo alle categorie particolari di dati personali (su cui v. cap. Le definizioni fondamentali) si applica anche a quei dati biometrici che non sono utilizzati per identificare in modo univoco una persona?

Dal punto di vista degli indici normativi, il nodo interpretativo sorge in quanto l’art. 9 GDPR fa riferimento ai «dati biometrici intesi a identificare in modo univoco una persona fisica», mentre l’art. 4 GDPR si riferisce ai dati che «ne consentono o confermano l’identificazione univoca».

L’interrogativo a cui rispondere è dunque se vi siano dati biometrici ai sensi dell’art. 4 GDPR che non siano però sottoposti al regime di cui all’art. 9 GDPR in quanto non sono, in concreto, trattati al fine di identificare in modo univoco una persona fisica.

La soluzione di tale questione interpretativa è in discussione. Infatti, se gli indici normativi non escludono a priori la possibilità di individuare dati biometrici ex art. 4 GDPR che non rientrino nelle categorie particolari di dati personali, d’altro canto da più parti si è notato che a prescindere dallo scopo per cui un dato biometrico viene utilizzato, le caratteristiche che possono essere estratte da esso mantengono un notevole potenziale per consentire l’identificazione delle persone o per influenzarle negativamente (European Union Agency for Fundamental Rights 2020, 8). Tali ultime considerazioni mostrano i rischi di una lettura restrittiva dell’art. 9 GDPR, e la necessità di interpretare le norme in materia di protezione dei dati personali alla luce della Carta dei Diritti Fondamentali dell’UE.

A fronte di una pluralità di interpretazioni dottrinali, nel contesto italiano è esemplificativa la pronuncia della Corte di Cassazione del 13 maggio 2024, n. 12967, dove la Corte, naturalmente anche in ragione del caso concreto che le era sottoposto, ha enunciato il seguente principio di diritto:

In tema di trattamento dei dati personali, ai sensi dell’art. 9 del Reg (UE) 2016/679, ricorre un trattamento di dati biometrici, come definiti dall’art. 4, n. 14 del Regolamento 2016/679, quando i dati personali sono ottenuti mediante un trattamento tecnico automatizzato specifico, realizzato con un software che, sulla base di riprese e analisi delle caratteristiche fisiche, fisiologiche o comportamentali di una persona fisica, le elabora, evidenziando comportamenti o elementi anomali, e che perviene a un esito conclusivo, costituito da una elaborato video/foto che consente (o che conferma) l’identificazione univoca della persona fisica, restando irrilevante la circostanza che l’esito finale del trattamento sia successivamente sottoposto alla verifica finale di una persona fisica.

5. Il titolare del trattamento e la contitolarità

Il titolare del trattamento, secondo quanto prevede l’art. 4, par. 1, n. 7 GDPR è:

la persona fisica o giuridica, l’autorità pubblica, il servizio o altro organismo che, singolarmente o insieme ad altri, determina le finalità e i mezzi del trattamento di dati personali; quando le finalità e i mezzi di tale trattamento sono determinati dal diritto dell’Unione o degli Stati membri, il titolare del trattamento o i criteri specifici applicabili alla sua designazione possono essere stabiliti dal diritto dell’Unione o degli Stati membri.

Dunque, sono principalmente due gli elementi che definiscono la figura del titolare: la determinazione dei mezzi e delle finalità del trattamento.

Occorre sottolineare che la qualifica di titolare del trattamento non dipende dalla volontà di chi tratta i dati ma dal ruolo che questi assume rispetto alla pianificazione del trattamento; con un esempio, sarà possibile scegliere se determinare finalità e mezzi del trattamento, ma una volta che si sia scelto questo assetto, non ci si potrà sottrarre alla qualificazione di titolare del trattamento.

La ratio di tale scelta legislativa è chiara: al soggetto che ha un ruolo molto significativo nell’organizzazione del trattamento sono anche attribuiti specifici obblighi (v. anche il considerando 74 GDPR), come quello relativo all’informativa di cui agli artt. 13 e 14 GDPR, e responsabilità, regolate anche dall’art. 82 GDPR (su cui v. il cap. Il risarcimento del danno da illecito trattamento dei dati personali).

Guardando alla giurisprudenza, la nozione di titolare del trattamento è stata interpretata in senso estensivo dalla Corte di Giustizia dell’UE, secondo cui

qualsiasi persona fisica o giuridica che influisca, per fini che le sono propri, sul trattamento di tali dati e partecipi pertanto alla determinazione delle finalità e dei mezzi di tale trattamento può essere considerata titolare di detto trattamento. A tal riguardo, non è necessario che le finalità e i mezzi del trattamento siano determinati mediante orientamenti scritti o istruzioni da parte del titolare del trattamento […], né che quest’ultimo sia stato formalmente designato come tale. (CGUE, C-683/21, 5 dicembre 2023, Nacionalinis Visuomenės Sveikatos Centras, § 30)

Con riguardo alle ipotesi in cui la determinazione delle finalità e dei mezzi del trattamento sia fatta dal diritto nazionale, la Corte di Giustizia dell’UE ha affermato che la designazione del titolare da parte del diritto nazionale può essere anche implicita, purché «derivi in maniera sufficientemente certa dal ruolo, dalla funzione e dalle attribuzioni devoluti alla persona o all’entità» (CGUE, 11 gennaio 2024, C-231/22, § 30).

Quando più soggetti determinano congiuntamente i mezzi e le finalità del trattamento, questi sono contitolari. Una questione interpretativa significativa riguarda la definizione dei confini entro cui i mezzi o le finalità del trattamento sono determinati congiuntamente.

In proposito, la Corte di Giustizia dell’UE ha affermato che vi può essere una contitolarità anche se i ruoli dei contitolari sono diversi, tanto che non è necessario che tutti i contitolari abbiano accesso ai dati (CGUE, 10 luglio 2018, C-25/17, § 69; così anche CGUE, 7 marzo 2024, C-604/22). Si legge nella pronuncia CGUE, 5 dicembre 2023, C-683/21, che

la partecipazione alla determinazione delle finalità e dei mezzi del trattamento può assumere forme diverse, potendo tale partecipazione risultare sia da una decisione comune adottata da due o più soggetti sia da decisioni convergenti di tali soggetti. Orbene, in quest’ultimo caso, dette decisioni devono integrarsi, di modo che ciascuna di esse abbia un effetto concreto sulla determinazione delle finalità e dei mezzi del trattamento. (CGUE, 5 dicembre 2023, C-683/21, Nacionalinis Visuomenės Sveikatos Centras, § 43; si vedano anche: 5 giugno 2018, C-210/16, Wirtschaftsakademie Schleswig-Holstein; 29 luglio 2019, Fashion ID, C-40/17, 10 luglio 2018, Jehovan todistajat, C-25/17; CEPD, Linee guida 7/2020 sui concetti di titolare del trattamento e di responsabile del trattamento ai sensi del GDPR).

Ancora, a più riprese la Corte di Giustizia ha affermato che i contitolari possono non avere una responsabilità equivalente quando sono coinvolti in fasi diverse del trattamento e con differenti modalità (CGUE, 5 dicembre 2023, C-683/21, § 43; CGUE 5 giugno 2018, C-210/16).

L’art. 26 GDPR prevede alcuni obblighi in capo ai contitolari del trattamento. In particolare, i contitolari devono stabilire

in modo trasparente, mediante un accordo interno, le rispettive responsabilità in merito all’osservanza degli obblighi derivanti dal presente regolamento, con particolare riguardo all’esercizio dei diritti dell’interessato, e le rispettive funzioni di comunicazione delle informazioni di cui agli articoli 13 e 14, […]. 2. L’accordo di cui al paragrafo 1 riflette adeguatamente i rispettivi ruoli e i rapporti dei contitolari con gli interessati. Il contenuto essenziale dell’accordo è messo a disposizione dell’interessato.

L’art. 26, par. 3 GDPR prevede inoltre che l’interessato possa comunque esercitare i diritti previsti dall’GDPR verso ciascun titolare del trattamento.

Qualora i contitolari violino l’accordo di contitolarità secondo la più recente giurisprudenza della Corte di Giustizia dell’UE, vi sarà una violazione del GDPR che non comporta un trattamento illecito di dati personali, in quanto l’art. 26 GDPR non è parte del gruppo di norme, riunite attorno all’art. 6 GDPR rubricato «liceità del trattamento» che concorrono a determinare la liceità di un trattamento (CGUE, 4 maggio 2023, C-60/22).

Dunque, i rimedi per reagire a tale violazione andranno individuati nei poteri correttivi delle autorità di controllo (ex art. 58 par. 2, GDPR), nella proposizione di un reclamo all’autorità di controllo (art. 77, par. 1, GDPR) e nel risarcimento del danno eventualmente cagionato dal titolare del trattamento ex art. 82 GDPR (così CGUE, 4 maggio 2023, C-60/22).

6. Il responsabile del trattamento

Il responsabile del trattamento è definito dall’art. 4, par. 1, n. 8 GDPR come: «la persona fisica o giuridica, l’autorità pubblica, il servizio o altro organismo che tratta dati personali per conto del titolare del trattamento».

Dal punto di vista soggettivo, il responsabile è soggetto distinto dal titolare e non sono posti limiti particolari alla natura del soggetto che può essere nominato come responsabile, e può dunque essere una persona fisica, una persona giuridica, un’autorità pubblica, o un ente.

L’elemento che connota la figura del responsabile è che questi tratta i dati per conto del titolare da parte del responsabile, come risulta evidente anche dalla lettura dell’art. 28 GDPR, rubricato ‘Responsabile del trattamento’, su cui si tornerà (v. cap. 7 La regolamentazione di diversi rapporti che riguardano i dati personali), e il cui par. 2, lett. a) prevede che il responsabile tratti i dati personali «soltanto su istruzione documentata del titolare del trattamento», salve alcune eccezioni.

Proprio perché il responsabile del trattamento tratta i dati personali per conto del titolare, fra i suoi obblighi vi sono l’adozione delle misure che garantiscano la sicurezza del trattamento ex art. 32 GDPR e quello di assistere il titolare nel garantire la sicurezza del trattamento e nel dare seguito alle richieste per l’esercizio dei diritti dell’interessato (su cui v. cap. I diritti dell’interessato).

7. Il responsabile della protezione dei dati

Il responsabile per la protezione dei dati è una figura disciplinata dagli articoli da 37 a 39 del GDPR, che deve avere, ex art. 37, par. 5 GDPR, una conoscenza specialistica della normativa e delle prassi in materia di protezione dei dati.

Secondo quanto previsto dall’art. 39 RGDP, il responsabile della protezione dei dati deve:

informare e fornire consulenza al titolare o al responsabile del trattamento rispetto agli obblighi derivanti dalla legislazione in materia di protezione dei dati; sorvegliare l’osservanza della legislazione sulla protezione dei dati; fornire, se richiesto, un parere in merito alla valutazione d’impatto sulla protezione dei dati e sorvegliarne lo svolgimento ai sensi dell’articolo 35 GDPR; cooperare con l’autorità di controllo e fungere da punto di contatto per tale autorità per questioni connesse al trattamento.

L’art. 38 GDPR prevede alcune regole specifiche che concernono il rapporto fra il responsabile per la protezione dei dati e il titolare o il responsabile che lo designa.

In primo luogo, il responsabile per la protezione dei dati deve essere «tempestivamente e adeguatamente» coinvolto in tutte le questioni riguardanti la protezione dei dati personali e deve essere messo in condizioni di assolvere i propri compiti e dunque anche di accedere ai dati personali e ai trattamenti.

In secondo luogo, il titolare e il responsabile del trattamento si devono assicurare che il responsabile della protezione dei dati non riceva alcuna istruzione per quanto riguarda l’esecuzione dei suoi compiti, e non possono rimuoverlo o penalizzarlo per l’esecuzione dei suoi compiti.

Inoltre, il responsabile della protezione dei dati riferisce direttamente al vertice gerarchico del titolare del trattamento o del responsabile del trattamento, ed è tenuto al segreto o alla riservatezza in merito all’adempimento dei propri compiti.

Infine, gli interessati possono contattare il responsabile della protezione dei dati per tutte le questioni relative al trattamento dei loro dati personali e all’esercizio dei loro diritti derivanti dal presente regolamento.

Non sempre il titolare e il responsabile del trattamento sono obbligati a nominare un responsabile per la protezione dei dati.

Secondo quanto dispone l’art. 37 GDPR il titolare del trattamento e il responsabile del trattamento devono designare il responsabile per la protezione dei dati nei seguenti casi:

a) il trattamento è effettuato da un’autorità pubblica o da un organismo pubblico, eccettuate le autorità giurisdizionali quando esercitano le loro funzioni giurisdizionali; b) le attività principali del titolare del trattamento o del responsabile del trattamento consistono in trattamenti che, per loro natura, ambito di applicazione e/o finalità, richiedono il monitoraggio regolare e sistematico degli interessati su larga scala; oppure c) le attività principali del titolare del trattamento o del responsabile del trattamento consistono nel trattamento, su larga scala, di categorie particolari di dati personali di cui all’articolo 9 o di dati relativi a condanne penali e a reati di cui all’articolo 10.

Nelle altre ipotesi – e ove non sia previsto l’obbligo di nomina da altri atti normativi – i titolari del trattamento e i responsabili del trattamento possono designare tale figura.

Rispetto alla figura del Responsabile della Protezione dei Dati si possono menzionare il Documento di indirizzo su designazione, posizione e compiti del Responsabile della protezione dei dati (RPD) in ambito pubblico, adottato dal Garante per la Protezione dei Dati nel 2021 e le Linee guida sui responsabili della protezione dei dati, nella versione adottata in data 5 aprile 2017 dal Gruppo di Lavoro Art. 29, oggetto dell’Endorsement 1/2018 del Comitato Europeo per la Protezione dei Dati (EDPB), documenti utili anche rispetto all’attività che in concreto svolgono i Responsabili della Protezione dei Dati.

8. Le definizioni nel Regolamento 2022/868 sulla governance dei dati e nel Regolamento 2023/2854 sui dati e il coordinamento con il GDPR

Oltre alle definizioni previste dal GDPR di cui ci si è occupati nei paragrafi precedenti, occorre considerare anche le nozioni introdotte con il Regolamento sulla governance dei dati n. 2022/868 del 30 maggio 2022 (d’ora in avanti: Data Governance Act) e il Regolamento sui dati n. 2023/2854, del 13 dicembre 2023 (d’ora in avanti Data Act).

Entrambi i regolamenti prevedono delle definizioni e una norma relativa al rapporto con il GDPR.

In particolare, l’art. 1 del Data Governance Act prevede che:

3. Il diritto dell’Unione e nazionale in materia di protezione dei dati personali si applica a qualsiasi dato personale trattato in relazione al presente regolamento. In particolare, il presente regolamento non pregiudica i regolamenti (UE) 2016/679 e (UE) 2018/1725 e le direttive 2002/58/CE e (UE) 2016/680, anche per quando riguarda i poteri e le competenze delle autorità di controllo. In caso di conflitto tra il presente regolamento e il diritto dell’Unione in materia di protezione dei dati personali o il diritto nazionale adottato conformemente a tale diritto dell’Unione, prevale il pertinente diritto dell’Unione o nazionale in materia di protezione dei dati personali. Il presente regolamento non crea una base giuridica per il trattamento dei dati personali e non influisce sui diritti e sugli obblighi di cui ai regolamenti (UE) 2016/679 e (UE) 2018/1725 o alle direttive 2002/58/CE o (UE) 2016/680.

L’art. 1 par. 5 del Data Act prevede che:

5. Il presente regolamento fa salvo il diritto dell’Unione e nazionale in materia di protezione dei dati personali, della vita privata e della riservatezza delle comunicazioni e dell’integrità delle apparecchiature terminali, che si applica ai dati personali trattati in relazione ai diritti e agli obblighi, in particolare i regolamenti (UE) 2016/679 e (UE) 2018/1725 e la direttiva 2002/58/CE, nonché i poteri e le competenze delle autorità di controllo e i diritti degli interessati. Nella misura in cui gli utenti sono gli interessati, i diritti di cui al capo II del presente regolamento integrano i diritti di accesso da parte degli interessati e i diritti alla portabilità dei dati di cui agli articoli 15 e 20 del regolamento (UE) 2016/679. In caso di conflitto tra il presente regolamento e il diritto dell’Unione in materia di protezione dei dati personali o della vita privata o la legislazione nazionale adottata conformemente a tale diritto dell’Unione, prevale il pertinente diritto dell’Unione o nazionale in materia di protezione dei dati personali o della vita privata.

Dunque, qualora vi sia un conflitto fra una norma dei due regolamenti appena citati e il GDPR, prevarrà quest’ultimo. Questa regola è di particolare importanza in quanto diviene un criterio ermeneutico per l’interprete che deve coordinare i testi normativi ai fini della loro applicazione.

Tale criterio risulta utile anche in relazione alle definizioni previste dall’art. 2 del Data Act e dall’art. 2 del Data Governance Act, in quanto alcune di queste devono essere coordinate con quelle previste dal GDPR.

In particolare, sia il Data Governance Act che il Data Act all’art. 2, par. 1 prevedono la seguente definizione di «dati»: «qualsiasi rappresentazione digitale di atti, fatti o informazioni e qualsiasi raccolta di tali atti, fatti o informazioni, anche sotto forma di registrazione sonora, visiva o audiovisiva».

A tale definizione segue quella di dati personali (art. 2, par. 1, n. 3, sia del Data Governance Act, sia del Data Act), che rinvia a quella data dall’art. 4, par. 1, n. 1, GDPR (v. in questo capitolo il § 3), e la definizione di dati non personali, che vengono descritti come «i dati diversi dai dati personali».

Alcune altre nozioni, come quella di consenso nell’art. 2, par. 1, n. 5 del Data Governance Act e quella di interessato (art 2, par. 1, n. 11 Data Act; art 2, par. 1, n. 7 Data Governance Act) rinviano espressamente alle relative definizioni previste dal GDPR.

Rispetto invece alle qualificazioni di chi tratta i dati, non vi è corrispondenza fra il GDPR e i nuovi regolamenti. Di seguito è tracciato un quadro delle principali definizioni rilevanti nel contesto di questo manuale.

8.1. La definizione dei soggetti

Gli elementi di differenza fra le definizioni date dai due regolamenti ben si colgono attraverso il loro raffronto nella tabella che segue.

Art. 2 del Data Governance Act

Art. 2 del Data Act

Titolare dei dati

Una persona giuridica, compresi gli enti pubblici e le organizzazioni internazionali, o una persona fisica che non è l’interessato rispetto agli specifici dati in questione e che, conformemente al diritto dell’Unione o nazionale applicabile, ha il diritto di concedere l’accesso a determinati dati personali o dati non personali o di condividerli (n. 8)

Una persona fisica o giuridica che ha il diritto o l’obbligo, conformemente al presente regolamento, al diritto applicabile dell’Unione o alla legislazione nazionale adottata conformemente al diritto dell’Unione, di utilizzare e mettere a disposizione dati, compresi, se concordato contrattualmente, dati del prodotto o di un servizio correlato che ha reperito o generato nel corso della fornitura di un servizio correlato (n. 13)

Utente dei dati

Una persona fisica o giuridica che ha accesso legittimo a determinati dati personali o non personali e che ha diritto, anche a norma del GDPR in caso di dati personali, a utilizzare tali dati a fini commerciali o non commerciali (n. 9)

La definizione non è presente nel Data Act.

Utente

La definizione non è presente nel Data Governance Act.

Una persona fisica o giuridica che possiede un prodotto connesso o a cui sono stati trasferiti contrattualmente diritti temporanei di utilizzo di tale prodotto connesso o che riceve un servizio correlato (12)

Destinatario dei dati

La definizione non è presente nel Data Governance Act.

Una persona fisica o giuridica, che agisce per fini connessi alla sua attività commerciale, imprenditoriale, artigianale o professionale, diversa dall’utente di un prodotto connesso o di un servizio correlato, a disposizione della quale il titolare dei dati mette i dati, e che può essere un terzo in seguito a una richiesta da parte dell’utente al titolare dei dati o conformemente a un obbligo giuridico ai sensi del diritto dell’Unione o della legislazione nazionale adottata conformemente al diritto dell’Unione (14)

La tabella mostra infatti che alcune nozioni presenti nel Data Act non trovano una corrispondenza nel Data Governance Act. Seppur tale circostanza si può in linea generale spiegare in ragione della diversità delle funzioni e dell’oggetto della disciplina dettata dai due regolamenti, di certo non facilita lo sviluppo di un quadro sistematico chiaro e comune all’ambito del «diritto dei dati».

Un particolare elemento di criticità è la previsione di due definizioni diverse per la medesima nozione di «titolare dei dati» (in senso critico si veda anche EDPB-GEPD, Parere congiunto EDPB-GEPD 2/2022 sulla proposta del Parlamento europeo e del Consiglio riguardante norme armonizzate sull’accesso equo ai dati e sul loro utilizzo, 4 maggio 2022). Infatti, la coesistenza di due diverse definizioni della stessa nozione, all’interno della stessa materia e nella medesima area legislativa rende ancora più evidente la difficoltà nella costruzione di un sistema coerente all’interno del «diritto dei dati» e suggerisce una modifica legislativa che permetta un uso il più possibile univoco delle nozioni.

Inoltre, dal punto di vista del coordinamento fra il GDPR da una parte e il Data Act e il Data Governance Act dall’altra, si deve sottolineare che, come già ricordato in apertura di questo paragrafo, i recenti regolamenti non pregiudicano l’applicazione del GDPR.

Di conseguenza, quando i dati sono personali, è il GDPR che ne definisce lo statuto di base, e cioè i limiti del loro lecito trattamento, e dunque che in sostanza delinea anche i diritti di utilizzo e di circolazione alla base delle definizioni di «titolare dei dati» e «utente dei dati».

Rimane comunque un profilo critico, che corrisponde ad una discussione aperta in dottrina, legato alla qualificazione della situazione giuridica soggettiva di chi tratta i dati come «diritto» sia nel Data Act che nel Data Governance Act, qualificazione che non è per nulla scontata rispetto alla situazione giuridica soggettiva del titolare del trattamento che, se ricorrono le condizioni previste dalla disciplina in materia di protezione dei dati personali, può lecitamente trattare i dati personali su cui ha accesso, ma che, qualora non abbia accesso a dati personali non ha diritto – salvo che sia espressamente previsto da una norma di legge (v. cap. 6, Le intersezioni fra disciplina in materia di dati personali e diritto dei consumatori) – di ottenere tale accesso ai dati (Angiolini 2025).

Riferimenti bibliografici

Angiolini, Chiara. 2025. “Titolari dei dati, utenti, destinatari dei dati: ambito soggettivo di applicazione.” In Bachelet, Vittorio, Gianluigi Marino e Antonio Racano (a cura di). Accesso equo ai dati e loro utilizzo: profili sistematici e applicativi nell’orizzonte del diritto privato. Wolters Kluwer.

Cerrina Feroni, Ginevra. 2025. “Data Act, accesso e riuso dei dati: quali sfide per la protezione dei dati personali?.” In Morace Pinelli, Arnaldo (a cura di), Data Act. Introduzione interdisciplinare e commentario al Regolamento (UE) 2023/2854. Pisa: Pacini.

Kuner, Christopher, Bygrave Lee A, Docksey, Christopher, Drechsler, Laura. (a cura di). 2020. The EU General Data Protection Regulation (GDPR): A Commentary. Oxford: Oxford University Press.

Martial-Braz, Nathalie, Rochfeld, Judith (a cura di). 2019. Droit des données personnelles. Les spécificités du droit français au regard du RGPD. Paris: Dalloz.

European Union Agency for Fundamental Rights. 2020. Facial recognition technology: fundamental rights considerations in the context of law enforcement, https://fra.europa.eu/en/publication/2019/facial-recognition-technology-fundamental-rights-considerations-context-law (ultima consultazione: aprile 2025).

Purtova, Nadezhda. 2018. “The law of everything. Broad concept of personal data and future of EU data protection law.” International Review of Law, Computers & Technology 28, 2: 40-81.

Rodotà, Stefano. 1995. Tecnologie e diritti. Bologna: Il Mulino.

Zuboff, Shoshana. 2019. Il capitalismo della sorveglianza. Il futuro dell’umanità nell’era dei nuovi poteri. Roma: Luiss University Press.

Chiara Angiolini, University of Siena, Italy, chiara.angiolini@unisi.it

Referee List (DOI 10.36253/fup_referee_list)

FUP Best Practice in Scholarly Publishing (DOI 10.36253/fup_best_practice)

Chiara Angiolini, Le definizioni fondamentali, © Author(s), CC BY-SA 4.0, DOI 10.36253/979-12-215-0796-6.05, in Chiara Angiolini, Antonello Iuliani (edited by), Manuale sulla protezione e circolazione dei dati personali, pp. -48, 2025, published by Firenze University Press and USiena PRESS, ISBN 979-12-215-0796-6, DOI 10.36253/979-12-215-0796-6

Sez. I. Le basi giuridiche del trattamento

1. Le basi giuridiche del trattamento dei dati personali

Il trattamento dei dati personali può essere svolto lecitamente se si fonda su una base giuridica del trattamento. Tali basi giuridiche sono previste dal Reg. UE 2016/679 (d’ora in avanti: GDPR) all’art. 6 che, nell’interpretazione della Corte di Giustizia dell’UE “prevede un elenco esaustivo e tassativo dei casi nei quali un trattamento di dati personali può essere considerato lecito” (CGUE, 9 gennaio 2025, C-394/23, § 25; così anche CGUE, 4 ottobre 2024, C-621/22, § 29, CGUE, 4 luglio 2023, C-252/21 § 90, CGUE, 22 giugno 2021, C-439/19, § 99). In particolare, l’art. 6 GDPR prevede le seguenti basi giuridiche:

a) l’interessato ha espresso il consenso al trattamento dei propri dati personali per una o più specifiche finalità;

b) il trattamento è necessario all’esecuzione di un contratto di cui l’interessato è parte o all’esecuzione di misure precontrattuali adottate su richiesta dello stesso;

c) il trattamento è necessario per adempiere un obbligo legale al quale è soggetto il titolare del trattamento;

d) il trattamento è necessario per la salvaguardia degli interessi vitali dell’interessato o di un’altra persona fisica;

e) il trattamento è necessario per l’esecuzione di un compito di interesse pubblico o connesso all’esercizio di pubblici poteri di cui è investito il titolare del trattamento;

f) il trattamento è necessario per il perseguimento del legittimo interesse del titolare del trattamento o di terzi, a condizione che non prevalgano gli interessi o i diritti e le libertà fondamentali dell’interessato che richiedono la protezione dei dati personali, in particolare se l’interessato è un minore.

Con riguardo all’interpretazione dell’art. 6, par. 1, GDPR è di particolare interesse l’orientamento della Corte di Giustizia dell’UE secondo cui le basi giuridiche previste dalla lett. b) alla lett. f) sono da interpretare restrittivamente “nella misura in cui consentono di rendere lecito un trattamento di dati personali effettuato in assenza del consenso dell’interessato” (CGUE, 9 gennaio 2025, C-394/23, § 27; così anche CGUE, 4 ottobre 2024, C-621/22; CGUE, 4 luglio 2023, C-252/21, § 93)

Inoltre, la CGUE ha affermato che il requisito della necessità previsto nelle basi giuridiche da b) ad f) dell’art. 6, par. 1, GDPR

non è soddisfatto quando l’obiettivo perseguito da tale trattamento di dati potrebbe ragionevolmente essere raggiunto in modo altrettanto efficace mediante altri mezzi meno pregiudizievoli per i diritti fondamentali degli interessati, in particolare per i diritti al rispetto della vita privata e alla protezione dei dati personali garantiti agli articoli 7 e 8 della Carta, atteso che le deroghe e le restrizioni al principio della protezione di tali dati devono avere luogo nei limiti dello stretto necessario.

2. Segue. Il consenso dell’interessato

La disciplina della base giuridica del consenso al trattamento è frutto della lettura sistematica di varie norme, e in primis dell’art. 6, par. 1, lett. a), dell’art. 4 e dell’art. 7 GDPR.

L’art. 6, par. 1, lett. a) GDPR prevede che il consenso al trattamento dei dati personali per una o più specifiche finalità sia una base giuridica del trattamento. L’art. 7 GDPR chiarisce che se il trattamento è fondato sul consenso, il titolare del trattamento deve essere in grado di dimostrare che l’interessato l’ha validamente prestato.

Il consenso al trattamento è strumento che attribuisce all’interessato un ruolo nella determinazione della possibilità e delle finalità del trattamento, e può essere letto come esercizio del diritto alla riservatezza e tecnica di tutela e partecipazione dell’interessato rispetto alla costruzione del regime dei dati personali, e dunque espressione dell’art. 8 CDFUE che sancisce il diritto alla protezione dei dati personali, e che infatti ne fa menzione (sull’art. 8 CDFUE, v. cap. Le fonti della disciplina in materia di dati personali).

La riflessione sul ruolo e sulla qualificazione del consenso al trattamento è stata per lungo tempo la chiave di volta del sistema della disciplina dei dati personali (Caggia 2019). È qui sufficiente dire che il consenso è un atto di autonomia privata, attraverso cui l’interessato esercita il diritto alla vita privata e alla protezione dei dati personali (Resta 2000, 307).

Una definizione generale di consenso al trattamento è data dall’art. 4, par. 1, n. 11 GDPR, ed è la seguente:

«consenso dell’interessato»: qualsiasi manifestazione di volontà libera, specifica, informata e inequivocabile dell’interessato, con la quale lo stesso manifesta il proprio assenso, mediante dichiarazione o azione positiva inequivocabile, che i dati personali che lo riguardano siano oggetto di trattamento;

Dunque, il consenso al trattamento per fondare validamente il trattamento deve essere: i) libero; ii) informato; iii) specifico, in particolare con riguardo alle finalità; iv) prestato attraverso una dichiarazione o un’azione positiva inequivocabile.

Con riguardo alle forme di prestazione del consenso, occorre aggiungere che l’art. 7 GDPR dispone che se il consenso dell’interessato è prestato nel contesto di una dichiarazione scritta che riguarda anche altre questioni, la richiesta di consenso deve essere presentata in modo chiaramente distinguibile dalle altre materie, in forma comprensibile e facilmente accessibile, utilizzando un linguaggio semplice e chiaro. Inoltre, l’articolo appena richiamato prevede che nessuna parte di una tale dichiarazione che costituisce una violazione del GDPR può essere ritenuta vincolante.

Di sicura importanza sono poi le norme che attengono alla libertà del consenso, che conferiscono rilevanza alle circostanze in cui questo è prestato. In proposito, secondo l’art. 7 GDPR, nel valutare se il consenso sia stato liberamente prestato, si deve tenere nella massima considerazione l’eventualità, tra le altre, che l’esecuzione di un contratto, compresa la prestazione di un servizio, sia condizionata alla prestazione del consenso al trattamento di dati personali non necessario all’esecuzione di tale contratto.

Ancora, l’articolo appena richiamato disciplina la revoca del consenso, che può essere letta come lo specchio della sua libertà. Infatti, l’art. 7 GDPR sancisce il diritto dell’interessato a revocare il proprio consenso in qualsiasi momento, con la stessa facilità con cui l’ha prestato. La revoca del consenso non pregiudica la liceità del trattamento basata sul consenso prima della revoca e prima di esprimere il proprio consenso, e l’interessato deve essere informato di tale aspetto.

Ancora in tema di libertà del consenso, i considerando 42 e 43 GDPR recitano:

(42) […] Il consenso non dovrebbe essere considerato liberamente espresso se l’interessato non è in grado di operare una scelta autenticamente libera o è nell’impossibilità di rifiutare o revocare il consenso senza subire pregiudizio. (43) Per assicurare la libertà di espressione del consenso, è opportuno che il consenso non costituisca un valido presupposto per il trattamento dei dati personali in un caso specifico, qualora esista un evidente squilibrio tra l’interessato e il titolare del trattamento, specie quando il titolare del trattamento è un’autorità pubblica e ciò rende pertanto improbabile che il consenso sia stato espresso liberamente in tutte le circostanze di tale situazione specifica. Si presume che il consenso non sia stato liberamente espresso se non è possibile esprimere un consenso separato a distinti trattamenti di dati personali, nonostante sia appropriato nel singolo caso, o se l’esecuzione di un contratto, compresa la prestazione di un servizio, è subordinata al consenso sebbene esso non sia necessario per tale esecuzione.

Anche alla luce di quanto si legge nel considerando 43 GDPR, si può affermare l’esistenza di una presunzione di non libera espressione del consenso quando non sia possibile prestarlo separatamente per distinti trattamenti di dati personali, nonostante sia appropriato nel singolo caso, o qualora l’esecuzione di un contratto, compresa la prestazione di un servizio, sia subordinata al consenso sebbene esso non sia necessario per tale esecuzione. L’onere della prova è in capo al titolare del trattamento, come confermato dalla Corte di Giustizia (CGUE, 11 novembre 2020, C-61/19) e ritenuto dal Comitato Europeo per la Protezione dei Dati (d’ora in avanti: EDPB) nelle linee guida in materia di consenso (EDPB, Linee guida 5/2020 sul consenso ai sensi del regolamento (UE) 2016/679, 4 maggio 2020, p. 11).

L’interpretazione del requisito della libertà del consenso è dibattuta in dottrina e in giurisprudenza, in particolare con riguardo alle ipotesi in cui il consenso e l’ottenimento di una prestazione da parte dell’interessato sono correlate.

In proposito, il Comitato Europeo per la Protezione dei Dati ritiene eccezionali i casi in cui il consenso è da considerare libero anche se l’esecuzione del contratto è subordinata alla sua prestazione (EDPB, Linee guida 5/2020 sul consenso ai sensi del regolamento (UE) 2016/679, 4 maggio 2020). Inoltre, secondo tali linee guida, la prova della libertà del consenso potrà essere data dimostrando che il titolare del trattamento offre, oltre a un servizio subordinato alla prestazione del consenso, anche un altro servizio effettivamente equivalente e non «condizionato».

In questo senso si è espressa anche la Corte di Giustizia (CGUE, 4 luglio 2023, C-252/21), secondo cui gli interessati devono disporre della libertà di rifiutare di prestare il loro consenso a operazioni particolari di trattamento di dati non necessarie all’esecuzione del contratto d’uso del social network (com’è la profilazione per finalità di personalizzazione dei contenuti, anche pubblicitari), senza essere per questo tenuti a rinunciare integralmente alla fruizione del servizio offerto dal social network online, il che implica che a detti utenti venga proposta, se del caso a fronte di un adeguato corrispettivo, un’alternativa equivalente non accompagnata da simili operazioni di trattamento di dati (dunque, un’alternativa che non comporti la profilazione per finalità di personalizzazione dei contenuti).

Con riguardo alla nozione di «alternativa equivalente» è di interesse anche il Parere dell’EDPB 8/2024 sul consenso valido nel contesto dei modelli «consenso o pagamento» attuati dalle piattaforme online di grandi dimensioni. Per comprendere la portata di tale documento occorre innanzi tutto chiarire la definizione di «piattaforma online di grandi dimensioni». È l’EDPB stesso a dare una definizione della nozione nell’ambito del parere, chiarendo che la nozione di «piattaforme online» comprende quella prevista dall’art. 3 del Regolamento 2022/2065 sui servizi digitali, ma non è a questa limitata e individuando i seguenti criteri, non cumulativi né esaustivi, utili per qualificare un soggetto come piattaforma online di grandi dimensioni: i) il grande numero di interessati in qualità di utenti; ii) la posizione della società sul mercato; iii) l’esistenza di un trattamento su larga scala di dati personali; iv) la qualificazione del titolare del trattamento come «piattaforma online di dimensioni molto grandi» ai sensi del Regolamento 2022/2065 sui servizi digitali, o come gatekeeper ai sensi del Regolamento 2022/1925 sui mercati digitali. A tal riguardo l’EDPB afferma innanzi tutto che:

se la versione alternativa si differenzia dalla versione con pubblicità comportamentale soltanto nella misura necessaria in considerazione dell’incapacità del titolare del trattamento di trattare dati personali per finalità di pubblicità comportamentale, tale versione alternativa può essere considerata equivalente.

Con riguardo agli altri possibili casi, l’EDPB ritiene che l’interessato debba poter comparare le due versioni e che tali versioni non debbano essere necessariamente identiche, ma che nel caso in cui la qualità sia inferiore e vi siano funzionalità soppresse, la versione non dovrebbe essere ritenuta equivalente. Un profilo di particolare rilevanza attiene al pagamento di un corrispettivo nella versione alternativa offerta dal titolare del trattamento. In proposito, nel parere appena citato l’EDPB, rispetto alla valutazione del requisito della libertà del consenso al trattamento per finalità di pubblicità comportamentale, ritiene che «quando sviluppano l’alternativa alla versione del servizio con pubblicità comportamentale, i titolari del trattamento dovrebbero prendere in considerazione la possibilità di fornire agli interessati una “alternativa equivalente” che non comporti il pagamento di un corrispettivo, come l’alternativa gratuita priva di pubblicità comportamentale». In proposito, l’EDPB afferma anche che, pur non essendoci alcun obbligo per le piattaforme online di grandi dimensioni di offrire sempre servizi gratuiti, la messa a disposizione degli interessati di tale ulteriore alternativa rafforza la loro libertà di scelta e questo rende più facile per i titolari del trattamento dimostrare che il consenso è liberamente prestato. Più in dettaglio, l’EPDB, con riguardo al possibile pregiudizio subito dagli interessati in assenza di un’alternativa gratuita in caso di mancato consenso al trattamento per pubblicità comportamentale, pregiudizio che può inficiare la libertà del consenso al trattamento ai sensi del GDPR, considera la possibile importanza del ruolo delle piattaforme nell’accesso alle informazioni e ai servizi, così come in ambito professionale e nella vita quotidiana e sociale e tiene conto della loro possibile difficile fungibilità che può derivare anche dai c.d. «effetti di rete» ed «effetti di dipendenza» (si pensi ad esempio alla fruizione di un noto social network su cui l’interessato ha un nutrito seguito di followers; cfr. le citate Linee guida, pp. 26 ss.).

Dunque, secondo l’EDPB la fornitura di un’alternativa gratuita priva di pubblicità comportamentale costituisce un fattore particolarmente importante da considerare nel valutare se gli interessati possano esercitare una scelta effettiva e quindi se il consenso sia valido. Rispetto alla previsione di un corrispettivo, l’EDPB nel Parere 8/2024 già citato ritiene che:

i titolari del trattamento dovrebbero valutare, caso per caso, tanto se un corrispettivo sia in effetti adeguato e quale sia l’importo adeguato in determinate circostanze, tenendo presenti i requisiti per un consenso valido ai sensi del GDPR, nonché la necessità di evitare che il diritto fondamentale alla protezione dei dati sia trasformato in una caratteristica il cui godimento è soggetto a pagamento da parte degli interessati oppure in una caratteristica premium riservata ai benestanti o agli abbienti.

Il Comitato prende in esame anche il profilo dello squilibrio di potere fra interessato e titolare del trattamento in relazione alla valutazione della libertà del consenso. In particolare, l’EDPB individua, nel caso in cui il titolare del trattamento sia una «piattaforma online di grandi dimensioni», alcuni elementi non esaustivi e non cumulativi, che possono essere tenuti in conto per valutare la sussistenza di una situazione di evidente squilibrio di potere capace di minare la libertà del consenso. Tali fattori sono: i) la posizione della società sul mercato, anche rispetto all’esistenza di una eventuale sua posizione dominante nel mercato o di un suo rilevante potere di mercato, e della presenza di effetti di rete o di dipendenza; ii) la misura in cui l’interessato fa affidamento sul servizio fornito, in relazione ad esempio alla ricerca di lavoro, all’accesso a informazioni essenziali per la vita quotidiana degli interessati o alla partecipazione al dibattito pubblico; iii) il pubblico destinatario o predominante della piattaforma, ad esempio in relazione alla presenza di minori. L’EDPB ritiene anche che una valutazione caso per caso di tali fattori dovrebbe essere sempre necessaria.

Guardando all’ambito nazionale, il Garante per la Protezione dei Dati Personali (GPDP) da tempo afferma che il consenso non può essere qualificato come libero quando la fornitura di un servizio sia a esso subordinato (ad esempio: GPDP, 10 gennaio 2019, n. 9080914; GPDP, 20 giugno 2019, n. 9124420).

Vi è poi una parte della dottrina e della giurisprudenza secondo cui il consenso può talvolta essere ritenuto libero pur se a questo è subordinata la fornitura di un servizio, e che quanto più il servizio è infungibile e irrinunciabile, quanto più il condizionamento che incide sulla libertà del consenso deve ritenersi sussistente (Cass., 2 luglio 2018, n. 17278).

Infine, la valutazione della libertà del consenso al trattamento può anche essere letta adottando una prospettiva che consideri il carattere massivo dei trattamenti, e che sia volta a garantire, in ossequio anche al principio di uguaglianza sostanziale sancito dall’art. 3 Cost., la necessità di una pari opportunità di soddisfacimento e di esercizio, in concreto, dei diritti fondamentali, e in particolare del diritto alla protezione dei dati personali e alla riservatezza, rispetto ai quali il consenso al trattamento costituisce una modalità di esercizio. Secondo tale punto di vista, la presunzione di cui al considerando 43 GDPR può essere vinta quando il titolare del trattamento dimostri di offrire un servizio non subordinato al consenso al trattamento, alle stesse condizioni economiche di quello condizionato al consenso (Angiolini 2020).

3. Segue. L’esecuzione di un contratto di cui l’interessato è parte

L’art. 6, par. 1, lett. b) GDPR prevede la base giuridica della necessità del trattamento per l’esecuzione di un contratto di cui l’interessato è parte o di misure precontrattuali adottate su richiesta dello stesso.

Il contratto diventa qui un elemento da valutare ai fini dell’operatività della base giuridica del trattamento. Il trattamento dei dati è in quest’ipotesi strumentale alla messa in opera fisiologica del contratto: i dati possono essere trattati solo in virtù della necessità del loro trattamento rispetto a quanto previsto nel regolamento negoziale.

La definizione dei trattamenti necessari all’esecuzione del contratto non sempre è agevole. In alcuni casi il criterio della necessità risulta chiaro; si immagini il caso del trattamento dei dati consistenti nell’indirizzo del cliente-interessato volti all’adempimento dell’obbligazione di consegna di una merce in capo all’altra parte contrattuale. Più complesse sono le ipotesi in cui il trattamento è menzionato nel contratto, e in cui quindi sono le parti a includere il trattamento dei dati all’interno del testo contrattuale. Qui emerge il rischio, sottolineato anche dal EDPB, di aggirare le regole relative alla base giuridica del consenso al trattamento, includendo il trattamento nell’oggetto del contratto. A tal proposito, è utile richiamare l’indirizzo dell’EDPB, che ha escluso che tramite il contratto si possa espandere «artificiosamente» il novero dei trattamenti resi leciti dall’art. 6, par. 1, lett. b) GDPR, e ha elaborato delle linee guida in materia (EDPB, Linee guida 2/2019 sul trattamento di dati personali ai sensi dell’articolo 6, paragrafo 1, lettera b), del regolamento generale sulla protezione dei dati nel contesto della fornitura di servizi online agli interessati, versione 2.0, 8 ottobre 2019, p. 6). L’EDPB interpreta il requisito della necessità come oggettivo, e afferma che per utilizzare la base giuridica di cui all’art. 6, par. 1, lett b) GDPR, il titolare del trattamento deve dimostrare che il contratto non può essere eseguito, con riguardo al suo oggetto principale, senza che i dati personali siano trattati. Inoltre, se vi sono alternative meno intrusive, il trattamento non può avere come base giuridica quella dell’esecuzione del contratto. Poi, quando il contratto termina la liceità del trattamento viene meno e il titolare del trattamento non potrà trattare i dati facendo riferimento a una diversa base giuridica per il trattamento, a meno che non vi fossero distinte basi giuridiche comunicate ab initio all’interessato.

La Corte di Giustizia dell’UE è intervenuta sul tema, statuendo che

affinché un trattamento di dati personali sia considerato necessario all’esecuzione di un contratto […] esso deve essere oggettivamente indispensabile per realizzare una finalità che è parte integrante della prestazione contrattuale destinata all’interessato. Il [titolare] del trattamento deve, quindi, essere in grado di dimostrare in che modo l’oggetto principale del contratto non potrebbe essere conseguito in assenza del trattamento di cui è causa. (CGUE, 4 luglio 2023, C- 252/21; così anche CGUE, 9 gennaio 2025, C-394/23, § 33)

Inoltre, la Corte di Giustizia dell’UE ha affermato che l’elemento determinante ai fini dell’applicazione dell’art. 6, paragrafo 1, lettera b), del RGPD è che il trattamento sia essenziale per consentire la corretta esecuzione del contratto stipulato tra il titolare e l’interessato e, pertanto, che non esistano altre soluzioni percorribili e meno invasive (CGUE, 9 gennaio 2025, C-394/23, § 34; v. anche: CGUE, 12 settembre 2024, C-17/22 e C-18/22; CGUE, 4 luglio 2023, C-252/21, § 99) e che se il contratto consiste in più servizi o in più elementi distinti di uno stesso servizio che possono essere prestati indipendentemente gli uni dagli altri, l’applicabilità dell’articolo 6, par. 1, lett. b), GDPR deve essere valutata separatamente nel contesto di ciascuno di tali servizi (CGUE, 9 gennaio 2025, C-394/23, § 35 e CGUE, 4 luglio 2023, C-252/21, § 100).

Rispetto all’applicazione di tali principi in un caso concreto, si può citare l’indirizzo della CGUE secondo cui

il trattamento di dati personali relativi all’appellativo dei clienti di un’impresa di trasporto, avente la finalità di personalizzare la comunicazione commerciale fondata sulla loro identità di genere, non sembra essere né oggettivamente indispensabile né essenziale al fine di consentire la corretta esecuzione di un contratto e, pertanto, non può essere considerato necessario all’esecuzione di tale contratto. (CGUE, 9 gennaio 2025, C-394/23, § 43).

4. L’adempimento di un obbligo legale al quale è soggetto il titolare del trattamento

L’art. 6, par. 1, lett. c) GDPR prevede che il trattamento possa avvenire quando è necessario per adempiere un obbligo legale al quale è soggetto il titolare del trattamento.

Rispetto al requisito della necessità, la Corte di Giustizia dell’UE ha affermato che questo non è soddisfatto quando l’obiettivo di interesse generale sotteso all’obbligo di legge

può ragionevolmente essere raggiunto in modo altrettanto efficace mediante altri mezzi meno pregiudizievoli per i diritti fondamentali degli interessati, in particolare per i diritti al rispetto della vita privata e alla protezione dei diritti personali garantiti agli articoli 7 e 8 della Carta, atteso che le deroghe e le restrizioni al principio della protezione di simili dati devono avere luogo nei limiti dello stretto necessario. (CGUE, 22 giugno 2021, B, C-439/19, § 110)

In virtù dell’art. 6, par. 3, GDPR, perché tale base giuridica possa fondare il trattamento, ci deve essere una norma di diritto dell’Unione o dello Stato membro cui è soggetto il titolare del trattamento che determini tale base giuridica.

Inoltre, in ogni caso, la norma che stabilisce tale base giuridica deve perseguire un obiettivo di interesse pubblico e il trattamento deve essere proporzionato a tale obiettivo. Con riguardo alla proporzionalità, la Corte di Giustizia ha affermato che:

al fine di valutare la proporzionalità del trattamento […] occorre misurare la gravità dell’ingerenza nei diritti fondamentali al rispetto della vita privata e alla protezione dei dati personali che tale trattamento comporta e verificare se l’importanza dell’obiettivo di interesse generale da quest’ultimo perseguito sia in relazione con tale gravità. Al fine di valutare la gravità di tale ingerenza, si deve segnatamente tener conto della natura dei dati personali in questione, e in particolare della loro natura eventualmente sensibile, nonché della natura e delle modalità concrete del trattamento dei dati di cui trattasi, in particolare del numero di persone che hanno accesso a tali dati e delle modalità di accesso a questi ultimi. (CGUE, 1° agosto 2022, C-184/20).

Poi, l’art. 6, GDPR prevede che gli Stati membri possono mantenere o introdurre disposizioni più specifiche per adeguare l’applicazione del GDPR con riguardo al trattamento, determinando con maggiore precisione requisiti specifici per il trattamento e altre misure atte a garantire un trattamento lecito e corretto fra cui: i) le condizioni generali relative alla liceità del trattamento da parte del titolare del trattamento; ii) le tipologie di dati oggetto del trattamento; iii) gli interessati; iv) i soggetti cui possono essere comunicati i dati personali e le finalità per cui sono comunicati; v) le limitazioni della finalità, vi) i periodi di conservazione; vii) le operazioni e procedure di trattamento, comprese le misure atte a garantire un trattamento lecito e corretto.

Sul piano nazionale, l’art. 2 ter d.lgs. 196/2003 (d’ora in avanti: cod. privacy) prevede che il trattamento, quando si applicano le basi giuridiche dell’art. 6, comma 1, lett. c) ed e) GDPR deve essere previsto da una norma di legge, di regolamento, o da atti amministrativi generali (sulla base giuridica di cui alla lett. e) dell’art. 6 GDPR si veda, in questo capitolo, il § 6.).

Inoltre, secondo quanto dispone l’art. 2 quater cod. privacy il Garante per la Protezione dei Dati personali può adottare delle regole deontologiche relative ai trattamenti fondati sulla base giuridica qui oggetto di commento.

5. La salvaguardia degli interessi vitali dell’interessato o di un’altra persona fisica

L’art. 6, comma 1, lett. d) GDPR prevede come base giuridica quella del trattamento necessario per la salvaguardia degli interessi vitali dell’interessato o di un’altra persona fisica. Tale ipotesi è senz’altro residuale e potrà essere applicata in ipotesi residuali, come conferma anche la lettura del 46 GDPR, secondo cui:

Il trattamento di dati personali dovrebbe essere altresì considerato lecito quando è necessario per proteggere un interesse essenziale per la vita dell’interessato o di un’altra persona fisica. Il trattamento di dati personali fondato sull’interesse vitale di un’altra persona fisica dovrebbe avere luogo in principio unicamente quando il trattamento non può essere manifestamente fondato su un’altra base giuridica. Alcuni tipi di trattamento dei dati personali possono rispondere sia a rilevanti motivi di interesse pubblico sia agli interessi vitali dell’interessato, per esempio se il trattamento è necessario a fini umanitari, tra l’altro per tenere sotto controllo l’evoluzione di epidemie e la loro diffusione o in casi di emergenze umanitarie, in particolare in casi di catastrofi di origine naturale e umana.

6. L’esecuzione di un compito di interesse pubblico o connesso all’esercizio di pubblici poteri di cui è investito il titolare del trattamento

L’art. 6, par. 1, lett. e) GDPR prevede come base giuridica del trattamento quella della sua necessità per l’esecuzione di un compito di interesse pubblico o connesso all’esercizio di pubblici poteri di cui è investito il titolare del trattamento.

Rispetto alla definizione delle specifiche ipotesi da parte del diritto dell’UE o nazionale, si applica quanto illustrato in relazione all’art. 6, par. 3 GDPR e all’art. 2 ter cod. privacy in relazione alla base giuridica relativa all’esistenza di un obbligo legale (v. supra, § 4).

Inoltre, l’art. 2 ter cod. privacy, prevede alcune regole specifiche. In particolare:

a) Secondo quanto dispone il comma 1 bis di tale norma il trattamento dei dati personali è consentito se necessario per l’adempimento di un compito svolto nel pubblico interesse o per l’esercizio di pubblici poteri attribuiti a una autorità pubblica che tratti tali dati e che sia: i) un’amministrazione pubblica di cui all’articolo 1, comma 2, del d.lgs. 165/2001, ivi comprese le autorità indipendenti e le amministrazioni inserite nell’elenco di cui all’articolo 1, comma 3, della l. n. 196/2009; ii) una società a controllo pubblico statale; iii) limitatamente ai gestori di servizi pubblici, locale, di cui all’articolo 16 del testo unico in materia di società a partecipazione pubblica (d.lgs. n. 175/2016), con esclusione, per le società a controllo pubblico, dei trattamenti correlati ad attività svolte in regime di libero mercato;

b) la comunicazione fra titolari che effettuano trattamenti di dati personali, diversi da quelli che rientrano nelle categorie particolari di dati (v. cap. Le definizioni fondamentali) e da quelli relativi a condanne penali e reati di cui all’articolo 10 GDPR, per l’esecuzione di un compito di interesse pubblico o connesso all’esercizio di pubblici poteri è ammessa se prevista da una norma di legge, di regolamento, o da atti amministrativi generali, o se necessaria ai sensi del comma 1-bis dell’art. 2 ter cod. privacy (su cui si veda la lettera precedente di questo elenco);

c) La diffusione e la comunicazione di dati personali, trattati per l’esecuzione di un compito di interesse pubblico o connesso all’esercizio di pubblici poteri, a soggetti che intendono trattarli per altre finalità sono ammesse unicamente se previste ai sensi del comma 1 o se necessarie ai sensi del comma 1-bis. In tale ultimo caso, ne viene data notizia al Garante almeno dieci giorni prima dell’inizio della comunicazione o diffusione.

Inoltre, secondo quanto dispone l’art. 2 quater cod. privacy il Garante per la Protezione dei Dati personali può adottare delle regole deontologiche relative ai trattamenti fondati sulla base giuridica qui oggetto di commento.

7. Il perseguimento del legittimo interesse del titolare del trattamento o di terzi

L’art. 6, par. 1, lett. f) GDPR prevede che i dati possano essere trattati se sono necessari per il perseguimento del legittimo interesse del titolare del trattamento o di terzi, a condizione che non prevalgano gli interessi o i diritti e le libertà fondamentali dell’interessato che richiedono la protezione dei dati personali, in particolare se l’interessato è un minore.

Un punto chiave nell’applicazione della norma è la valutazione sul giudizio di prevalenza degli interessi o dei diritti e delle libertà fondamentali dell’interessato.

Per quanto riguarda la base giuridica del legittimo interesse la CGUE (CGUE, 9 gennaio 2025, C-394/23; CGUE, 4 ottobre 2024, C-621/22; CGUE, 4 luglio 2023, C-252/21, § 106; In precedenza, con riguardo all’art. 7, lett. f), della direttiva 95/46, si vedano: CGUE, 11 dicembre 2019, C-708/18; 4 maggio 2017, C-13/16, §28; 17 giugno 2021, C-597/19, § 106; CGUE, 29 luglio 2019, C-40/17) ha affermato che tale disposizione prevede tre condizioni cumulative affinché il trattamento dei dati personali sia legittimo:

1) il perseguimento di un legittimo interesse da parte del titolare del trattamento o del terzo o dei terzi ai quali i dati sono comunicati. In proposito, la CGUE ha affermato che l’interesse deve essere considerato attuale ed effettivo (CGUE, 11 dicembre 2019, C-708/18). A titolo di esempio, la Corte di Giustizia ha considerato un legittimo interesse quello del titolare del trattamento o di terzi a ottenere un dato personale di una persona che ha asseritamente danneggiato la sua proprietà, al fine di agire nei confronti di quest’ultima per ottenere il risarcimento dei danni (CGUE, 17 giugno 2021, C-597/19);

2) la necessità di trattare i dati personali ai fini degli interessi legittimi perseguiti. A questo proposito, la CGUE (CGUE, 9 gennaio 2025, C-394/23, § 48; CGUE, 4 maggio 2017, C-13/16, §30; CGUE, 11 dicembre 2019, C-708/18) ha affermato che le deroghe e le limitazioni in materia di protezione dei dati personali devono essere applicate solo nella misura strettamente necessaria. In particolare, ai fini dell’applicazione della base giuridica del legittimo interesse, occorre valutare che tale interesse non possa ragionevolmente essere raggiunto in modo altrettanto efficace con altri mezzi meno restrittivi dei diritti e delle libertà fondamentali degli interessati, in particolare i diritti al rispetto della vita privata e alla protezione dei dati personali garantiti dagli articoli 7 e 8 della Carta (CGUE, 9 gennaio 2025, C-394/23; GUE, 4 ottobre 2024, C-621/22; CGUE, 4 luglio 2023, C-252/21,). Inoltre, la CGUE ha interpretato il criterio della necessità alla luce del principio di minimizzazione (CGUE, 9 gennaio 2025, C-394/23, § 49; GUE, 4 ottobre 2024, C-621/22; CGUE, 4 luglio 2023, C-252/21; sul principio di minimizzazione v. la sezione successiva di questo capitolo).

3) i diritti e le libertà fondamentali della persona interessata dalla protezione dei dati non prevalgono sull’interesse legittimo perseguito. Secondo l’indirizzo della CGUE (CGUE, 11 Dicembre 2019, C-708/18) la valutazione relativa all’esistenza di diritti e libertà fondamentali della persona interessata che prevalgono sugli interessi legittimi perseguiti dal responsabile del trattamento o dal terzo o dai terzi a cui vengono comunicati i dati, richiede un bilanciamento dei diritti e degli interessi contrapposti, che dipende dalle circostanze specifiche del caso concreto, in cui si deve tenere conto dell’importanza dei diritti dell’interessato derivanti dagli articoli 7 e 8 della Carta.

Inoltre, la CGUE ha affermato che il criterio della gravità della violazione dei diritti e delle libertà dell’interessato è una componente essenziale dell’esercizio di ponderazione o di bilanciamento caso per caso. A questo proposito, la Corte (CGUE, 11 dicembre 2019, C-708/18; CGUE, 24 novembre 2011, cause riunite C-468/10 e 469/10) ha affermato che nella valutazione della gravità della violazione dei diritti fondamentali dell’interessato derivante da tale trattamento devono essere considerati i seguenti elementi:

a) la disponibilità dei dati personali in questione in fonti pubbliche. A tal proposito, la Corte ha osservato che la violazione dei diritti dell’interessato sanciti dagli articoli 7 e 8 della Carta è più grave in caso di trattamento di dati provenienti da fonti non pubbliche, in quanto le informazioni relative alla vita privata dell’interessato saranno successivamente conosciute dal responsabile del trattamento e, a seconda dei casi, dal terzo o dai terzi a cui i dati sono comunicati;

b) la natura dei dati personali in questione, in particolare la loro natura potenzialmente sensibile;

c) la natura e le modalità specifiche del trattamento;

d) il numero di persone che hanno accesso ai dati e le modalità di accesso;

e) alla luce del considerando 47 del GDPR, la ragionevole aspettativa dell’interessato che i suoi dati personali non saranno trattati quando, nelle circostanze del caso, non può ragionevolmente aspettarsi un ulteriore trattamento di tali dati (così anche: CGUE, 9 gennaio 2025, C-394/23; CGUE, 4 ottobre 2024, C-621/22; CGUE, 4 luglio 2023, C-252/21).

Inoltre, nella sentenza CGUE, 4 luglio 2023, C-252/21 la Corte ha rilevato che occorre considerare se l’interessato è un minore.

La CGUE ha ritenuto che tali fattori debbano essere bilanciati rispetto all’importanza degli interessi legittimi perseguiti nel caso di specie.

In tale valutazione, la specificità del contesto di raccolta potrebbe, almeno in alcune ipotesi, essere considerato rilevante nell’interpretazione delle basi giuridiche del trattamento. In particolare, l’ambiente entro cui i dati sono raccolti potrebbe influire sulla valutazione della posizione dell’interessato nel test comparativo che deve precedere l’uso di questa base giuridica. Ad esempio, rispetto alla raccolta dei dati presso l’abitazione dell’interessato, crescente in ragione dell’espansione del cosiddetto «Internet delle cose», può assumere importanza la tutela costituzionale del domicilio di cui all’art. 14 Cost., anche ai fini dell’esito della valutazione della prevalenza degli interessi, dei diritti e delle libertà dell’interessato.

8. Il trattamento delle categorie particolari di dati personali e le eccezioni di cui all’art. 9 GDPR

Nel capitolo 3 si è trattato della definizione di «categorie particolari di dati personali», che sono definiti dall’art. 9 GDPR come quei dati che rivelano «l’origine razziale o etnica, le opinioni politiche, le convinzioni religiose o filosofiche, o l’appartenenza sindacale, nonché trattare dati genetici, dati biometrici intesi a identificare in modo univoco una persona fisica, dati relativi alla salute o alla vita sessuale o all’orientamento sessuale della persona» (v. cap. Le definizioni fondamentali).

L’art. 9 GDPR prevede anche alcune regole specifiche che si applicano a questa categoria di dati.

In primo luogo, il primo paragrafo dell’art. 9 GDPR prevede un divieto generale di trattamento di queste categorie di dati, mentre il secondo paragrafo della medesima norma sancisce alcune eccezioni a tale divieto. Da questa formulazione normativa si deduce in primis che le eccezioni ai divieti, in quanto tali, sono norme di stretta interpretazione (così CGUE, 4 luglio 2023, C-252/21, § 76; CGUE, 21 dicembre 2023, C-667/21, § 50).

Le eccezioni previste sono le seguenti:

a) l’interessato ha prestato il proprio consenso esplicito al trattamento di tali dati personali per una o più finalità specifiche, salvo nei casi in cui il diritto dell’Unione o degli Stati membri dispone che l’interessato non possa revocare il divieto di trattamento delle categorie particolari di dati personali previsto dall’art. 9, par. 1 GDPR.

b) il trattamento è necessario per assolvere gli obblighi ed esercitare i diritti specifici del titolare del trattamento o dell’interessato in materia di diritto del lavoro e della sicurezza sociale e protezione sociale, nella misura in cui sia autorizzato dal diritto dell’Unione o degli Stati membri o da un contratto collettivo ai sensi del diritto degli Stati membri, in presenza di garanzie appropriate per i diritti fondamentali e gli interessi dell’interessato.

c) il trattamento è necessario per tutelare un interesse vitale dell’interessato o di un’altra persona fisica qualora l’interessato si trovi nell’incapacità fisica o giuridica di prestare il proprio consenso.

d) il trattamento è effettuato, nell’ambito delle sue legittime attività e con adeguate garanzie, da una fondazione, associazione o altro organismo senza scopo di lucro che persegua finalità politiche, filosofiche, religiose o sindacali, a condizione che il trattamento riguardi unicamente i membri, gli ex membri o le persone che hanno regolari contatti con la fondazione, l’associazione o l’organismo a motivo delle sue finalità e che i dati personali non siano comunicati all’esterno senza il consenso dell’interessato.

e) il trattamento riguarda dati personali resi manifestamente pubblici dall’interessato.

f) il trattamento è necessario per accertare, esercitare o difendere un diritto in sede giudiziaria o ogniqualvolta le autorità giurisdizionali esercitino le loro funzioni giurisdizionali.

g) il trattamento è necessario per motivi di interesse pubblico rilevante sulla base del diritto dell’Unione o degli Stati membri, che deve essere proporzionato alla finalità perseguita, rispettare l’essenza del diritto alla protezione dei dati e prevedere misure appropriate e specifiche per tutelare i diritti fondamentali e gli interessi dell’interessato.

h) il trattamento è necessario per finalità di medicina preventiva o di medicina del lavoro, valutazione della capacità lavorativa del dipendente, diagnosi, assistenza o terapia sanitaria o sociale ovvero gestione dei sistemi e servizi sanitari o sociali sulla base del diritto dell’Unione o degli Stati membri o conformemente al contratto con un professionista della sanità, fatte salve le condizioni e le garanzie di cui al paragrafo 3. In questa ipotesi i dati sono trattati da o sotto la responsabilità di un professionista soggetto al segreto professionale conformemente al diritto dell’Unione o degli Stati membri o alle norme stabilite dagli organismi nazionali competenti o da altra persona anch’essa soggetta all’obbligo di segretezza conformemente al diritto dell’Unione o degli Stati membri o alle norme stabilite dagli organismi nazionali competenti.

i) il trattamento è necessario per motivi di interesse pubblico nel settore della sanità pubblica, quali la protezione da gravi minacce per la salute a carattere transfrontaliero o la garanzia di parametri elevati di qualità e sicurezza dell’assistenza sanitaria e dei medicinali e dei dispositivi medici, sulla base del diritto dell’Unione o degli Stati membri che prevede misure appropriate e specifiche per tutelare i diritti e le libertà dell’interessato, in particolare il segreto professionale.

l) il trattamento è necessario a fini di archiviazione nel pubblico interesse, di ricerca scientifica o storica o a fini statistici in conformità dell’articolo 89, paragrafo 1 GDPR, sulla base del diritto dell’Unione o nazionale, che è proporzionato alla finalità perseguita, rispetta l’essenza del diritto alla protezione dei dati e prevede misure appropriate e specifiche per tutelare i diritti fondamentali e gli interessi dell’interessato.

Inoltre, ai sensi dell’art. 9, comma 4, GDPR, a livello nazionale possono essere mantenute o introdotte ulteriori condizioni, comprese limitazioni, con riguardo al trattamento di dati genetici, dati biometrici o dati relativi alla salute.

Come ben si evince dalla lettura della norma, il diritto dell’Unione e quello nazionale hanno un ruolo significativo nel definire, entro i limiti posti dall’art. 9 GDPR, i trattamenti possibili di categorie particolari di dati personali.

Sul piano nazionale, a titolo di esempio, l’art. 2 sexies cod. privacy prevede che i trattamenti delle categorie particolari di dati personali di cui all’articolo 9, paragrafo 1, del Regolamento, necessari per motivi di interesse pubblico rilevante ai sensi del paragrafo 2, lettera g), del medesimo articolo, sono ammessi qualora siano previsti dal diritto dell’Unione europea ovvero, nell’ordinamento interno, da disposizioni di legge o di regolamento o da atti amministrativi generali che specifichino i tipi di dati che possono essere trattati, le operazioni eseguibili e il motivo di interesse pubblico rilevante, nonché le misure appropriate e specifiche per tutelare i diritti fondamentali e gli interessi dell’interessato.

Da ultimo, occorre affrontare il tema del rapporto fra le basi giuridiche di cui all’art. 6 GDPR (su cui v. supra, §§ 1-7) e quanto disposto dall’art. 9 GDPR. Sul punto, è da ritenere che per trattare lecitamente categorie particolari di dati, è necessario che sia applicabile sia un’eccezione al divieto di cui all’art. 9 che una base giuridica per il trattamento, tra quelle previste dall’art. 6 del GDPR (così CGUE 21 dicembre 2023, C-667/21, §§ 71 ss.). In altre parole, il trattamento di categorie particolari di dati personali che rientrano nell’art. 9 GDPR può essere effettuato solo se i) è applicabile un’eccezione al divieto di trattamento previsto dall’Art. 9 GDPR e ii) si applica una base giuridica prevista dall’art. 6 GDPR.

9. La disciplina sui c.d. cookies

Una disciplina specifica è prevista in relazione ai c.d. cookies e più tecnicamente all’archiviazione delle informazioni nell’apparecchio terminale di un contraente o di un utente e all’accesso a informazioni già archiviate.

Per comprendere cosa siano i cookie si può far riferimento alle linee guida in proposito adottate dal Garante per la Protezione dei Dati personali del 10 giugno 2021; nella scheda di sintesi allegata a dette linee guida si legge che:

I cookie sono di regola stringhe di testo che i siti web (cd. publisher o «prima parte») visitati dall’utente ovvero siti o web server diversi (cd. «terze parti») posizionano e archiviano all’interno di un dispositivo terminale nella disponibilità dell’utente (cd. identificatori «attivi»). Analoghe funzioni possono essere svolte da altri strumenti che, pur utilizzando una tecnologia diversa (c.d. identificatori «passivi»), consentono di effettuare trattamenti analoghi a quelli svolti per il tramite dei cookie.

La disciplina di tali strumenti è data in primis dalla dir. 2002/58 (d’ora in avanti: direttiva e-privacy), recepita nell’ordinamento italiano all’art. 122 cod. privacy.

Con riguardo ai rapporti fra il GDPR e la direttiva e-privacy – e la relativa disciplina di recepimento –, l’art. 1, par. 2, direttiva e-privacy prevede che le disposizioni della direttiva precisino e integrino quanto previsto dalla dir. 95/46/CE; l’art. 94 GDPR prevede l’abrogazione di tale direttiva, e che i riferimenti fatti alla direttiva si devono intendere come riferiti al regolamento stesso.

Guardando alla disciplina nazionale di recepimento, l’art. 122 cod. privacy:

a) ammette testualmente l’eventuale archiviazione tecnica o l’accesso alle informazioni già archiviate se finalizzati unicamente ad effettuare la trasmissione di una comunicazione su una rete di comunicazione elettronica, o nella misura strettamente necessaria al fornitore di un servizio della società dell’informazione, esplicitamente richiesto dal contraente o dall’utente a erogare tale servizio;

b) salvo quanto detto nella lettera a), prevede che sia necessario il consenso del contraente o dell’utente, reso dopo che questi è stato informato con modalità semplificate, per l’archiviazione delle informazioni nell’apparecchio terminale di un contraente o di un utente o per l’accesso a informazioni già archiviate.

c) in tutti gli altri casi che non rientrano nelle ipotesi di cui alle lett. a) e b), è vietato l’uso di una rete di comunicazione elettronica per accedere a informazioni archiviate nell’apparecchio terminale di un contraente o di un utente, per archiviare informazioni o per monitorare le operazioni dell’utente.

Con riguardo ai caratteri del consenso da parte dell’interessato, è la stessa direttiva e-privacy a far riferimento alla disciplina generale in materia di dati personali dettata dal GDPR (v. supra, § 2). Infatti, l’art. 2 direttiva e-privacy dispone che il «“consenso” dell’utente o dell’abbonato corrisponde al consenso della persona interessata di cui alla direttiva 95/46/CE» e in virtù dell’art. 94 GDPR, il riferimento alla dir. 95/46 deve intendersi fatto al GDPR.

Con riguardo alla possibilità di adottare basi giuridiche diverse dal consenso nell’ipotesi sub b) il Garante per la Protezione dei Dati Personali, sulla base del principio di specialità, ha affermato che:

la disciplina di carattere speciale applicabile […] non contempla ulteriori basi giuridiche che rendano legittimo il trattamento se non in presenza del consenso dell’interessato ovvero al ricorrere di una delle ipotesi di deroga rispetto all’obbligo della sua raccolta previste proprio da tale disciplina speciale. (GPDP, Linee guida cookie e altri strumenti di tracciamento, 10 giugno 2021, punto 5)

Rispetto alle modalità di prestazione del consenso, il comma 2 dell’art. 122 prevede che possono essere utilizzate specifiche configurazioni di programmi informatici o di dispositivi che siano di facile e chiara utilizzabilità per il contraente o l’utente. In proposito, la Corte di Giustizia dell’Unione Europea ha affermato che il consenso

non è validamente espresso quando l’archiviazione di informazioni o l’accesso a informazioni già archiviate nell’apparecchiatura terminale dell’utente di un sito Internet sono autorizzati mediante una casella preselezionata che l’utente deve deselezionare al fine di negare il proprio consenso (CGUE, 1° ottobre 2019, C-673/17).

La Corte di Giustizia arriva a tale soluzione anche richiamando il considerando 32 GDPR, secondo cui «non dovrebbe […] configurare consenso il silenzio, l’inattività o la preselezione di caselle». Alcuni altri esempi e alcune considerazioni in proposito si trovano nelle Linee guida cookie e altri strumenti di tracciamento, del 10 giugno 2021 del Garante per la Protezione dei Dati Personali.

Con riguardo alle modalità semplificate dell’informazione, il Garante per la Protezione dei Dati personali nelle Linee guida cookie e altri strumenti di tracciamento, del 10 giugno 2021, ha dato alcune indicazioni, fra cui quella relativa alla necessità che questa sia fruibile, senza discriminazioni, anche da parte di coloro che a causa di disabilità necessitano di tecnologie assistive o configurazioni particolari.

Sez. II. I principi del trattamento

10. I principi di liceità, correttezza e trasparenza

L’art. 5 GDPR, accedendo ad una prospettiva della disciplina dei dati personali di tipo relazionale e dinamico, che riflette la trasformazione dell’interferenza nell’altrui sfera informativa, da occasionale a fisiologica, fissa presupposti, criteri organizzativi e limiti dell’attività di trattamento, obblighi di condotta, per lo più aventi natura procedimentale, che attribuiscono all’interessato il potere di compartecipare nell’utilizzazione dei propri dati personali seguendo, controllando, rettificando il dato personale – così da plasmare la propria identità personale – fino all’estremo della riappropriazione (mediante la revoca del consenso o l’esercizio del diritto di opposizione) delle informazioni che lo riguardano.

Si può dire, in maniera sintetica, che i c.d. principi del trattamento – così designati per la loro indeterminatezza e il carattere di direttive fondamentali della disciplina – dettano le condizioni di liceità del trattamento: la liceità, infatti, cui fa menzione l’art. 5, co. 1, lett. a) GDPR, non si esaurisce nell’esistenza di una delle basi giuridiche previste dall’art. 6 (rubricato, per l’appunto, condizioni di liceità) che consentono, in conformità agli artt. 52 della Carta di Nizza e 8, par. 2 della Convenzione Edu, l’ingerenza nella sfera giuridica dell’interessato – i.e.: consenso dell’interessato/necessarietà del trattamento rispetto a determinate finalità – né nella non contrarietà della finalità del trattamento all’ordine pubblico, al buon costume o ad una norma imperativa (secondo un controllo che ricalca quello affidato alla causa del contratto; si pensi all’ipotesi in cui il titolare intenda trattare dati personali dei propri clienti per la gestione di una casa di prostituzione: la raccolta del consenso presso l’interessato e, dunque, la ricorrenza di una delle basi giuridiche previste all’art. 6 GDPR, non scolora la illiceità del trattamento).

La liceità, invero, esprime più in generale la conformità del trattamento a tutte le prescrizioni contenute nel regolamento, o, perlomeno, a quelle contenute negli artt. da 5 a 11 [così, infatti, CGUE, 4 maggio 2023, C-60/22, che ha escluso dal novero dei «trattamenti illeciti», capace di fondare la cancellazione o la limitazione dei dati, «la violazione, da parte del titolare del trattamento, degli obblighi previsti agli articoli 26 e 30 di tale regolamento, relativi, rispettivamente, alla conclusione di un accordo che determina la contitolarità del trattamento e alla tenuta del registro delle attività di trattamento»].

In posizione dialettica con la liceità si pone la clausola generale di correttezza – anch’essa richiamata dall’art. 5, co. 1, lett. a) – la quale si inserisce negli spazi non compiutamente definiti dal regolamento, sanzionando, ex post, le modalità concrete con le quali il trattamento è stato eseguito. Prendendo in prestito le parole delle Linee guida EDPB 4/2019 sull’art. 25 Protezione dei dati fin dalla progettazione e per impostazione predefinita, «La correttezza è un principio di natura trasversale secondo cui i dati personali non devono essere trattati in modo ingiustificatamente dannoso, illegittimamente discriminatorio, imprevisto o fuorviante per l’interessato». E così, a esempio, è stato giudicato contrario al canone della correttezza lo svolgimento di un’attività di marketing diretto, attuata per il tramite di chiamate mute (cioè a dire senza che ad essa faccia seguito una risposta dall’operatore) tale da ribaltare sull’interessato l’inefficienza del call center (Cass. 04 febbraio 2016, n. 2196). E alla stessa stregua deve essere giudicato il comportamento del titolare, che, al momento della raccolta del consenso, presenti le diverse opzioni del trattamento in modo da indurre l’interessato a consentirgli di raccogliere più dati personali di quanto avverrebbe se le opzioni fossero presentate in modo corretto e neutrale (cfr., a riguardo, anche EDPB Guidelines 03/2022 on Deceptive design patterns in social media platform interfaces: how to recognise and avoid them), o che ometta di fornire all’interessato informazioni, ulteriori rispetto a quelle elencate agli artt. 13 e 14 GDPR, ma necessarie nel caso concreto (così il considerando 60 GDPR, a mente del quale «il titolare del trattamento dovrebbe fornire all’interessato eventuali ulteriori informazioni necessarie ad assicurare un trattamento corretto e trasparente, prendendo in considerazione le circostanze e il contesto specifici in cui i dati personali sono trattati»). La regola della correttezza svolge dunque le consuete funzioni, valutativa (che consiste nella paralisi, in quanto abusiva, della pretesa avanzata dall’interessato) e integrativa (che si risolve nel riconoscimento della sussistenza di un obbligo ulteriore in capo al titolare), senza però esaurirsi in una soltanto delle due.

La prima terna di principi è completata dal dovere di trasparenza, il quale riveste preminente importanza nel contesto del regolamento giacché innerva di contenuto quel diritto alla protezione dei dati personali che si manifesta anzitutto nel potere di controllo sulle proprie informazioni. Al dovere di trasparenza sono infatti primariamente riconducibili le norme che prescrivono il contenuto dell’obbligo informativo che grava sul titolare al più tardi al momento della raccolta presso l’interessato o un terzo (artt. 13 e 14 GDPR), le modalità di trasmissione delle informazioni (art. 12 GDPR), il diritto di accesso alle proprie informazioni e, quello conseguente, di ottenere una copia dei dati personali (art. 15 GDPR) nonché l’obbligo di comunicare all’interessato una violazione dei dati personali (art. 34 GDPR).

11. Il principio di finalità

La liceità del trattamento, nel senso minimale di ricorrenza di una base giuridica, non si apprezza isolatamente, ma rispetto alla finalità che il titolare intende perseguire: quest’ultima, infatti, costituisce una limitazione interna al trattamento che, una volta determinata, si impone allo stesso titolare per tutta la durata del trattamento. Per consentire all’interessato di controllare la permanenza del nesso di strumentalità si prevede che la finalità debba essere determinata, esplicita e legittima. La legittimità assume diverse coloriture: rispetto al trattamento basato sul consenso o sull’esecuzione di un contratto, essa si risolve nella liceità dell’interesse che il titolare intende perseguire riguardata alla luce dei consueti parametri offerti dalle norme imperative, dal buon costume e dall’ordine pubblico. Nel caso di trattamento necessario per l’esecuzione di un contratto, l’adempimento di un obbligo legale, la salvaguardia di un interesse vitale dell’interessato, l’esecuzione di un compito di interesse pubblico o connesso all’esercizio di pubblici poteri di cui è investito il titolare, la delimitazione dell’ambito degli interessi e, dunque, delle finalità legittimamente perseguibili dal titolare è sostanzialmente data dalla tipizzazione in chiave funzionale delle condizioni di liceità del trattamento. Nel caso, invece, di trattamento fondato sul legittimo interesse del titolare la legittimità della finalità si risolve nella meritevolezza comparativa tra l’interesse perseguito dal titolare e l’istanza protezionistica dell’interessato.

I requisiti della determinatezza – la finalità deve essere definita con sufficiente precisione, di talché «a purpose that is vague or general, such as for instance ‘improving users’ experience’, ‘marketing purposes’, ‘IT-security purposes’ or ‘future research’ will – without more detail – usually not meet the criteria of being ‘specific’» (così WP29 Opinion 03/2013 on purpose limitation) – e del carattere esplicito – la finalità non può essere affidata ad una ricostruzione ermeneutica implicita o a fatti concludenti – testimoniano lo stretto rapporto che corre tra il dovere di trasparenza e la liceità del trattamento: un trattamento che si dovesse, ad esempio, basare su un consenso raccolto per una finalità non esplicitata o non determinata sarebbe evidentemente un trattamento illecito.

L’art. 5, co. 1, lett. b) GDPR prosegue disponendo che i dati personali (originariamente raccolti per finalità determinate, esplicite e legittime) possono essere trattati ulteriormente – si intende, per un trattamento diverso da quello iniziale, sia esso successivo o contestuale ad esso – purché la diversa finalità (che sorregge l’ulteriore trattamento) sia compatibile con quella iniziale. La regola è ulteriormente specificata all’art. 6, par. 4 GDPR, là dove è stabilito che qualora il trattamento per una finalità diversa da quella per la quale i dati personali sono stati (inizialmente) raccolti non sia basato (i) sul consenso dell’interessato (naturalmente prestato in relazione alla nuova finalità, non potendosi basare il trattamento effettuato per la diversa finalità sul consenso prestato in relazione alla originaria finalità, né essendo ammissibile, per carenza del requisito della specificità, prestare un consenso anche per una finalità diversa, non ancora determinata) o (ii) su un atto legislativo che preveda il trattamento dei dati personali, quale misura necessaria e proporzionata per la salvaguardia degli obiettivi di cui all’articolo 23, par. 1 – ipotesi, queste, nelle quali è possibile trattare ulteriormente i dati personali anche se le finalità sono tra loro incompatibili [cfr. CGUE, 2 marzo 2023, C-268/21 per la possibilità, da parte di una società committente, di utilizzare il registro del personale tenuto dall’appaltatore e contenente i dati dei lavoratori per finalità di controllo fiscale, per (il diverso fine) di dimostrare in giudizio l’infondatezza della domanda dell’appaltatore volta ad ottenere il pagamento del corrispettivo ancora dovuto] –; fuori da queste ipotesi è necessario accertare se la (diversa e ulteriore) finalità sia compatibile con quella originaria.

Di là dalle ipotesi del trattamento a fini di archiviazione nel pubblico interesse, di ricerca scientifica o storica o a fini statistici in conformità a quanto previsto dall’art. 89 GDPR, trattamento considerato di per sé non incompatibile, al fine di verificare la compatibilità della ulteriore finalità (c.d. test di compatibilità) l’art. 6, par. 4 GDPR, unitamente al considerando 30 GDPR, invitano a tenere in considerazione: a) ogni nesso tra le finalità per cui i dati personali sono stati raccolti e le finalità dell’ulteriore trattamento previsto; b) il contesto in cui i dati personali sono stati raccolti, in particolare relativamente alla relazione tra l’interessato e il titolare del trattamento; c) la natura dei dati personali (categorie particolari di dati personali, dati relativi a condanne penali e a reati); d) le possibili conseguenze dell’ulteriore trattamento previsto per gli interessati; e) l’esistenza di garanzie adeguate, che possono comprendere la cifratura o la pseudonimizzazione dei dati. Si tratta di criteri che, come ha precisato la Corte di Giustizia «riflettono la necessità di un nesso concreto, logico e sufficientemente stretto, tra le finalità della raccolta iniziale dei dati personali e l’ulteriore trattamento di tali dati, e consentono di assicurarsi che tale ulteriore trattamento non si discosti dalle legittime aspettative degli interessati quanto all’ulteriore utilizzo dei loro dati» [così CGUE, 20 ottobre 2022, C-77/21, secondo cui «il principio della “limitazione della finalità” non osta alla registrazione e alla conservazione da parte del titolare del trattamento, in una banca dati creata al fine di effettuare test e di correggere errori, di dati personali precedentemente raccolti per la diversa (ma compatibile) finalità consistente nella conclusione e nell’esecuzione di contratti di abbonamento»]. Laddove vi sia un trattamento ulteriore dei dati personali compatibile con le finalità originarie troveranno applicazione gli artt. 13, par. 3 e 14, par. 4 GDPR a mente dei quali il titolare «prima di tale ulteriore trattamento fornisce all’interessato informazioni in merito a tale diversa finalità e ogni ulteriore informazione pertinente». In particolare, secondo le Linee guida WP29 sulla trasparenza ai sensi del regolamento 2016/679 i titolari del trattamento dovrebbero fornire «informazioni sull’analisi di compatibilità svolta ai sensi dell’articolo 6, paragrafo 4, qualora la nuova finalità del trattamento si fondi su una base giuridica diversa dal consenso o da un atto legislativo dell’Unione o degli Stati membri (in altre parole, una spiegazione del modo in cui il trattamento per una finalità diversa sia compatibile con la finalità iniziale)», in modo da consentire agli interessati «di valutare la compatibilità dell’ulteriore trattamento e delle garanzie fornite e di decidere se esercitare o no i loro diritti, ad esempio, tra gli altri, il diritto di limitazione di trattamento o il diritto di opporsi al trattamento».

12. Il principio di minimizzazione

Una volta fissata la finalità, il titolare deve trattare i dati personali nel rispetto del principio di necessità (o di minimizzazione) tra mezzi e fini: i dati personali devono essere pertanto adeguati e pertinenti (profilo qualitativo) e limitati (profilo quantitativo) a quanto necessario per il perseguimento della finalità per le quali sono trattati. I primi requisiti obbligano a verificare se la finalità perseguita (e es. la prova di un fatto in un giudizio instaurato per far valere un diritto o l’esecuzione di un servizio di trasporto ferroviario) «non possa essere realizzata ricorrendo a mezzi di prova meno invasivi» (CGUE, 2 marzo 2023, C-268/21) che non implichino i il trattamento dei dati personali. Il canone della limitazione, invece, impone di circoscrivere il trattamento ai soli dati indispensabili per la realizzazione dello scopo perseguito; così, a esempio, qualora sono una parte dei dati sia necessaria per far valere un proprio diritto in giudizio, «il giudice nazionale deve prendere in considerazione l’adozione di misure appropriate in materia di protezione dei dati, quali la pseudonimizzazione […] dei nomi degli interessati o qualsiasi altra misura destinata a ridurre al minimo l’ostacolo al diritto alla protezione dei dati personali costituito dalla produzione di tale documento. Siffatte misure possono comprendere, in particolare, la limitazione dell’accesso del pubblico al fascicolo o l’ordine alle parti a cui i documenti contenenti dati personali sono stati comunicati di non utilizzare tali dati per finalità della prova durante il procedimento giurisdizionale di cui trattasi» (in tal senso CGUE, 2 marzo 2023, C-268/21). E, ancora, risponde al principio di minimizzazione, sotto il profilo quantitativo, la limitazione di una comunicazione commerciale ai soli «nomi e cognomi dei clienti, atteso che il loro appellativo e/o la loro identità di genere sono un’informazione che non pare essere strettamente necessaria in tale contesto» (CGUE, 9 gennaio 2025, C-394/23).

13. Il principio di esattezza e di limitazione della conservazione

I dati personali, prosegue l’art. 5, co. 1, lett. d) GDPR, devono essere esatti e aggiornati: la norma, che istituisce un obbligo per il titolare di fedeltà contenutistica del contenuto dei dati alla realtà da essi rappresentati, attribuisce, al contempo, all’interessato una serie di prerogative. Il primo, infatti, deve adottare tutte le misure ragionevoli per cancellare o rettificare tempestivamente i dati inesatti rispetto alle finalità per le quali sono trattati; il secondo, se del caso anche esercitando il diritto di accesso, ha il diritto di ottenere dal titolare del trattamento la rettifica dei dati personali inesatti che lo riguardano senza ingiustificato ritardo nonché l’integrazione di quelli incompleti. Il principio di limitazione della finalità trova completamento sotto il profilo temporale nella previsione dell’art. 5, co. 1, lett. e) GDPR, il quale limita la possibilità di identificazione degli interessati per un arco di tempo non superiore al conseguimento delle finalità per le quali sono stati trattati (principio di limitazione della conservazione): pertanto, una volta conseguita la finalità originariamente stabilita, un ulteriore trattamento che consenta l’identificazione dell’interessato (con esclusione dei trattamenti per finalità di archiviazione nel pubblico interesse, di ricerca scientifica o storica) deve ritenersi non più consentito (cfr. CGUE, 20 ottobre 2022, C-77/21, secondo cui «il “principio della limitazione della conservazione” osta alla conservazione, da parte del titolare del trattamento, in una banca dati creata al fine di effettuare test e di correggere errori, di dati personali precedentemente raccolti per altre finalità, per un arco di tempo superiore a quello necessario alla realizzazione di tali test e alla correzione di tali errori»). All’obbligo del responsabile del trattamento di impedire l’ulteriore identificazione dell’interessato corrisponde il diritto di quest’ultimo di ottenere la cancellazione o la trasformazione in forma anonima dei dati personali.

14. Il principio di sicurezza e riservatezza

L’art. 5, co. 1, lett. f) GDPR richiede, infine, che i dati personali siano trattati in modo da garantirne un’adeguata sicurezza e riservatezza contro il rischio di trattamenti non autorizzati o illeciti, di perdita, distruzione o danni accidentali ai dati. A tal fine, l’art. 32 GDPR, prescrive al titolare e al responsabile di adottare – tenuto conto dello stato dell’arte, dei costi di attuazione, nonché della natura, dell’ambito di applicazione, del contesto, delle finalità del trattamento, delle esigenze di protezione dei dati specificamente coinvolti e, dunque, dei rischi che presenta il trattamento (cfr., altresì, i considerando 75, 76 e 83 GDPR) – ogni misura tecnica e organizzativa idonea ad evitare una violazione dei dati personali e indica, a titolo esemplificativo, tra le misure da adottare: a) la pseudonimizzazione e la cifratura dei dati personali; b) la capacità di assicurare su base permanente la riservatezza, l’integrità, la disponibilità e la resilienza dei sistemi e dei servizi di trattamento; c) la capacità di ripristinare tempestivamente la disponibilità e l’accesso dei dati personali in caso di incidente fisico o tecnico; d) una procedura per testare, verificare e valutare regolarmente l’efficacia delle misure tecniche e organizzative al fine di garantire la sicurezza del trattamento.

15. Il principio di accountability

L’art. 32 GDPR rappresenta una specificazione, in materia di sicurezza, della più generale disciplina dettata all’art. 24 GDPR, il quale obbliga il titolare e il responsabile del trattamento, tenuto conto dello stato dell’arte e dei costi di attuazione, nonché della natura, dell’oggetto, del contesto e delle finalità del trattamento, nonché dei rischi per i diritti e le libertà delle persone fisiche, ad adottare ogni altra misura tecnica e organizzativa adeguata per garantire che il trattamento sia effettuato in conformità al regolamento (cfr., altresì, il considerando 74 GDPR). La norma dà espresso riconoscimento al c.d. principio di accountability (da tradurre come responsabilizzazione e non responsabilità) il quale si concretizza in un mutamento di approccio da parte del legislatore europeo: in luogo di prescrizione dirette e precise, alla cui mancata applicazione consegue una sanzione, il regolamento prevede un obiettivo generale (la conformità ai principi del regolamento), affidando al titolare la scelta delle modalità concrete più adeguate per conseguirlo e rimettendo all’autorità di controllo o al giudice la successiva valutazione in merito alla loro adeguatezza.

Oltre all’art. 24 GDPR e al già richiamato art. 32 GDPR in materia di sicurezza fa diretto riferimento al principio di accountability anche l’art. 5, co. 2 GDPR, il quale dispone che «il titolare del trattamento è competente per il rispetto del paragrafo 1 [che menziona i principi applicabili al trattamento] e in grado di comprovarlo», così evidenziando il duplice profilo prescrittivo e probatorio che dà contenuto al principio: all’obbligo di conformarsi alle prescrizioni del regolamento si affianca infatti l’obbligo di dimostrare la correttezza e l’adeguatezza della misura adottata e, più in generale, la conformità al regolamento. A tal fine particolare importanza riveste il registro delle attività di trattamento che il titolare e il responsabile devono tenere ai sensi dell’art. 30 GDPR: la sua omissione, tuttavia, sebbene renda meno agevole dimostrare la conformità del trattamento ai principi del regolamento, non dimostra di per sé che i diritti e le libertà degli interessati siano stati violati (così CGUE, 4 maggio 2023, C-60/22). Sono espressione del principio di accountability anche l’art. 12 GDPR, là dove rimette al titolare la scelta delle «misure appropriate per fornire all’interessato tutte le informazioni di cui agli artt. 13 e 14 e le comunicazioni di cui agli articoli da 15 a 22»; l’art. 7 GDPR, il quale rimette al titolare del trattamento la scelta della modalità di acquisizione del consenso e del conseguente onere probatorio; l’art. 6, co. 1, lett. f) GDPR, il quale impone al titolare del trattamento di compiere la valutazione comparativa tra il proprio legittimo interesse e gli interessi e i diritti dell’interessato.

Nella scelta della misura più appropriata, il titolare del trattamento, nell’esercizio della discrezionalità di cui dispone, deve tenere conto tra gli altri, e specie in materia di sicurezza, del livello di rischio che il trattamento presenta per i diritti e le libertà dell’interessato (art. 32, par. 1, GDPR). A tal fine il titolare, prima di avviare il trattamento, deve svolgere una valutazione di impatto qualora prevede di utilizzare una nuova tecnologia o, indipendentemente dal mezzo utilizzato, allorquando, considerati la natura, l’oggetto, il contesto e le finalità del trattamento valuti l’esistenza di un rischio elevato per i diritti e le libertà delle persone fisiche (art. 35, par. 1 GDPR; v., altresì, provvedimento del Garante per la protezione dei dati personali n. n. 467 dell’11 ottobre 2018), come accade, a esempio, nelle ipotesi: a) di trattamento che implica una valutazione sistematica e globale di aspetti personali relativi a persone fisiche, basata su un trattamento automatizzato, compresa la profilazione, e sulla quale si fondano decisioni che hanno effetti giuridici o incidono in modo analogo significativamente su dette persone fisiche; b) di trattamento, su larga scala, di categorie particolari di dati personali di cui all’art. 9, par. 1, o di dati relativi a condanne penali e a reati di cui all’art. 10; c) di trattamento che implica la sorveglianza sistematica su larga scala di una zona accessibile al pubblico. La valutazione di impatto che il titolare del trattamento deve svolgere, consultando il responsabile del trattamento e, se del caso, gli interessati o i loro rappresentanti, e che, dovrà essere periodicamente riesaminata (art. 35, par. 11 GDPR), include gli adempimenti di cui all’art. 35, par. 7 GDPR, tra i quali spicca la individuazione e la valutazione dei rischi per i diritti e le libertà degli interessati nonché la successiva illustrazione delle misure predisposte per affrontare tali rischi e rendere il trattamento conforme al Regolamento.

Qualora a seguito della valutazione di impatto dovesse emergere che, tenuto conto della tecnologia disponibili e dei costi di attuazione (considerando 84 GDPR) le misure adottate dal titolare non sono in grado di ridurre il rischio (il quale, dunque, persiste elevato) quest’ultimo sarà obbligato a consultare l’autorità di controllo, la quale – anche esercitando i poteri di indagine previsti dall’art. 58 – là dove dovesse accertare che il trattamento violi il Regolamento entro il termine di otto settimane (prorogabile di ulteriori sei settimane) dovrà emanare un parere scritto.

Strettamente connessi con il principio di responsabilizzazione e con la valutazione d’impatto, sono i c.d. principi della privacy by design e privacy by default, sanciti all’art. 25 (cfr., altresì, EDPB Linee guida 4/2019 sull’articolo 25, Protezione dei dati fin dalla progettazione e per impostazione predefinita), i quali – tenuto conto dello stato dell’arte e dei costi di attuazione, nonché della natura, dell’ambito di applicazione del contesto e delle finalità del trattamento così come dei rischi del trattamento – impongono, sin dalla progettazione del trattamento (dunque prima che il trattamento sia avviato), nonché per impostazione predefinita, l’adozione di soluzioni tecniche e organizzative (la cui individuazione in concreto spetta al titolare di determinare) adeguate per rendere conforme il trattamento ai principi del Regolamento.

Ciò comporta, a esempio, che il titolare che intenda trattare dati personali per finalità di vendita online di beni dovrà configurare il layout del sito internet in modo da fornire le informazioni in conformità a quanto prescritto dall’art. 12 GDPR: dovrà, perciò, adottare un approccio multilivello, evidenziando immediatamente i punti più importanti e, mediante la creazione di menu a discesa e collegamenti ad altre pagine, mettere a disposizione dell’interessato le ulteriori informazioni di dettaglio; dovrà, ancora, rendere visibile l’informativa privacy su tutte le pagine del sito di modo che l’interessato acceda sempre alle informazioni con un semplice clic; dovrà, infine, mettere a disposizione le informazioni nel giusto contesto e al momento adeguato, utilizzando ad esempio snippet informativi o pop-up. Il medesimo titolare dovrà, poi, predisporre il modulo d’ordine per la raccolta dei dati personali dei clienti in conformità al principio di minimizzazione: dopo aver individuato i dati personali strettamente necessari per l’acquisto dei beni, dovrà, ad esempio, rendere opzionale la compilazione di quei campi del modulo d’ordine che richiedono dati ulteriori rispetto a quelli necessari per l’esecuzione del contratto. Sempre avuto riguardo al principio di minimizzazione, il titolare del trattamento – in un altro esempio: un ospedale che gestisce le informazioni sullo stato di salute dei pazienti – dovrà, per impostazione predefinita, consentire l’accesso a tali informazioni solo ai membri del personale medico ai quali sia affidata la cura del paziente nel reparto specifico cui questi è assegnato. Con riferimento, invece, al principio di limitazione della conservazione, il titolare del trattamento dovrà anzitutto definire e adottare una procedura interna per la conservazione e la cancellazione dei dati, in base alla quale i dipendenti cancelleranno manualmente i dati personali dopo la fine del periodo della loro conservazione e, poi, per rendere più efficace la cancellazione, predisporre un meccanismo di cancellazione dei dati automatico. In attuazione del principio di integrità e sicurezza, il titolare del trattamento dovrà, infine, a titolo esemplificativo, predisporre un sistema di gestione della sicurezza delle informazioni, limitare l’accesso soltanto a taluni dipendenti, dotati di chiavi di accesso, predisporre una segregazione della rete in modo tale che l’eventuale malware che abbia superato il perimetro di security non sia in grado di paralizzare tutti i dispositivi aziendali connessi; prevedere la pesudonimizzazione dei dati.

Sez. III. La violazione dei dati personali

16. Introduzione. La nozione

La violazione dei dati personali, spesso nota con l’espressione inglese di data breach, è definita dal legislatore europeo come «la violazione di sicurezza che comporta accidentalmente o in modo illecito la distruzione, la perdita, la modifica, la divulgazione non autorizzata o l’accesso ai dati personali trasmessi, conservati o comunque trattati» (art. 4, n. 12) GDPR). A tale nozione fanno riferimento alcune regole (artt. 33-34 GDPR), che al ricorrere, per l’appunto, di una violazione dei dati personali, gravano il titolare del trattamento e, in parte, il responsabile del trattamento di una serie di obblighi.

Prima di esaminare nel dettaglio i vari elementi che compongono la nozione e la disciplina, è utile soffermarsi su alcuni aspetti preliminari per ricostruire la storia e la finalità dell’istituto in esame.

Le norme sulla violazione dei dati personali rappresentano una novità introdotta dal GDPR. La direttiva 95/46/CE, infatti, non disciplinava le conseguenze di un’eventuale violazione dei dati personali, né tanto meno ne forniva una definizione. In realtà, già si prevedevano obblighi di sicurezza in capo al titolare del trattamento «al fine di garantire la protezione dei dati personali dalla distruzione accidentale o illecita, dalla perdita accidentale o dall’alterazione, dalla diffusione o dall’accesso non autorizzati, […] o da qualsiasi altra forma illecita di trattamento di dati personali» (art. 17, par. 1, direttiva 95/46); tuttavia, mancavano specifiche disposizioni per l’ipotesi in cui tali circostanze, oggi qualificabili come violazioni di dati personali, si verificassero.

Prima dell’adozione del GDPR, il legislatore europeo si era comunque già occupato della violazione dei dati personali in un intervento di modifica della direttiva e-privacy, contenuto nella direttiva 2009/136/CE. A livello di diritto interno, l’art. 4, co. 3, lett. g-bis) del codice privacy, introdotto in attuazione di quest’ultima direttiva dal d.lgs. n. 69/2012, definiva la violazione dei dati personali come la «violazione della sicurezza che comporta anche accidentalmente la distruzione, la perdita, la modifica, la rivelazione non autorizzata o l’accesso ai dati personali trasmessi, memorizzati o comunque elaborati nel contesto della fornitura di un servizio di comunicazione accessibile al pubblico». Tale fattispecie, in armonia con il disposto della direttiva comunitaria, veniva presa in considerazione, dall’abrogato art. 32-bis, cod. privacy, solo nell’ambito dei servizi di comunicazione elettronica accessibili al pubblico (ad esempio, servizi telefonici, servizi di accesso a Internet), il cui fornitore veniva obbligato, al verificarsi di una siffatta violazione, di informare il Garante per la protezione dei dati personali e, qualora la violazione rischiasse di arrecare pregiudizio ai dati personali o alla riservatezza dell’utente contraente del servizio o di altra persona, di compiere una comunicazione a questi ultimi. Simili obblighi informativi, in caso di violazioni dei dati, venivano imposti anche alle banche (v. provvedimento del Garante per la protezione dei dati personali n. 192 del 12 maggio 2011), ai titolari dei trattamenti di dati biometrici (v. provvedimento del Garante per la protezione dei dati personali n. 513 del 12 novembre 2014), alle strutture sanitarie (v. provvedimento del Garante per la protezione dei dati personali n. 331 del 4 giugno 2015) e alle amministrazioni pubbliche (v. provvedimento del Garante per la protezione dei dati personali n. 393 del 2 luglio 2015).

Sono diverse le analogie con le norme adesso previste dal GDPR. Tuttavia, la differenza più significativa risiede nell’ambito applicativo soggettivo: mentre, in passato, gli obblighi da osservare in caso di data breach incombevano soltanto su alcuni soggetti, adesso gravano su qualunque titolare del trattamento di dati personali.

Come risulta ormai chiaro, le norme sulla violazione dei dati personali devono essere lette in stretta connessione agli obblighi di sicurezza del titolare del trattamento (art. 32 GDPR), i quali rappresentano un’espressa concretizzazione del principio sancito dall’art. 5, par. 1, lett. f) GDPR (v. supra in questo cap., sez. II, § 14). La stessa nozione sopra richiamata (art. 4, n. 12 GDPR), infatti, definisce la violazione dei dati personali come una «violazione di sicurezza».

Non bisogna, però, intendere che quest’ultima consista necessariamente in una violazione degli obblighi previsti dall’art. 32, relativi all’adozione di misure tecniche e organizzative adeguate a garantire un livello di sicurezza appropriato al rischio connesso al trattamento dei dati. La sicurezza, infatti, può risultare violata anche in assenza di condotte censurabili del titolare o del responsabile del trattamento (CGUE, 14 dicembre 2023, C-340/21, § 31). La violazione dei dati personali va intesa, dunque, come un incidente di sicurezza informatica da cui discende una situazione pregiudizievole per i dati personali trattati – quale la distruzione, la perdita, la modifica, la divulgazione o l’accesso non autorizzati – che può comportare un rischio per i diritti e le libertà delle persone fisiche cui i dati si riferiscono (art. 33, par. 1 GDPR).

La causa dell’incidente potenzialmente rischioso può essere di natura accidentale o illecita. In quest’ultimo caso, l’illecito (ad esempio, una frode informatica) è solitamente imputabile a terzi diversi dal titolare e dall’eventuale responsabile del trattamento, i quali, tuttavia, possono essere comunque ritenuti (in parte) responsabili della violazione di sicurezza, laddove non abbiano preventivamente adottato le misure volte a proteggere i dati personali dall’esterno. In ogni caso, al di là del concorso nella causa della violazione, il titolare e il responsabile del trattamento possono essere ritenuti responsabili del rischio generato dalla violazione stessa, laddove non abbiano eseguito in modo adeguato e tempestivo gli adempimenti necessari dopo il data breach. Il rischio, che deriva dalla violazione di sicurezza, dev’essere affrontato secondo tali modalità per evitare che lo stesso si traduca in danni per gli interessati.

La disciplina predisposta dal legislatore europeo mira, quindi, ad anticipare la tutela delle persone fisiche coinvolte a uno stadio precedente rispetto al concretizzarsi dei danni, peraltro non sempre facilmente riparabili (cfr. infra cap. Il risarcimento del danno da illecito trattamento dei dati personali).

Tra i pregiudizi che gli interessati al trattamento possono subire in ragione di una violazione dei dati personali, si possono citare, a titolo esemplificativo: la perdita del controllo sui dati personali che li riguardano, la limitazione dei loro diritti, la decifratura non autorizzata della pseudonimizzazione, la discriminazione, il furto o l’usurpazione d’identità, il pregiudizio alla reputazione, la perdita di riservatezza dei dati personali protetti da segreto professionale, perdite finanziarie (v. considerando 85 GDPR).

Per definire in modo completo il significato della nozione di violazione di sicurezza, occorre altresì precisare cosa si intende per «distruzione», «perdita» e «modifica» dei dati personali, oltre che per «divulgazione» e «accesso» non autorizzati. A tal fine, preziose indicazioni provengono dalle Linee guida n. 9/2022 sulla notifica delle violazioni dei dati personali, adottate il 28 marzo 2023 dal Comitato europeo per la protezione dei dati (European Data Protection Board)2. In tale documento, si chiarisce che: la «distruzione» dei dati personali si verifica quando i dati non esistono i più, o comunque non esistono più in una forma che possa permetterne un qualsiasi uso da parte del titolare del trattamento; la «perdita» dei dati personali sottende una situazione in cui i dati possono ancora essere presenti, ma il titolare del trattamento ne ha perso il controllo o l’accesso, o non ne è più in possesso; la «modifica» dei dati personali ha luogo quando i dati perdono la loro integrità; la «divulgazione» e l’«accesso» non autorizzati sono, infine, due ipotesi nelle quali i dati personali sono, rispettivamente, oggetto di una comunicazione a destinatari non autorizzati al trattamento o, in assenza di comunicazione, di un accesso da parte di terzi che non avrebbero dovuto trattare i medesimi dati.

Le fattispecie appena descritte sono classificabili, in base ai principi di sicurezza informatica, all’interno di tre diverse tipologie di violazioni: la violazione della riservatezza; la violazione dell’integrità; la violazione della disponibilità. Mentre la divulgazione e l’accesso non autorizzati realizzano un vulnus alla riservatezza dei dati, la modifica ne intacca l’integrità, e la perdita, al pari della distruzione, fa sì che i dati non siano più nella disponibilità del titolare. In base alle circostanze, la gravità della violazione può variare: il grado massimo si raggiunge quando essa presenta una combinazione delle tre tipologie menzionate.

Si pensi, a esempio, a un attacco informatico che riesca, da un lato, a cifrare i dati personali in possesso del titolare (c.d. attacco ransomware), con conseguente perdita di disponibilità dei dati in mancanza di un backup, cioè di una copia di sicurezza, e che riesca, d’altro lato, anche ad esportarli (c.d. esfiltrazione) e a modificarli, con conseguente violazione di riservatezza e integrità. All’estremo opposto, come incidente meno grave, si pone il caso di una semplice perdita temporanea di disponibilità dei dati, che talvolta, come evidenziano le Linee guida 9/2022, potrebbe anche non trattarsi di una violazione di sicurezza, come quando la perdita temporanea è dovuta a un intervento programmato di manutenzione del sistema informatico su cui i dati sono conservati. Tuttavia, ciò non vale per altre ipotesi in cui si verifica una mancanza temporanea di controllo dei dati: ad esempio, se questa è imputabile a un’interruzione prolungata di corrente elettrica, pur non presentando solitamente rischi per i diritti e le libertà degli interessati, dovrebbe essere comunque considerata una violazione, con le conseguenze che ne derivano per il titolare del trattamento.

17. L’obbligo di documentazione

La violazione dei dati personali è fonte di una serie di obblighi per il titolare e il responsabile del trattamento. Alcuni di tali obblighi sorgono qualora la violazione abbia determinate caratteristiche; altri, invece, rappresentano una costante di qualsiasi violazione dei dati personali. Nel primo gruppo, come vedremo, rientrano la notifica all’autorità di controllo e la comunicazione agli interessati, da parte del titolare del trattamento; nel secondo, occorre annoverare l’obbligo di informazione del responsabile del trattamento nei confronti del titolare e l’obbligo di documentazione dell’incidente gravante su quest’ultimo.

In particolare, a tal riguardo, l’art. 33, par. 5 GDPR prevede che il titolare del trattamento documenti qualsiasi violazione dei dati personali, comprese le circostanze a essa relative, le sue conseguenze e i provvedimenti adottati per porvi rimedio. Tale documentazione dev’essere conservata in quanto la stessa potrà essere esaminata dall’autorità di controllo per verificare che il titolare abbia agito in conformità agli (altri) obblighi previsti dal GDPR, in caso di violazione dei dati personali. L’obbligo di documentazione risulta, dunque, strumentale all’attività di vigilanza sull’applicazione del GDPR, svolta dall’autorità di controllo (v. infra cap. La regolamentazione e la tutela amministrativa, § 1).

Al contempo, la documentazione serve allo stesso titolare del trattamento per (mettersi in grado di) dimostrare di aver operato nel rispetto della disciplina in materia di protezione dei dati personali. Da quest’angolo di visuale, l’obbligo in esame costituisce una chiara concretizzazione del principio di responsabilizzazione (accountability), sancito dall’art. 5, par. 2 GDPR e attuato, in termini generali, dagli obblighi del titolare del trattamento di cui all’art. 24, par. 1 GDPR (v. supra in questo cap., sez. II, § 15). Per il rispetto del suddetto principio, oltre alla documentazione raccolta, assume rilevanza anche la conoscenza, da parte dei dipendenti del titolare, delle procedure da adottare in caso di data breach: a tal fine, può risultare utile, a livello interno, la redazione preventiva di un manuale per la gestione delle violazioni dei dati.

Per conservare la documentazione relativa alle violazioni di sicurezza, è implicito, come specificano le Linee guida 9/2022, che il titolare del trattamento tenga un registro delle violazioni in questione. Non deve necessariamente trattarsi di un registro separato da quello relativo alle attività di trattamento di cui all’art. 30, par. 1 GDPR, potendo costituire semplicemente parte di quest’ultimo.

Il titolare del trattamento è, quindi, abbastanza autonomo nella scelta del metodo con cui registrare le informazioni relative a una violazione dei dati personali; è, invece, vincolato rispetto al contenuto, che deve includere tanto le cause dell’incidente di sicurezza, quanto gli effetti, con speciale riferimento alle azioni intraprese dal titolare per porvi rimedio. A quest’ultimo riguardo, pur nel silenzio dell’art. 33, par. 5 GDPR, il Comitato europeo per la protezione dei dati raccomanda di documentare anche le ragioni che hanno condotto alle azioni in questione. Se, ad esempio, il titolare del trattamento non notifica la violazione dei dati personali all’autorità di controllo, è bene che nel registro siano riportati i motivi in base ai quali il titolare ritiene che la violazione non presenti un rischio per i diritti e le libertà delle persone fisiche, cui i dati violati si riferiscono.

L’obbligo di documentazione implica la conservazione delle informazioni relative alla violazione di sicurezza; pertanto, laddove tali informazioni facciano esplicito riferimento a dati personali, si pone il problema di definire il periodo di conservazione di tali dati. Occorre rifarsi al principio generale secondo cui i dati possono essere conservati, in una forma che consenta l’identificazione degli interessati, per un arco di tempo non superiore al conseguimento delle finalità per le quali sono trattati (art. 5, par. 1, lett. e) GDPR). Nel caso in questione, la conservazione è ammessa finché il titolare del trattamento può essere chiamato a fornire prova, dinanzi all’autorità di controllo, del rispetto della procedura relativa al data breach e, più in generale, del rispetto del principio di accountability.

18. La notifica all’autorità di controllo

Se la documentazione è un’attività sempre necessaria nel caso in cui si verifichi una violazione di dati personali, non può dirsi altrettanto per la notifica all’autorità di controllo, cioè il Garante per la protezione dei dati personali. Il titolare del trattamento, infatti, può esimersi dalla notifica quando ritiene improbabile che la violazione dei dati personali presenti un rischio per i diritti e le libertà delle persone fisiche (art. 33, par. 1 GDPR).

Nella valutazione di tale rischio, il titolare può avvalersi del responsabile della protezione dei dati (meglio noto come Data Protection Officer: DPO), che, quando presente (v. art. 37, parr. 1 e 4 GDPR), deve fornire consulenza in merito agli obblighi derivanti dalla disciplina europea e nazionale sulla protezione dei dati personali (art. 39, par. 1, lett. a)). Il DPO (sulla cui figura, v. supra cap. Le definizioni fondamentali, § 7), inoltre, è indicato come il punto di contatto presso cui l’autorità di controllo può ottenere informazioni aggiuntive, circa la violazione dei dati personali, rispetto a quelle inserite nella notifica effettuata dal titolare. Per tale ragione, si devono almeno comunicare il nome e i dati di contatto (ad esempio, l’indirizzo e-mail) del responsabile della protezione dei dati (art. 33, par. 3, lett. b)).

Prima di esaminare i fattori da considerare per la valutazione dei rischi della violazione, propedeutica all’eventuale notifica al Garante, è bene evidenziare che il titolare deve preliminarmente venire a conoscenza del data breach. Ciò deve avvenire il prima possibile: infatti, solo se si prende consapevolezza dell’incidente di sicurezza in tempi rapidi, è possibile effettuare la notifica all’autorità di controllo «senza ingiustificato ritardo», come richiede l’art. 33, par. 1. Inoltre, la stessa norma impone al titolare del trattamento, una volta appresa la violazione, di procedere con la notifica, ove possibile, entro 72 ore; altrimenti, il titolare deve specificare all’autorità di controllo i motivi del ritardo.

La ratio alla base di tali prescrizioni è che prima si interviene, informando il Garante per la protezione dei dati personali, meglio si riesce a mitigare i rischi discendenti dal data breach. Coerentemente con tale disegno, occorre che il titolare del trattamento, al fine di agire in modo tempestivo, si doti di tutte le misure tecnologiche e organizzative adeguate per stabilire immediatamente se c’è stata violazione dei dati personali (v. considerando 87 GDPR). Talvolta, il titolare potrebbe semplicemente sospettare che una violazione di dati personali abbia avuto luogo; in casi del genere, svolgerà celermente una verifica interna per accertarne il reale avvenimento e, in tale frangente temporale, non potrà considerarsi ancora consapevole della violazione per il decorso del termine delle 72 ore entro cui effettuare la notifica (v. le Linee guida 9/2022).

Da non trascurare, inoltre, il ruolo del responsabile del trattamento, il quale, con l’obbligo di informare tempestivamente il titolare di eventuali incidenti di sicurezza (art. 33, par. 2 GDPR), contribuisce a mettere quest’ultimo nelle condizioni di notificare la violazione al Garante senza ingiustificato ritardo.

Da quando il titolare del trattamento viene a conoscenza del data breach, egli deve procedere senza indugio alla valutazione del rischio per i diritti e le libertà delle persone fisiche, vale a dire il rischio che la violazione dei dati personali comporti discriminazioni, furti o usurpazioni di identità, perdite finanziarie, pregiudizi alla reputazione, perdita di riservatezza dei dati personali protetti da segreti professionali, decifratura non autorizzata di dati pseudonimizzati, perdita del controllo dei dati personali da parte degli interessati, o qualsiasi altro danno economico o sociale significativo (v. considerando 75 e 85 GDPR).

La valutazione di tali rischi, come si è visto (v. supra in questo cap., sez. II, § 15), ricorre anche nell’ambito della valutazione di impatto sulla protezione dei dati (v. art. 35, par. 7, lett. c) GDPR). Non bisogna, tuttavia, pensare che la valutazione dei rischi susseguente a una violazione di dati personali coincida con quella oggetto di una data protection impact assessment (DPIA). Invero, sebbene nella DPIA si faccia riferimento anche ai rischi connessi a un eventuale data breach, non può trascurarsi che i rischi in essa valutati riguardano un evento del tutto ipotetico, con la conseguenza che la probabilità del loro verificarsi può essere ben diversa rispetto a quella inerente a un incidente di sicurezza che si è concretamente verificato. D’altronde, in una DPIA si prendono in considerazione i dati personali genericamente coinvolti in un determinato trattamento, mentre nella valutazione dei rischi successiva a un data breach si tiene conto soltanto dei dati personali violati.

I rischi possono variare in base a diversi fattori. Tra questi, le Linee guida 9/2022 suggeriscono di valorizzare: il tipo di violazione; la natura, la sensibilità e il volume dei dati violati; la facilità di identificazione degli interessati, così come il numero e le caratteristiche degli stessi, oltre alla gravità di conseguenze che la violazione può causare nei loro confronti. Invero, la perdita di disponibilità, dovuta a un attacco informatico, di dati particolarmente sensibili (ad esempio, i dati delle cartelle cliniche dei pazienti di un ospedale) presenta rischi maggiori dell’accesso non autorizzato, da parte di un ex dipendente del titolare, a dati comuni di un gruppo, pur numeroso, di interessati (ad esempio, il nome, il cognome e la data di nascita dei clienti possessori della carta fedeltà di un supermercato). A sua volta, quest’ultima violazione risulta più rischiosa dell’invio involontario, al destinatario sbagliato, di un’e-mail contenente informazioni di non particolare rilievo, relative ad un solo interessato (ad esempio, un’e-mail di conferma dell’ordine di acquisto di una t-shirt, effettuato da un singolo cliente).

Al contempo, l’adozione preventiva di tecniche di protezione dei dati può ridurre sensibilmente i rischi, anche a fronte di violazioni che colpiscano dati rilevanti (ad esempio, l’esfiltrazione da un sito web delle password degli utenti è poco probabile che comporti rischi per gli interessati nella misura in cui le password siano crittografate e l’autore dell’attacco informatico non abbia accesso alla chiave crittografica). Quest’ultimo esempio è tratto dall’accurata casistica delle violazioni di dati personali più frequenti, stilata dal Comitato europeo per la protezione dei dati, che fornisce altresì le istruzioni necessarie sulle azioni da intraprendere da parte del titolare del trattamento (v. EDPB, Linee guida 01/2021 su esempi riguardanti la notifica di una violazione dei dati personali).

Se dalla valutazione, che il titolare del trattamento è chiamato a compiere, risulta un rischio per i diritti e le libertà degli interessati, la notifica al Garante per la protezione dei dati personali è obbligatoria.

Le informazioni da fornire devono comprendere almeno: la descrizione della natura della violazione dei dati personali, compresi, ove possibile, le categorie e il numero approssimativo di interessati in questione, nonché le categorie e il numero approssimativo di registrazioni dei dati personali in questione; la comunicazione del nome e dei dati di contatto del responsabile della protezione dei dati o di altro punto di contatto presso cui ottenere informazioni; la descrizione delle probabili conseguenze della violazione dei dati personali; la descrizione delle misure adottate, o di cui si propone l’adozione, da parte del titolare del trattamento per porre rimedio alla violazione dei dati personali e, se del caso, per attenuarne i possibili effetti negativi (art. 33, par. 3 GDPR).

È possibile che il titolare non riesca a raccogliere tutte le informazioni da notificare all’autorità di controllo entro il breve termine di 72 ore dalla scoperta della violazione dei dati personali. Per tale ragione, l’art. 33, par. 4 permette di fornire le informazioni mancanti dopo la notifica, purché ciò avvenga «senza ulteriore ingiustificato ritardo». A fronte di attacchi informatici particolarmente sofisticati, può darsi, ad esempio, che solo un’indagine di polizia riesca a ricostruire la natura e la portata dell’incidente di sicurezza; in tal caso, una volta ottenute le ulteriori informazioni sulla violazione dei dati personali, il titolare può integrare la notifica in una fase successiva.

19. La comunicazione agli interessati

La notifica all’autorità di controllo e l’adozione di misure idonee ad attenuare i rischi del data breach, da documentare, a livello interno, insieme alle caratteristiche della violazione, non esauriscono gli adempimenti del titolare del trattamento. Come si è anticipato, infatti, la violazione di sicurezza richiede anche la comunicazione agli interessati, i cui dati sono stati violati, laddove il rischio per i loro diritti e le loro libertà risulti elevato. Nell’esempio sopra citato di un attacco informatico che renda indisponibili i dati delle cartelle cliniche dei pazienti di un ospedale, non vi è dubbio che si ricada in tale fattispecie. Ma, volendo cambiare tipologia di violazione, lo stesso varrebbe anche in caso di furto di un supporto materiale su cui sono memorizzati dati personali non cifrati di un numero molto significativo di soggetti (ad esempio, il furto del computer portatile del dipendente di una società di servizi contenente una lista di oltre 100.000 clienti, comprendente, oltre che il nome e il cognome, il sesso, la data di nascita e l’indirizzo di residenza: l’esempio è tratto dalle Linee guida 01/2021).

Valutata la gravità del rischio derivante dal data breach, il titolare del trattamento, senza ingiustificato ritardo, deve comunicare agli interessati la violazione, descrivendone la natura e le probabili conseguenze e informandoli delle misure adottate o di cui si propone l’adozione per porvi rimedio, facendo altresì riferimento ai dati di contatto del responsabile della protezione dei dati (art. 34, parr. 1-2 GDPR). Ove opportuno, la comunicazione dovrebbe anche fornire raccomandazioni agli interessati sulle misure da impiegare per proteggere sé stessi dai possibili effetti negativi della violazione (v. considerando 86 GDPR): ad esempio, a seguito di un attacco informatico a un sito web, potrebbe suggerire il cambio di password, nel caso in cui vi sia il dubbio che l’autore dell’attacco abbia avuto accesso alle credenziali degli utenti. D’altronde, l’obbligo di comunicazione mira proprio a mettere gli interessati nelle condizioni di prendere consapevolezza dei rischi e di agire, ove possibile, con misure di autoprotezione.

La scelta del mezzo comunicativo è rimessa al titolare del trattamento, che, su raccomandazione del Comitato europeo per la protezione dei dati (v. le Linee guida 9/2022), dovrebbe comunque preferire il canale più idoneo a far pervenire correttamente la comunicazione a tutti gli interessati. In quest’ottica, il titolare potrebbe anche ricorrere contemporaneamente a diversi canali, come l’invio di messaggi telematici (ad esempio, e-mail, SMS), o cartacei tramite i servizi postali, oppure la pubblicazione di banner su siti web di primo piano. Non è, invece, sufficiente la pubblicazione di un comunicato stampa.

In ogni caso, la comunicazione dev’essere trasparente: il titolare deve utilizzare un linguaggio semplice e chiaro per gli interessati (art. 34, par. 2 GDPR) e deve evitare di inviare le informazioni sul data breach insieme ad altre informazioni che, non riguardando la violazione, potrebbero sviare l’attenzione dei destinatari. Sul piano della comprensibilità del messaggio, inoltre, è di particolare rilievo la lingua in cui la comunicazione viene scritta. Il titolare dovrebbe impiegare la lingua già utilizzata in altre occasioni di contatto con gli interessati; tuttavia, se non vi sono state precedenti interazioni, può essere accettata, stando alle indicazioni del Comitato europeo per la protezione dei dati, la lingua del Paese in cui il titolare del trattamento ha sede.

In casi particolari, nonostante la violazione possa astrattamente comportare un rischio elevato per i diritti e le libertà delle persone fisiche interessate, il titolare del trattamento è esonerato dalla comunicazione. Ciò avviene quando: a) il titolare ha adottato, prima della violazione, misure adeguate di protezione dei dati, quali la cifratura; b) il titolare adotta, dopo la violazione, misure atte a scongiurare il sopraggiungere del rischio elevato, come, ad esempio nel caso in cui riesca a identificare l’autore del data breach, impedendogli di fare alcunché coi dati violati (art. 34, par. 3 GDPR). Una terza fattispecie in cui il titolare può legittimamente astenersi dal comunicare agli interessati la violazione, sebbene quest’ultima presenti realmente un rischio elevato per i diritti e le libertà degli interessati, si ha quando tale comunicazione richiederebbe sforzi sproporzionati. È il caso in cui i dati di contatto degli interessati sono stati persi a causa della violazione o, già da prima, non erano nella disponibilità del titolare del trattamento. Questi deve, comunque, procedere a una comunicazione pubblica o a una misura simile, tramite la quale gli interessati sono informati con analoga efficacia (art. 34, par. 3, lett. c) GDPR).

Se il titolare ritiene che ricorra una delle condizioni appena descritte, può evitare di comunicare la violazione dei dati personali agli interessati. Nel rispetto del principio di responsabilizzazione (accountability), deve essere in grado di dimostrare al Garante per la protezione dei dati che la condizione di esonero sia soddisfatta. L’autorità di controllo può, da par suo, decidere che effettivamente si ricada in una delle ipotesi sopra menzionate, confermando la legittimità della scelta del titolare; tuttavia, può anche richiedere a quest’ultimo di provvedere alla comunicazione non ancora effettuata (art. 34, par. 4 GDPR), esercitando, se del caso, i propri poteri per sanzionare l’omissione.

Riferimenti bibliografici

Barba Angelo, Pagliantini Stefano (a cura di). 2019. Delle persone. Leggi collegate, II. Torino: Utet.

Bolognini, Luca. 2016. “I principi del trattamento.” In Bistolfi C., Bolognini L., Pelino E., Il Regolamento privacy europeo. Commentario alla nuova disciplina sulla protezione dei dati personali. Milano: Giuffrè.

Caggia, Fausto. 2019. “Libertà ed espressione del consenso.” In Vincenzo Cuffaro, Roberto D’Orazio e Vincenzo Ricciuto, I dati personali nel diritto europeo. Torino: Giappichelli, pp. 249-73.

Dell’Utri, Marco. 2019. “Principi generali e condizioni di liceità del trattamento dei dati personali.” In Cuffaro Vincenzo, D’Orazio Roberto, Ricciuto Vincenzo (a cura di), I dati personali nel diritto europeo. Torino: Giappichelli.

Finocchiaro, Giusella. 2017. “Il quadro d’insieme sul Regolamento europeo sulla protezione dei dati personali.” In Finocchiaro Giusella (a cura di), Il nuovo Regolamento europeo sulla privacy e sulla protezione dei dati personali. Bologna: Zanichelli.

Garofalo, Andrea M. 2022. “Il campo di applicazione del GDPR e i principi del trattamento.” In Magri Geo, Martinelli Silvia, Thobani Shaira (a cura di), Manuale di diritto privato delle nuove tecnologie. Torino: Giappichelli.

Iamiceli, Paola, Cafaggi, Fabrizio, Angiolini Chiara (a cura di). 2022. Casebook Effective Data Protection and Fundamental Rights. Scuola Superiore della Magistratura.

Irti, Claudia. 2021. Consenso “negoziato” e circolazione dei dati personali. Torino: Giappichelli.

Kamara, Irene, De Hert, Paul. 2018. “Understanding the balancing act behind the legitimate interest of the controller ground: a pragmatic approach.” Bruxelles Privacy Hub Working Paper n. 12.

Lucchini Guastalla, Emanuele. 2019. “Privacy e Data Protection: principi generali.” In Tosi Emilio (a cura di), Privacy Digitale. Riservatezza e protezione dei dati personali tra GDPR e nuovo Codice Privacy. Milano: Giuffrè.

Malgieri, Gianclaudio. 2021. “Art. 5.” In D’Orazio Roberto, Finocchiaro Giusella, Pollicino Oreste, Resta Giorgio, Codice della privacy e data protection. Milano: Giuffrè.

Messinetti, Davide. 1998. “Circolazione dei dati personali e dispositivi di regolazione dei poteri individuali.” Riv. crit. dir. privato 3.

Panetta, Rocco (a cura di). 2019. Circolazione e protezione dei dati personali tra libertà e regole di mercato. Commentario al regolamento UE n. 2016/679 e al novellato d.lgs. n. 196/2003. Milano: Giuffrè.

Renna, Mario. 2020. “Violazione dei dati personali, sicurezza del trattamento e protezione dai rischi”. Rivista del mercato assicurativo e finanziario 2: 197-221.

Resta, Giorgio. 2000. “Revoca del consenso ed interesse al trattamento nella legge sulla protezione dei dati personali.” Rivista critica del diritto privato 2: 299-333.

Resta, Giorgio, Zeno-Zencovich, Vincenzo. 2018. “Volontà e consenso nella fruizione dei servizi in rete.” Riv. trim. dir. proc. civ 2.

1 Chiara Angiolini ha scritto la prima sezione del presente capitolo, Antonello Iuliani la seconda e la terza.

2 Le Linee guida 9/2022 hanno aggiornato le precedenti Linee guida sulla notifica delle violazioni dei dati personali ai sensi del regolamento (UE) 2016/679, adottate dal Gruppo di lavoro Art. 29 il 3 ottobre 2017 ed emendate il 6 febbraio 2018. Ancora prima, il medesimo Gruppo di lavoro aveva adottato il Parere 03/2014 sulla notifica delle violazioni, riferito, tuttavia, all’obbligo dei fornitori di servizi di comunicazione elettronica ai sensi della direttiva 2002/58/CE.

Chiara Angiolini, University of Siena, Italy, chiara.angiolini@unisi.it

Antonello Iuliani, Università digitale Pegaso, Italy, antonello.iuliani@unipegaso.it, 0000-0001-9931-6934

Referee List (DOI 10.36253/fup_referee_list)

FUP Best Practice in Scholarly Publishing (DOI 10.36253/fup_best_practice)

Chiara Angiolini, Antonello Iuliani, La disciplina dell’attività di trattamento, © Author(s), CC BY-SA 4.0, DOI 10.36253/979-12-215-0796-6.06, in Chiara Angiolini, Antonello Iuliani (edited by), Manuale sulla protezione e circolazione dei dati personali, pp. -80, 2025, published by Firenze University Press and USiena PRESS, ISBN 979-12-215-0796-6, DOI 10.36253/979-12-215-0796-6

1. Introduzione

Con l’espressione «diritti dell’interessato», che parrebbe di primo acchito evocare l’autonomia delle singole attribuzioni, il Reg. UE 2016/679 (d’ora in avanti: GDPR) indica, agli artt. 12-23, l’insieme dei poteri, delle facoltà e dei rimedi specifici (dunque, non solo posizioni sostantive) che compongono il contenuto unitario del diritto alla protezione dei dati personali e alle quali il legislatore affida il compito di consentire all’interessato di esercitare il controllo sulle proprie informazioni di carattere personale. La scelta del legislatore europeo di disciplinare le modalità di esercizio del diritto fondamentale alla protezione dei dati personali innova rispetto alla concettualizzazione classica dei diritti fondamentali, la quale si sofferma piuttosto sui rimedi necessari per reagire (ex post) alle compressioni intollerabili della libertà del titolare da parte di terzi. Si tratta di una prospettiva che valorizza la dimensione cooperativa nella realizzazione della persona che chiama in gioco ex ante l’attività del titolare in una logica non dissimile da quella propria del rapporto obbligatorio.

2. Il diritto alle informazioni

Privilegiando un’articolazione dell’esposizione che ricalca la topografia del GDPR occorre muovere dagli obblighi informativi che gravano sul titolare, i quali – in attuazione del dovere di trasparenza prescritto all’art. 5, par. 1, lett. a) GDPR – intendono rimediare, non diversamente da quanto accade in materia consumeristica, alla strutturale e fisiologica asimmetria informativa che caratterizza la posizione dell’interessato, al fine di assicurare a quest’ultimo la pienezza del proprio diritto alla protezione dei dati personali. La natura strumentale degli obblighi di informazione rispetto all’esercizio degli altri diritti dell’interessato emerge con particolare evidenza sia dagli artt. 13, co. 2, lett. b) e 14, co. 2, lett. c) GDPR – che prevedono l’obbligo per il titolare di informare l’interessato sull’esistenza del diritto di chiedere l’accesso ai dati personali e la rettifica o la cancellazione degli stessi o la limitazione del trattamento che lo riguardano o di opporsi al loro trattamento, oltre al diritto alla portabilità dei dati – sia dall’art. 12 par. 3 GDPR – che impone al titolare (ad eccezione dell’ipotesi in cui sia impossibile identificare l’interessato) di fornire, senza giustificato ritardo, e al più tardi entro un mese dalla richiesta (termine prorogabile di due mesi), le informazioni relative alle azioni intraprese a seguito di una delle richieste formulata in sede di esercizio dei summenzionati «diritti». Sempre l’art. 12 GDPR detta le regole generali sulle modalità di comunicazione delle informazioni (ai sensi degli artt. 13 e 14 GDPR; ai sensi degli artt. 15-22 GDPR e ai sensi dell’art. 34 GDPR), le quali devono essere fornite, di regola, gratuitamente; per iscritto o con altri mezzi, anche elettronici, o, su richiesta dell’interessato anche oralmente; «in forma concisa, trasparente, intellegibile e facilmente accessibile, con un linguaggio semplice e chiaro, in particolare nel caso di informazioni destinate specificamente ai minori».

Se ne ricava che la comunicazione all’interessato deve essere: (i) calibrata sulle capacità di comprensione dell’uomo medio e, qualora, l’interessato sia un minore, «utilizzare un linguaggio semplice e chiaro che un minore possa capire facilmente» (così il considerando 58 GDPR); (ii) esaustiva ma non sovrabbondante; (iii) organizzata in modo da facilitare la comprensione da parte dell’interessato, a esempio, mediante un’offerta stratificata o multilivello che consenta di reperire immediatamente le informazioni essenziali e progressivamente quelle più di dettaglio. Significativo, a riguardo, è il provvedimento dell’Autorità garante del 7 marzo 2019, n. 59 (Chiarimenti sull’applicazione della disciplina per il trattamento dei dati relativi alla salute in ambito sanitario), che ha evidenziato «con specifico riferimento all’attività posta in essere da titolari del trattamento operanti in ambito sanitario che effettuano una pluralità di operazioni connotate da particolare complessità (es. aziende sanitarie)» l’opportunità «di fornire all’interessato le informazioni previste dal Regolamento in modo progressivo. Ciò significa che nei confronti della generalità dei pazienti afferenti a una struttura sanitaria potrebbero essere fornite solo le informazioni relative ai trattamenti che rientrano nell’ordinaria attività di erogazione delle prestazioni sanitarie (cfr. art. 79 del Codice). Gli elementi informativi relativi a particolari attività di trattamento (es. fornitura di presidi sanitari, modalità di consegna dei referti medici on-line, finalità di ricerca) potrebbero essere resi, infatti, in un secondo momento, solo ai pazienti effettivamente interessati da tali servizi e ulteriori trattamenti. Ciò andrebbe a beneficio di una maggiore attenzione alle informazioni veramente rilevanti, fornendo la piena consapevolezza circa gli aspetti più significativi del trattamento».

Il contenuto dell’obbligo di informazione è delineato, in misura sostanzialmente omogenea, agli artt. 13 e 14 GDPR a seconda che i dati siano raccolti presso l’interessato, su iniziativa di quest’ultimo o anche mediante monitoraggio, dunque passivamente (art. 13) o siano ottenuti da altra fonte (altro titolare, fonte pubblicamente accessibile quale una pagina web, fonte istituzionale come un pubblico registro) (art. 14). Il titolare deve in entrambi i casi comunicare all’interessato l’identità e i dati di contatto del titolare e del suo rappresentante; l’identità e i dati di contatto del responsabile della protezione dei dati personali; le finalità del trattamento e la sua base giuridica nonché la diversa finalità per la quale il titolare intende trattare ulteriormente i dati personali (artt. 13, par. 3 e 14 par. 4 GDPR); gli eventuali destinatari del trattamento o le categorie di destinatari; ove previsto, l’intenzione del titolare di trasferire dati a un destinatari in un paese terzo o a un’organizzazione internazionale e l’esistenza o l’assenza di una decisione di adeguatezza della Commissione.

I paragrafi 2 degli artt. 13 e 14 GDPR completano il catalogo delle informazioni che il titolare, al fine di conformarsi all’obbligo di correttezza e trasparenza, deve fornire all’interessato: spiccano, oltre all’informazione sull’esistenza di un processo decisionale automatizzato, compresa la profilazione, e le informazioni sulla logica utilizzata [cfr., sul punto, Cass. 25 maggio 2021, n. 14381, secondo la quale «nel caso di una piattaforma web preordinata all’elaborazione di profili reputazionali di singole persone fisiche o giuridiche, incentrata su un sistema di calcolo con alla base un algoritmo finalizzato a stabilire i punteggi di affidabilità, il requisito di consapevolezza (del consenso, n.d.a.) non può considerarsi soddisfatto ove lo schema esecutivo dell’algoritmo e gli elementi di cui si compone restino ignoti o non conoscibili da parte degli interessati»], le informazioni funzionali a rendere l’interessato pienamente consapevole, e cioè a dire le informazioni relative: ai diritti che la normativa gli accorda (art. 13, par. 2, lett. b) e 14, par. 2, lett. c) GDPR); al potere di revocare il consenso (art. 13, par. 2, lett. c) e 14, par. 2, lett. d) GDPR); alla tutela in via amministrativa tramite reclamo all’autorità garante (artt. 13, par. 2, lett. d) e 14, par. 2, lett. e) GDPR).

Le informazioni che il titolare è tenuto a comunicare non si esauriscono in quelle previste dagli artt. 13 e 14 GDPR, potendo, come già detto, egli essere tenuto, alla stregua del dovere di correttezza, a fornire all’interessato ogni altra informazione che tenuto conto «delle circostanze e del contesto specifici in cui i dati personali sono trattati», si riveli necessaria. D’altra parte, il dovere di correttezza – che, ricordiamo, grava anche sull’interessato – consente al titolare di rifiutare di fornire un’informazione, anche relativa ad un’azione intrapresa ai sensi degli articoli da 15 a 22 GDPR, o di addebitare a quest’ultimo un contributo spese, qualora la richiesta sia manifestamente infondata o eccessiva, in particolare per il suo carattere ripetitivo (art. 12, par. 5 GDPR). L’obbligo di informazione è, inoltre, escluso se l’interessato dispone già dell’informazione (art. 13, par. 4 GDPR) e se la registrazione o la comunicazione dei dati personali sono previste per legge o se informare l’interessato si rivela impossibile o richiederebbe uno sforzo sproporzionato (a es., per il numero di interessati e l’antichità dei dati, nel caso di trattamenti eseguiti ai fini di archiviazione nel pubblico interesse, di ricerca scientifica o storica o a fini statistici) (art. 14, par. 5 GDPR).

Per quanto riguarda il momento in cui devono essere comunicate le informazioni questo varia a seconda che i dati siano raccolti presso l’interessato o siano ottenuti da altra fonte: nel primo caso, nonostante il tenore letterale suggerisca una contestualità tra raccolta dei dati personali e comunicazione delle informazioni, è preferibile reputare che l’informativa debba sempre precedere la raccolta; si tratta di una generalizzazione della soluzione prevista nel caso in cui il trattamento (e, dunque, la raccolta) sia basato sul consenso – che, per l’appunto, deve essere informato e, dunque, seguire l’informazione – ovvero su un obbligo di legge o contrattuale – nel qual caso, ai sensi dell’art. 13, par. 2, lett. e) GDPR, l’interessato deve essere edotto delle conseguenze della mancata comunicazione dei dati personali (donde, ancora, una precedenza dell’informazione rispetto al trattamento). Nel secondo caso l’informativa deve essere fornita: a) entro un termine ragionevole e, comunque, al più tardi entro un mese; b) nel caso in cui i dati personali siano destinati alla comunicazione con l’interessato, al momento della prima comunicazione all’interessato (e comunque non oltre il mese); c) nel caso in cui sia prevista la comunicazione ad altro destinatario, non oltre la prima comunicazione dei dati personali (e comunque non oltre il mese).

3. Il diritto di accesso

Nel porre l’attenzione sul nesso di complementarità e di reciproca strumentalità che sussiste tra i «diritti» attribuiti all’interessato, merita anzitutto di osservare come il diritto di accesso previsto all’art. 15 GDPR si apprezzi sul presupposto dell’assolvimento dell’obbligo informativo – consentendo all’interessato di verificare la veridicità delle informazioni ricevute – e sia a sua volta strumentale all’esercizio di quei diritti volti a inibire e/o a conformare l’attività di trattamento. Meglio di altri, consente, dunque, di apprezzare la dimensione dinamica del diritto alla protezione dei dati personali che si realizza, anzitutto, nel controllo nel tempo – a «intervalli ragionevoli», così recita il considerando 63 GDPR – sui propri dati personali, «per essere consapevole del trattamento e verificarne la liceità». Precipitato del principio di trasparenza, il diritto di accesso consiste nel diritto dell’interessato – che «non è tenuto a motivare la richiesta di accesso ai dati» (così CGUE, 26 ottobre 2023, C-307/22) – di ricevere dal titolare la conferma dello svolgimento o meno di un trattamento dei propri dati personali, di accedere direttamente a questi ultimi (nei limiti in cui tale accesso non pregiudichi i diritti e le libertà altrui, compreso il segreto industriale e aziendale e la proprietà intellettuale) ovvero di ottenerne, a titolo gratuito, una copia, nonché, più in generale, di conoscere una serie di informazioni essenziali relative al trattamento (sostanzialmente riproduttive di quelle indicate agli artt. 13 e 14 GDPR), ivi compresa l’identità stessa dei destinatari ai quali i dati sono stati o saranno comunicati «a meno che non sia impossibile identificare detti destinatari o che il titolare non dimostri che le richieste di accesso dell’interessato sono manifestamente infondate o eccessive, nel qual caso il titolare può indicare unicamente le categorie di destinatari di cui trattasi» (così CGUE, 12 gennaio 2023, C-154/21) e, se del caso, «le informazioni relative all’identità delle persone che hanno consultato i dati personali» (così CGUE, 22 giugno 2023, C-579/21, sulla base di una interpretazione che qualifica tali dati come personali dell’interessato). Nel contenuto del diritto di accesso acquista un ruolo centrale – in confronto con il più modesto contenuto dell’art. 12, lett. a) della dir. 95/46 che faceva riferimento alla «comunicazione» – la facoltà di acquisire una copia dei dati personali, la quale «deve presentare tutte le caratteristiche [in termini di esaustività, intellegibilità e comprensibilità] che consentano all’interessato di esercitare effettivamente i suoi diritti a norma di tale regolamento e, pertanto, deve riprodurre integralmente e fedelmente tali dati», e perciò comprendere non solo l’elenco dei dati personali sotto forma di tabella sintetica, ma anche la trasmissione di estratti o di documenti interi, nonché di estratti di banche dati, nei quali sono riprodotti detti dati (così CGUE, 4 maggio 2023, C- 487/21). Così, a esempio, il diritto del paziente di ottenere una copia della cartella clinica (v. considerando 63 GDPR) implica il diritto di ottenere una copia integrale dei documenti in essa contenuti quali «risultati di esami, pareri di medici curanti e terapie o interventi praticati» (così CGUE, 26 ottobre 2023, C-307/22).

4. Il diritto alla rettifica

Può capitare che, proprio a seguito dell’esercizio del diritto di accesso, l’interessato si renda conto della parzialità delle informazioni raccolte, della loro inesattezza o del loro carattere non aggiornato; per rimediare a tale situazione il Regolamento attribuisce all’interessato il diritto di ottenere, senza ingiustificato ritardo e in ogni caso entro un mese dal ricevimento della richiesta, la rettifica dei propri dati personali inesatti, ovvero l’aggiornamento o l’integrazione di quelli incompleti (art. 16 GDPR). Si tratta di un insieme di facoltà di natura strumentale, funzionali tra l’altro ad assicurare all’interessato, in un’ottica non necessariamente conflittuale ma anzitutto collaborativa e partecipativa, la piena rispondenza di sé alla propria rappresentazione collettiva (identità personale). In questa prospettiva, ad esempio, «il titolare di un organo di informazione è tenuto a garantire la contestualizzazione e l’aggiornamento della notizia di cronaca, successivamente spostata nell’archivio storico anche se pubblicato su Internet, al fine di consentire alla medesima di mantenere i caratteri di verità ed esattezza e quindi di liceità e correttezza, a tutela del diritto dell’interessato al trattamento alla propria identità personale o morale nonché a salvaguardia del diritto del cittadino utente di ricevere un’informazione completa e corretta» (Cass. 5 aprile 2012, n. 5525). Sempre al fine di assicurare l’effettività del diritto all’identità personale, è stato stabilito che l’esercizio del diritto di rettifica dei dati personali relativi all’identità di genere di una persona fisica, contenuti in un registro pubblico non può essere subordinata alla prova di un trattamento chirurgico di riassegnazione sessuale (CGUE, 13 marzo 2025, C-247/23).

5. Il diritto alla limitazione del trattamento

Accade di frequente che, richiesta la rettifica dei dati personali, trascorra un certo periodo di tempo, necessario per consentire al titolare di svolgere le opportune verifiche, prima che essi siano corretti, durante il quale i dati personali continuano a circolare. Proprio per impedire, tra gli altri, tale esito l’interessato può, ai sensi dell’art. 18, par. 1, lett. a) GDPR, domandare al titolare la limitazione del trattamento, per tale intendendosi «il contrassegno dei dati personali conservati con l’obiettivo di limitarne il trattamento in futuro». Si tratta di una facoltà di natura cautelare e strumentale, sia perché il suo esercizio impedisce che il titolare, in presenza di un trattamento illecito o di un trattamento che abbia assolto la sua finalità, cancelli i dati personali che dovessero essere necessari all’interessato per far valere in giudizio un proprio diritto, sia perché il suo esercizio sospende, in attesa che sia il titolare decida sull’opposizione manifestata dal titolare o sulla richiesta di rettifica, ogni ulteriore trattamento diverso dalla mera conservazione dei dati personali. Lo si ricava dal par. 2, a mente del quale se il trattamento è limitato i dati personali possono essere oggetto di un trattamento diverso dalla mera conservazione solo se: a) l’interessato ha prestato il consenso; il trattamento è necessario b) per l’accertamento, l’esercizio o la difesa di un diritto in sede giudiziaria (va da sé, da parte del titolare o di un soggetto diverso dall’interessato); c) per tutelare i diritti di un’altra persona fisica o giuridica o per motivi di interesse pubblico rilevante dell’Unione o di uno Stato membro.

6. Il diritto alla cancellazione

Se il diritto alla limitazione ha una chiara natura rimediale – che si ricava dalla strumentalità dei dati rispetto all’esercizio di un diritto o alla difesa in giudizio – il diritto alla cancellazione, a differenza che in passato, ha invece un ambito applicativo che travalica le ipotesi di trattamento illecito. Invero, di là dall’ipotesi prevista dall’art. 17, par. 1, lett. d) GDPR, l’interessato ha diritto di ottenere la cancellazione dei dati personali che lo riguardano, senza ingiustificato ritardo, quando: a) i dati personali non sono più necessari rispetto alle finalità per le quali sono stati raccolti o altrimenti trattati; b) l’interessato ha revocato il consenso su cui si basa il trattamento conformemente all’articolo 6, par. 1, lettera a) GDPR, o all’articolo 9, par. 2, lettera a) GDPR e non sussiste altro fondamento giuridico per il trattamento; c) l’interessato si è opposto al trattamento ai sensi dell’articolo 21, par. 1 GDPR e «non sussistano motivi legittimi prevalenti sugli interessi, nonché sui diritti e sulle libertà di questa persona ai sensi dell’articolo 21, par. 1, del RGPD, circostanza che spetta al titolare del trattamento dimostrare» (CGUE, 7 dicembre 2023, C-26/22 e C-64/22); d) l’interessato si è opposto al trattamento ai sensi dell’articolo 21, par. 2 GDPR (finalità di marketing diretto); e) i dati personali devono essere cancellati per adempiere un obbligo giuridico previsto dal diritto dell’Unione o dello Stato membro cui è soggetto il titolare del trattamento; f) i dati personali sono stati raccolti relativamente all’offerta di servizi della società dell’informazione a minori.

Merita di precisare come, di là dalle «situazioni-presupposto» indicate alla lett. b) e c) nelle quali l’iniziativa è dell’interessato, nelle altre ipotesi la cancellazione integra anche un obbligo che il titolare è tenuto ad assolvere di propria iniziativa.

Il par. 2 dell’articolo in commento, in linea di continuità con quanto previsto dall’art. 19 GDPR, prevede, poi, a carico del titolare che abbia reso pubblici i dati personali dell’interessato e che è tenuto alla loro cancellazione (es. l’editore di un giornale online), l’obbligo di informare gli ulteriori titolari del trattamento che stanno trattando quei dati personali (es. il motore di ricerca, le piattaforme di condivisione di file audio e video) della richiesta dell’interessato di cancellare qualsiasi link, copia o riproduzione dei suoi dati personali. Secondo la giurisprudenza, il titolare del trattamento dovrebbe porre in essere «ogni iniziativa volta a rendere edotti (e persuadere) i terzi che se ne siano appropriati circa l’illegittima diffusione» dei dati personali. Si tratta di un’attività che, tuttavia, «non implica la certezza dell’adempimento richiesto ai terzi, ma presuppone la doverosa attività volta a ottenere la cessazione dell’illegittimo trattamento dei dati personali da parte dei terzi, venendo cioè in rilievo solo un’obbligazione di mezzi, non certo di risultato» (così Cass. 5 aprile 2024, n. 9068).

7. L’obbligo di notifica in caso di rettifica o cancellazione dei dati personali o limitazione del trattamento

Nell’ipotesi in cui l’interessato abbia ottenuto la rettifica, la cancellazione ovvero la limitazione di trattamento dei propri dati personali, il titolare, ai sensi dell’art. 19 GDPR è tenuto, per un verso, a comunicare ai destinatari (secondo la definizione offerta dall’art. 1, par. 1, n. 9) GDPR) le rettifiche, le cancellazioni e le limitazioni di trattamento effettuate, a meno che ciò non si riveli impossibili o eccessivamente oneroso; per altro verso, a informare l’interessato dell’identità dei destinatari ai quali ha effettuato la predetta comunicazione.

8. Il diritto di opposizione

Manifestazione massima del potere autodeterminativo dell’interessato, funzionalmente affine alla revoca del consenso dalla quale, però, si differenzia anzitutto perché è concesso unicamente per i trattamenti effettuati ai sensi dell’art. 6, par. 1, lett. e) ed f) GDPR, compresa la profilazione sulla base di tali disposizioni, il diritto di opposizione consente all’interessato – in ogni tempo – di inibire l’ulteriore prosecuzione del trattamento e, dunque, ferma restando la liceità delle operazioni svolte prima dell’opposizione, di esercitare un potere di controllo sull’estensione del trattamento di dati che lo riguardino.

Ciò si verifica: (i) senza condizionamenti – e anche in via preventiva (cfr. art. 130, co. 3-bis, d.lgs. 196/2003) – qualora i dati sono trattati per finalità di marketing diretto (art. 21, par. 2 e 3 GDPR); (ii) qualora sopravvengano motivi connessi alla situazione particolare dell’interessato e, all’esito di una ponderazione di interessi, emerga che il titolare non abbia motivi legittimi cogenti per procedere al trattamento «che prevalgono sugli interessi, sui diritti e sulle libertà dell’interessato oppure per l’accertamento, l’esercizio o la difesa di un diritto in sede giudiziaria»; (iii) qualora sopravvengano motivi connessi alla situazione particolare dell’interessato e il trattamento per finalità di ricerca, storiche o statistiche non si riveli necessario per l’esecuzione di un compito di interesse pubblico.

Se ne ricava un ulteriore tratto di differenza rispetto alla revoca del consenso, la quale, a differenza dell’opposizione, in nessun caso necessita della dimostrazione da parte dell’interessato di ragioni sopravvenute legate alla propria situazione personale. A integrazione di quanto previsto dagli artt. 13 e 14, l’art. 21, par. 4 GDPR stabilisce (perlomeno con riferimento alle opposizioni disciplinate dai paragrafi 1 e 2) che l’interessato debba essere edotto della possibilità di opporsi in termini chiari e «separati da qualsiasi altra informazione», al più tardi al momento della prima comunicazione all’interessato.

9. Processi decisionali automatizzati e diritti dell’interessato

La specifica previsione del diritto di opposizione anche nel caso in cui il trattamento, necessario per l’esecuzione di un compito di interesse pubblico o connesso all’esercizio di pubblici poteri di cui è investito il titolare ovvero per il perseguimento del legittimo interesse del titolare o di terzi, consista e abbia come finalità la profilazione dell’interessato (a es. per finalità di marketing diretto), sembrerebbe discordare con la disciplina dettata dall’art. 22 GDPR.

La norma, infatti, dopo aver stabilito un divieto generale (così, infatti, va intesa l’espressione «l’interessato ha il diritto di non essere sottoposto…») nei confronti della «decisione basata unicamente sul trattamento automatizzato, compresa la profilazione», che produca effetti giuridici o incida in modo analogo significativamente sull’interessato, prevede una serie di eccezioni. Per i dati comuni esse consistono: (i) nel consenso esplicito dell’interessato; (ii) nella necessità della decisione automatizzata per la conclusione o l’esecuzione del contratto; (iii) nell’autorizzazione da parte del diritto dell’Unione o dello Stato membro cui è soggetto il titolare del trattamento. Per le categorie particolari di dati, alle summenzionate esenzioni, si aggiungono: (i) il consenso esplicito dell’interessato; (ii) la necessarietà per motivi di interesse pubblico rilevante sulla base del diritto dell’Unione o degli Stati membri, che deve essere proporzionato alla finalità perseguita, rispettare l’essenza del diritto alla protezione dei dati e prevedere misure appropriate e specifiche per tutelare i diritti fondamentali e gli interessi dell’interessato.

La discordanza poc’anzi segnalata è, tuttavia, solo apparente e dipende dalla circostanza che la profilazione – cioè a dire «qualsiasi forma di trattamento automatizzato di dati personali consistente nell’utilizzo di tali dati personali per valutare determinati aspetti personali relativi a una persona fisica, in particolare per analizzare o prevedere aspetti riguardanti il rendimento professionale, la situazione economica, la salute, le preferenze personali, gli interessi, l’affidabilità, il comportamento, l’ubicazione o gli spostamenti di detta persona fisica» (art. 4, par. 1, n. 4 GDPR) – non necessariamente dà origine ad un processo decisionale nel quale è assente ogni valutazione significativa da parte dell’uomo ed è capace di produrre effetti giuridici o incidere in modo altrettanto significativo sull’interessato.

Nel campo di applicazione del divieto di cui all’art. 22 GDPR – oltre ai casi di decisioni assunte esclusivamente sulla base di trattamenti automatizzati diversi dalla proliferazione – ricadono, infatti, unicamente le ipotesi in cui: (i) la profilazione è la base per l’assunzione di una decisione che non implica alcuna previa valutazione significativa da parte di un essere umano (così nell’ipotesi in cui al risultato del calcolo della solvibilità di una persona sotto forma di tasso di probabilità relativo alla capacità di tale persona di onorare impegni di pagamento in futuro, svolto da una società che fornisce informazioni commerciale, segua la decisione meramente formale della banca di diniego alla concessione di un prestito; cfr., al riguardo, CGUE, 7 dicembre 2023, C-634/21); (ii) la decisione così assunta produce effetti giuridici o incide in modo analogo significativamente sull’interessato.

Come esempi del primo tipo le Linee guida WP29 sul processo decisionale automatizzato relativo alle persone fisiche e sulla profilazione, adottate il 3 ottobre 2017, riportano la cancellazione di un contratto, la concessione o la negazione del diritto a una prestazione sociale; il rifiuto di ammissione in un paese o negazione della cittadinanza. Come esempi del secondo tipo, si menzionano le decisioni che influenzano le circostanze finanziarie di una persona, come la sua ammissibilità al credito; le decisioni che influenzano l’accesso di una persona ai servizi sanitari; le decisioni che negano a una persona un’opportunità di impiego o pongono tale persona in una posizione di notevole svantaggio; le decisioni che influenzano l’accesso di una persona all’istruzione, ad esempio le ammissioni universitarie (cfr., altresì, il considerando 71 GDPR).

In ragione dei potenziali effetti discriminatori o, comunque, iniqui di una decisione inferenziale induttiva puramente algoritmica (cfr. il considerando 71 GDPR), oltre alle già menzionate previsioni dettate dall’art. 13, par. 1, lett. c) e par. 2, lett. f) GDPR, dall’art. 14, par. 1, lett. c) e par. 2, lett. g) GDPR e dall’art. 15, par. 1, lett. h) GDPR – che impongono al titolare di informare l’interessato non solo dell’esistenza di un trattamento per finalità di profilazione (e, quindi, del diritto di opporsi al trattamento qualora esso si basi sul legittimo interesse del titolare), indipendentemente dal fatto che si ricada nella fattispecie dell’art. 22 GDPR, ma anche, e a maggior ragione, di informare l’interessato dell’esistenza di un processo decisionale basato esclusivamente su un trattamento automatizzato, compresa la profilazione, e, quindi, della logica utilizzata (cfr., a riguardo, CGUE, 27 febbraio 2025, C-203/22) nonché dell’importanza e delle conseguenze previste per l’interessato – l’artt. 22, par. 3 GDPR, impone al titolare, qualora la decisione automatizzata sia necessaria per la conclusione o l’esecuzione di un contratto o si basi sul consenso esplicito dell’interessato, di adottare misure appropriate per tutelare i diritti, le libertà e i legittimi interessi dell’interessato, tra le quali, almeno, il diritto dell’interessato di ottenere l’intervento umano da parte del titolare del trattamento, di esprimere la propria opinione, di ottenere una spiegazione della decisione conseguita dopo tale valutazione e di contestare la decisione. In ogni caso, come si legge nel considerando 71 GDPR – è opportuno che «il titolare del trattamento utilizzi procedure matematiche o statistiche appropriate per la profilazione, metta in atto misure tecniche e organizzative adeguate al fine di garantire, in particolare, che siano rettificati i fattori che comportano inesattezze dei dati e sia minimizzato il rischio di errori e al fine di garantire la sicurezza dei dati personali secondo una modalità che tenga conto dei potenziali rischi esistenti per gli interessi e i diritti dell’interessato e impedisca, tra l’altro, effetti discriminatori nei confronti di persone fisiche sulla base della razza o dell’origine etnica, delle opinioni politiche, della religione o delle convinzioni personali, dell’appartenenza sindacale, dello status genetico, dello stato di salute o dell’orientamento sessuale, ovvero un trattamento che comporti misure aventi tali effetti. Il processo decisionale automatizzato e la profilazione basati su categorie particolari di dati personali dovrebbero essere consentiti solo a determinate condizioni».

10. Il diritto alla portabilità dei dati personali

Espressione della crescente tendenza alla circolazione dei dati personali, il diritto alla portabilità, previsto all’art. 20 GDPR, consiste, anzitutto, nel diritto di «ricevere in un formato strutturato, di uso comune e leggibile da dispositivo automatico i dati personali che lo riguardano forniti da un titolare di trattamento». Il diritto alla portabilità appare, dunque, concettualmente, come uno sviluppo del diritto di accesso (col quale ha in comune il risultato di fornire all’interessato copia dei dati oggetto di trattamento) dal quale, tuttavia, si differenzia giacché accentua la dimensione dinamica (circolatoria) del potere di controllo sulle proprie informazioni e, in questa misura, diviene strumento di regolazione del mercato e di promozione della concorrenza. La portabilità infatti, nella misura in cui rafforza le possibilità di scelta tra più fornitori, attenuta il vincolo di dipendenza dell’interessato da un determinato soggetto (c.d. vincoli di lock-in) e, nel contempo, assume una spiccata valenza pro-concorrenziale e anti-monopolistica eliminando le barriere tecniche e giuridiche nella competizione tra operatori (cfr. EDPB Linee-guida sul diritto alla “portabilità dei dati”, adottate il 5 aprile 2017). A tal fine assume particolare importanza l’esigenza di assicurare, quanto più possibile, l’interoperabilità dei formati, come sottolineato dal considerando n. 38 GDPR, il quale tuttavia esclude l’esistenza di un «obbligo per i titolari del trattamento di adottare o mantenere sistemi di trattamento tecnicamente compatibili» (considerando 68 GDPR). L’esercizio di tale diritto è subordinato alla presenza di tre requisiti: a) il trattamento dei dati dovrà avvenire sulla base del consenso o della necessità contrattuale (con esclusione, dunque, inter alia, dei trattamenti svolti dai titolari «nell’esercizio delle loro funzioni pubbliche» e di quelli «necessari per l’adempimento di un obbligo legale cui è soggetto il titolare del trattamento o per l’esecuzione di un compito svolto nel pubblico interesse oppure nell’esercizio di pubblici poteri di cui è investito il titolare del trattamento»; cfr. art. 20, par. 3) GDPR); b) il trattamento dovrà avvenire con mezzi automatizzati; c) i dati personali oggetto del trattamento devono riguardare l’interessato ed essere forniti da quest’ultimo (con esclusione, dunque, dei dati anonimi e dei dati inferenziali, cioè a dire di quelli che, a differenza dei dati anche passivamente forniti dall’interessato (c.d. dati grezzi: cronologia di navigazione o delle ricerche, i dati di traffico e di localizzazione), sono ‘creati’ dal titolare). A queste condizioni, il titolare potrà ottenere non soltanto che gli siano forniti i propri dati personali così da conservarli sul proprio terminale ovvero trasmetterli a un altro titolare senza impedimenti da parte dell’originario titolare (par. 1), ma potrà ottenere anche che tali dati siano traferirti direttamente al nuovo titolare qualora ciò sia tecnicamente fattibile (par. 2). Oltre alle condizioni e ai limiti sopra elencati, l’esercizio del diritto alla portabilità non può ledere i diritti e le libertà dei terzi: così, a esempio, la portabilità va esclusa qualora abbia ad oggetto informazioni riguardanti contemporaneamente più persone fisiche individuabili (es. mittente e destinatario di una comunicazione) sempre che il suo esercizio impedisca al terzo di esercitare i suoi diritti in qualità di interessato. Tra i diritti dei terzi figurano anche i diritti di proprietà intellettuale, le informazioni commerciali riservate e i segreti industriali che tutelano i software: in questo caso, tuttavia, la presenza di tali interessi non è da sola in grado di giustificare un diniego alla richiesta di portabilità, ma sarà al più capace di imporre di adeguare le concrete modalità di esercizio del diritto al rispetto dei diritti altrui. Il par. 3 chiarisce, infine, che l’esercizio del diritto alla portabilità determina semplicemente una duplicazione dei dati personali e non comporta affatto la loro cancellazione, la quale, dunque, qualora ne ricorrano i presupposti, dovrà essere autonomamente azionata (cfr. considerando 68 GDPR, secondo cui l’esercizio del diritto alla portabilità dei dati personali «non dovrebbe segnatamente implicare la cancellazione dei dati personali riguardanti l’interessato forniti da quest’ultimo per l’esecuzione di un contratto, nella misura in cui e fintantoché i dati personali siano necessari all’esecuzione di tale contratto»).

La tutela post-mortem

Il GDPR al considerando 27 afferma che «Il presente regolamento non si applica ai dati personali delle persone decedute», lasciando tuttavia liberi gli Stati membri di «prevedere norme riguardanti il trattamento dei dati personali delle persone decedute». Il legislatore italiano ha rimodulato la disciplina precedente prevedendo, all’art. 2-terdecies cod. privacy, (i) l’esercizio dei diritti sui dati che riguardano il defunto da parte di soggetti diversi dall’interessato, (ii) il potere di autodeterminazione dell’interessato in ordine alla all’esercizio dei diritti sui propri dati per il tempo in cui avrà cessato di vivere, (iii) un raccordo tra l’autodeterminazione informativa dell’interessato e i diritti patrimoniali derivanti dalla morte di quest’ultimo.

In particolare, il primo comma, stabilisce che «i diritti di cui agli articoli da 15 a 22 (accesso, rettifica, cancellazione, portabilità e opposizione) del Regolamento riferiti ai dati personali concernenti persone decedute possono essere esercitati da chi ha un interesse proprio, o agisce a tutela dell’interessato, in qualità di suo mandatario, o per ragioni familiari meritevoli di protezione».

L’interessato, dunque, oltre a poter incaricare, mediante un contratto di mandato, un determinato soggetto dell’esercizio dei summenzionati diritti, può – «limitatamente all’offerta diretta di servizi della società dell’informazione» – impedire «con dichiarazione scritta presentata al titolare del trattamento o a quest’ultimo comunicata» che uno o più diritti vengano esercitati dai soggetti altrimenti legittimati.

Tale potere, tuttavia, non può escludere «l’esercizio da parte dei terzi dei diritti patrimoniali che derivano dalla morte dell’interessato nonché del diritto di difendere in giudizio i propri interessi». Così, a esempio, l’interessato non può vietare agli eredi di accedere al contenuto delle proprie email qualora esso sia indispensabile per accertare la consistenza del patrimonio ereditare e valutare se accettare l’eredità col beneficio d’inventario.

Quanto alla volontà dell’interessato di vietare l’esercizio dei predetti diritti essa – stabilisce il secondo comma dell’art. 2-terdecies cod. privacy – oltre ad essere sempre revocabile e modificabile, «deve risultare in modo non equivoco e deve essere specifica, libera e informata».

Riferimenti bibliografici

Battelli, Ettore, e Guido D’Ippolito 2019. “Il diritto alla portabilità dei dati personali.” In Privacy Digitale. Riservatezza e protezione dei dati personali tra GDPR e nuovo Codice Privacy, a cura di E. Tosi, 185-227. Torino: Giappichelli.

Berti Suman, Adele 2019. “Il diritto alla cancellazione.” In Circolazione e protezione dei dati personali, tra libertà e regole del mercato. Commentario al Regolamento (UE) 146 n. 2016/679 (GDPR) e al novellato d.lgs. n. 196/2003 (Codice Privacy), a cura di R. Panetta, 199-214. Milano: Franco Angeli.

Bianchi, L. 2019. “Il diritto alla portabilità dei dati.” In Circolazione e protezione dei dati personali, tra libertà e regole del mercato. Commentario al Regolamento (UE) 146 n. 2016/679 (GDPR) e al novellato d.lgs. n. 196/2003 (Codice Privacy), a cura di R. Panetta, 223-38. Milano: Franco Angeli.

Calisai, F. 2019. “I diritti dell’interessato.” In I dati personali nel diritto europeo, a cura di V. Cuffaro, R. D’Orazio e V. Ricciuto. Torino: Giappichelli.

Comandé, G. 2021. “Art. 21.” In Codice della privacy e data protection, a cura di R. D’Orazio, G. Finocchiaro, O. Pollicino e G. Resta. Milano: Giuffrè.

Confortini, V. 2023. Persona e patrimonio nella successione digitale. Torino: Giappichelli.

Cristofari, G. 2019. “Il diritto alla limitazione del trattamento.” In Circolazione e protezione dei dati personali, tra libertà e regole del mercato. Commentario al Regolamento (UE) 146 n. 2016/679 (GDPR) e al novellato d.lgs. n. 196/2003 (Codice Privacy), a cura di R. Panetta. Milano: Franco Angeli.

Cuffaro, V. 2019. “Cancellare i dati personali. Dalla damnatio memoriae al diritto all’oblio.” In Persona e mercato dei dati. Riflessioni sul GDPR, a cura di N. Zorzi Galgano. Milano: Franco Angeli.

Cuffaro, V., V. Ricciuto e V. Zeno-Zencovich 1999. Il trattamento dei dati personali. II, Profili applicativi. Torino: Giappichelli.

Davide, Achille 2019. “Art. 12 – Informazioni, comunicazioni e modalità trasparenti per l’esercizio dei diritti dell’interessato.” In Delle persone. Leggi collegate, vol. II, a cura di A. Barba e S. Pagliantini, 204-217. Milano: Gabrielli.

Di Ciommo, F. 2019. “Diritto alla cancellazione, diritto di limitazione del trattamento e diritto all’oblio.” In I dati personali nel diritto europeo, a cura di V. Cuffaro, R. D’Orazio e V. Ricciuto. Torino: Giappichelli.

Di Lorenzo, G. 2019. “Spunti di riflessione su taluni «Diritti dell’interessato».” In Persona e mercato dei dati. Riflessioni sul GDPR, a cura di N. Zorzi Galgano. Milano: Franco Angeli.

Durante, M. 2019. “Art. 13 – Informazioni da fornire qualora i dati personali siano raccolti presso l’interessato.” In Delle persone. Leggi collegate, vol. II, a cura di A. Barba e S. Pagliantini, in Comm. c.c. Milano: Gabrielli.

Durante, M. 2019. “Art. 14 – Informazioni da fornire qualora i dati personali non siano stati ottenuti presso l’interessato.” In Delle persone. Leggi collegate, vol. II, a cura di A. Barba e S. Pagliantini, in Comm. c.c. Milano: Gabrielli.

Durante, M. 2019. “Art. 15 – Diritto d’accesso dell’interessato.” In Delle persone. Leggi collegate, vol. II, a cura di A. Barba e S. Pagliantini, in Comm. c.c. Milano: Gabrielli.

Falce, V. 2021. “Art. 20.” In Codice della privacy e data protection, a cura di R. D’Orazio, G. Finocchiaro, O. Pollicino e G. Resta. Milano: Giuffrè.

Finocchiaro, G. 2021. “Art. 17.” In Codice della privacy e data protection, a cura di R. D’Orazio, G. Finocchiaro, O. Pollicino e G. Resta. Milano: Giuffrè.

Fraioli, M. 2019. “Il diritto di opposizione e la revoca del consenso.” In Circolazione e protezione dei dati personali, tra libertà e regole del mercato. Commentario al Regolamento (UE) 146 n. 2016/679 (GDPR) e al novellato d.lgs. n. 196/2003 (Codice Privacy), a cura di R. Panetta. Milano: Franco Angeli.

Gambino, A., e M. Siragusa. 2021. “Art. 15.” In Codice della privacy e data protection, a cura di R. D’Orazio, G. Finocchiaro, O. Pollicino e G. Resta. Milano: Giuffrè.

Genovese, A. 2021. “Art. 12.” In Codice della privacy e data protection, a cura di R. D’Orazio, G. Finocchiaro, O. Pollicino e G. Resta. Milano: Giuffrè.

Gianello, S. 2021. “Art. 16.” In Codice della privacy e data protection, a cura di R. D’Orazio, G. Finocchiaro, O. Pollicino e G. Resta. Milano: Giuffrè.

Giannone Codiglione, G. 2021. “Artt. 18-19.” In Codice della privacy e data protection, a cura di R. D’Orazio, G. Finocchiaro, O. Pollicino e G. Resta. Milano: Giuffrè.

Giorgianni, M. 2019. “Art. 20 – Diritto alla portabilità dei dati.” In Delle persone. Leggi collegate, vol. II, a cura di A. Barba e S. Pagliantini, in Comm. c.c. Milano: Gabrielli.

Lagioia, F., G. Sartor e A. Simoncini. 2021. “Art. 22.” In Codice della privacy e data protection, a cura di R. D’Orazio, G. Finocchiaro, O. Pollicino e G. Resta. Milano: Giuffrè.

Liguori, L. 2021. “Artt. 13-14.” In Codice della privacy e data protection, a cura di R. D’Orazio, G. Finocchiaro, O. Pollicino e G. Resta. Milano: Giuffrè.

Livi, M. A. 2019. “Art. 16 – Diritto di rettifica; Art. 17 – Diritto alla cancellazione («diritto all’oblio»).” In Delle persone. Leggi collegate, vol. II, a cura di A. Barba e S. Pagliantini, in Comm. c.c. Milano: Gabrielli.

Montanaro, D. 2019. “Il diritto di accesso ai dati personali e il diritto di rettifica.” In Circolazione e protezione dei dati personali, tra libertà e regole del mercato. Commentario al Regolamento (UE) 146 n. 2016/679 (GDPR) e al novellato d.lgs. n. 196/2003 (Codice Privacy), a cura di R. Panetta. Milano: Franco Angeli.

Patti, L., e O. Sesso Sarti. 2019. “Art. 22 – Processo decisionale automatizzato relativo alle persone fisiche, compresa la profilazione.” In Delle persone. Leggi collegate, vol. II, a cura di A. Barba e S. Pagliantini, in Comm. c.c. Milano: Gabrielli.

Pelino, E. 2016. “I diritti dell’interessato.” In Il Regolamento privacy europeo. Commentario alla nuova disciplina sulla protezione dei dati personali. Milano: Giuffrè.

Piraino, F. 2019. “I “diritti dell’interessato”, nel Regolamento generale sulla protezione dei dati personali.” Giur. it.

Rende, F. 2019. “Art. 18 – Diritto di limitazione di trattamento.” In Delle persone. Leggi collegate, vol. II, a cura di A. Barba e S. Pagliantini, in Comm. c.c. Milano: Gabrielli.

Rende, F. 2019. “Art. 21 – Diritto di opposizione.” In Delle persone. Leggi collegate, vol. II, a cura di A. Barba e S. Pagliantini, in Comm. c.c. Milano: Gabrielli.

Renna, M. 2019. “Art. 19 – Obbligo di notifica in caso di rettifica o cancellazione dei dati personali o limitazione del trattamento.” In Delle persone. Leggi collegate, vol. II, a cura di A. Barba e S. Pagliantini, in Comm. c.c. Milano: Gabrielli.

Ricci, A. 2017. “I diritti dell’interessato.” In Il nuovo Regolamento europeo sulla privacy e sulla protezione dei dati personali, a cura di G. Finocchiaro. Bologna: Il Mulino.

Riccio, G. M., e F. Pezza. 2019. “Portabilità dei dati personali e interoperabilità.” In I dati personali nel diritto europeo, a cura di V. Cuffaro, R. D’Orazio e V. Ricciuto. Torino: Giappichelli.

Sammarco, P. 2019. “Privacy digitale, motori di ricerca e social network: dal diritto di accesso e rettifica al diritto all’oblio condizionato.” In Privacy Digitale. Riservatezza e protezione dei dati personali tra GDPR e nuovo Codice Privacy, a cura di E. Tosi. Torino: Giappichelli.

Simoncini, A. 2021. “Art. 22.” In Codice della privacy e data protection, a cura di R. D’Orazio, G. Finocchiaro, O. Pollicino e G. Resta. Milano: Giuffrè.

Siragusa, M., e A. M. Gambino. 2021. “Art. 15.” In Codice della privacy e data protection, a cura di R. D’Orazio, G. Finocchiaro, O. Pollicino e G. Resta. Milano: Giuffrè.

Troiano, S. 2019. “Il diritto alla portabilità dei dati.” In Persona e mercato dei dati. Riflessioni sul GDPR, a cura di N. Zorzi Galgano. Milano: Franco Angeli.

Tuccari, E. 2022. “I diritti dell’interessato.” In Manuale di diritto privato delle nuove tecnologie, a cura di G. Magri, S. Martinelli e S. Thobani. Torino: Giappichelli.

Antonello Iuliani, Università digitale Pegaso, Italy, antonello.iuliani@unipegaso.it, 0000-0001-9931-6934

Referee List (DOI 10.36253/fup_referee_list)

FUP Best Practice in Scholarly Publishing (DOI 10.36253/fup_best_practice)

Antonello Iuliani, I diritti dell’interessato, © Author(s), CC BY-SA 4.0, DOI 10.36253/979-12-215-0796-6.07, in Chiara Angiolini, Antonello Iuliani (edited by), Manuale sulla protezione e circolazione dei dati personali, pp. -96, 2025, published by Firenze University Press and USiena PRESS, ISBN 979-12-215-0796-6, DOI 10.36253/979-12-215-0796-6

1. Diritto dei consumatori e trattamento dei dati. Le intersezioni

È cosa nota la continua crescita delle attività economiche che hanno come fulcro la raccolta e il successivo trattamento dei dati personali, spesso attraverso ambienti digitali (es. i social network). Tale trattamento non di rado è volto ad acquisire conoscenze sugli interessati che servono a influenzarne le scelte, comprese quelle di natura economica, come sottolineato anche dal Comitato Europeo per la Protezione dei Dati (d’ora in avanti: EDPB) in relazione alla profilazione e il targeting (EDPB, Linee guida 8/2020 sul targeting degli utenti di social media, 13 aprile 2021).

In questo contesto, come affrontare dal punto di vista giuridico la crescente rilevanza economica del trattamento dei dati personali è una questione cruciale. In tema, in particolare con riguardo al rapporto tra l’interessato e il titolare del trattamento, la dottrina, la giurisprudenza e il legislatore europeo, hanno guardato, alle intersezioni tra il diritto dei consumatori e quello della protezione dei dati, spesso con un approccio volto a valorizzarne la complementarità.

In via preliminare, occorre rilevare che, perché un’intersezione fra diverse discipline ci sia, l’interessato (sulla definizione v. cap. Le definizioni fondamentali, § 2) deve essere qualificato anche come consumatore, cioè come «la persona fisica che agisce per scopi estranei all’attività imprenditoriale, commerciale, artigianale o professionale eventualmente svolta» (art. 3, co. 1, lett. a), d.lgs. 206/2005, d’ora in avanti: cod. cons.).

A fronte di tale quadro, in questo capitolo si illustreranno alcune delle intersezioni più evidenti fra il diritto dei consumi e la disciplina in materia di trattamento dei dati personali.

2. Fornitura di contenuti e servizi digitali e trattamento dei dati personali dei consumatori

Come si è visto nell’analisi delle basi giuridiche del trattamento (v. supra cap. La disciplina dell’attività di trattamento, sez. I), quest’ultimo può avere rilevanza nell’ambito dell’esecuzione di un contratto. Invero, se un trattamento dei dati personali è necessario a tale esecuzione, sussiste una condizione che rende lecito tale trattamento (art. 6, par. 1, lett. b), Reg. UE 2016/679 (d’ora in avanti: GDPR). Al di là di questa previsione, già presente nella direttiva 95/46/CE, il legislatore, tanto europeo quanto nazionale, per diverso tempo non ha prestato attenzione ai rapporti che possono intercorrere fra un trattamento di dati personali e una vicenda contrattuale.

L’approccio è cambiato in virtù della crescente presa di coscienza, da un lato, del valore patrimoniali dei dati personali e, dall’altro, della funzione svolta da determinati trattamenti nell’ambito di relazioni economiche.

Il caso più emblematico è rappresentato da quei servizi digitali (ad esempio, servizi di social networking, di archiviazione cloud) o contenuti digitali (ad esempio, programmi informatici, applicazioni per smartphone) che vengono forniti, da un professionista (cioè, un operatore economico), senza la richiesta di un corrispettivo monetario, bensì per ottenere, di solito a fini economici, i dati personali degli utenti.

Il legislatore europeo ha deciso di occuparsi di tale fenomeno all’interno del diritto dei consumatori, scelta che è stata criticata da parte della dottrina in quanto esclude la possibilità di una disciplina unitaria dei rapporti patrimoniali relativi ai dati personali (Angiolini, 2023). Guardando al dettato normativo, l’art. 3 della direttiva 2019/770/UE prevede che si applichino le tutele previste da tale direttiva anche nel caso in cui l’operatore economico fornisce o si impegna a fornire un contenuto digitale o un servizio digitale al consumatore e il consumatore fornisce o si impegna a fornire dati personali all’operatore economico, fatto salvo il caso in cui i dati personali forniti dal consumatore siano trattati esclusivamente dall’operatore economico ai fini della fornitura del contenuto digitale o del servizio digitale a norma della direttiva 2019/770 o per consentire l’assolvimento degli obblighi di legge cui è soggetto l’operatore economico e quest’ultimo non tratti tali dati per scopi diversi da quelli previsti.

Quando si applica la direttiva l’operatore economico sarà obbligato a fornire il contenuto o il servizio digitale promesso, in conformità a quanto previsto dal contratto e, in ogni caso, senza difetti oggettivi che ne impediscano il corretto funzionamento e utilizzo.

Prendendo spunto da quest’intervento, il legislatore europeo ha altresì esteso le norme previste dalla direttiva 2011/83/UE (che stabiliscono, in particolar modo, diversi obblighi informativi precontrattuali a carico del professionista) anche ai contratti di fornitura di contenuti e servizi digitali nei quali il consumatore non paga un prezzo, ma fornisce dati personali (v. art. 4, n. 2), lett. b), direttiva 2019/2161/UE: c.d. direttiva omnibus). Infatti, l’art. 3 della direttiva 2011/83, come novellata, prevede che

La presente direttiva si applica anche se il professionista fornisce o si impegna a fornire un contenuto digitale mediante un supporto non materiale o un servizio digitale al consumatore e il consumatore fornisce o si impegna a fornire dati personali al professionista, tranne i casi in cui i dati personali forniti dal consumatore siano trattati dal professionista esclusivamente ai fini della fornitura del contenuto digitale su supporto non materiale o del servizio digitale a norma della presente direttiva o per consentire l’assolvimento degli obblighi di legge cui il professionista è soggetto, e questi non tratti tali dati per nessun altro scopo.

Il pagamento di un prezzo da parte del consumatore, dunque, non costituisce più un requisito indefettibile per l’applicazione di determinate regole di tutela nei suoi confronti, potendo ormai essere sostituito dalla fornitura di dati personali. Alla base di tali modifiche normative vi è, come si è anticipato, la consapevolezza che il trattamento di dati personali con finalità economiche può rappresentare una fonte remunerativa.

Da una prima lettura dei testi appena richiamati emergono almeno tre questioni rilevanti: i) l’interpretazione del termine «fornisce i dati»; ii) le basi giuridiche del trattamento in presenza delle quali si applica la dir. 2019/770 e la dir. 2011/83; iii) il rapporto fra applicazione della direttiva, trattamento dei dati personali e contratto.

Rispetto al primo profilo, anche alla luce dell’interpretazione data della medesima espressione dall’art. 20 GDPR in materia di diritto alla portabilità, l’espressione «fornisce» deve essere interpretata come relativa anche alle ipotesi in cui i dati sono raccolti dal titolare del trattamento attraverso l’osservazione dell’interessato, ma non include i dati inferiti a partire da quelli raccolti (sul diritto alla portabilità v. cap. I diritti dell’interessato).

Venendo alla seconda questione, l’art. 3 delle due direttive non fa riferimento al trattamento dei dati compiuto in virtù di una specifica base giuridica, seppur, se letto congiuntamente con il GDPR, si può escludere dall’ambito di applicazione della direttiva le ipotesi di dati raccolti e trattati secondo le basi giuridiche b) e c) previste dall’art. 6 GDPR, e dunque il caso in cui i dati siano necessari per l’esecuzione di un contratto, e l’ipotesi di adempimento di un obbligo legale (sulle basi giuridiche v. cap. La disciplina dell’attività di trattamento, sez. I). Dunque, la direttiva sarà applicabile quando il trattamento dei dati personali, che consiste nella raccolta dei dati «forniti», abbia come base giuridica il consenso dell’interessato e nei casi in cui la base giuridica sia il legittimo interesse ex art. 6, paragrafo 1, lett. f) GDPR. Risulta evidente come le basi giuridiche di cui all’art. 6, paragrafo 1, lettere d) ed e) GDPR, rispettivamente relative ai trattamenti necessari alla salvaguardia degli interessi vitali dell’interessato o di un’altra persona fisica e all’esecuzione di un compito di interesse pubblico o connesso all’esercizio di pubblici poteri, siano di difficile applicazione in queste ipotesi.

Rispetto al rapporto fra applicazione della direttiva, trattamento dei dati personali e contratto, occorre sottolineare che la «fornitura» di dati personali o il relativo impegno da parte del consumatore – cui corrisponde un trattamento da parte del professionista, che consiste, almeno, nella raccolta di tali dati –, accanto alla fornitura o all’obbligo di fornitura da parte del professionista di un contenuto digitale (nella dir. 2011/83 mediante un supporto non materiale) o un servizio digitale sono elementi necessari e sufficienti ai fini dell’applicazione delle direttive sopra richiamate indipendentemente dalla sua attrazione o non attrazione nella sfera del contratto nel diritto nazionale.

Le nuove previsioni introdotte dall’UE sono state recepite, nell’ordinamento nazionale, all’interno del codice consumo (v. art. 46, par. 1-bis e artt. 135-octies e ss., d.lgs. 206/2005). La circostanza che una normativa, come il codice del consumo, diversa dal GDPR e dal codice privacy, prenda in considerazione alcuni aspetti relativi alla rilevanza economica del trattamento di dati personali, rischia di creare delle interferenze fra fonti legislative. In quest’ottica, l’art. 135-novies, co. 6, cod. cons. stabilisce che, in caso di conflitto fra le disposizioni consumeristiche e quelle in materia di protezione dei dati personali, la prevalenza va accordata a queste ultime.

L’ordine di preferenza che vede prevalere le norme di protezione dei dati personali può essere giustificato non tanto in ragione della superiorità di grado della fonte (la prevalenza, infatti, vale anche a prescindere da norme costituzionali), quanto in virtù di una gerarchia che può definirsi assiologica (il valore delle norme di protezione dei dati personali è giudicato superiore a quello delle norme di tutela del consumo).

Mentre le antinomie, cioè i contrasti fra norme esistenti, possono risolversi in virtù del criterio sopra richiamato, rimangono dubbi per la presenza di casi non disciplinati da alcuna norma, tanto consumeristica quanto di protezione dei dati personali.

In un contratto come quello di fornitura di contenuti o servizi digitali, che si fonda sul trattamento di dati personali del consumatore, non si chiarisce, ad esempio, quali siano gli effetti sul contratto qualora il consumatore eserciti, nella qualità di interessato, il diritto di revocare il proprio consenso al trattamento (art. 7, par. 3 GDPR). L’unico punto fermo è che la revoca non può rivelarsi pregiudizievole per l’interessato, il quale, altrimenti, sarebbe scoraggiato dall’esercitare un proprio diritto (v. considerando 42, GDPR e EDPB, Linee guida n. 5/2020 sul consenso ai sensi del regolamento (UE) 2016/679). Pertanto, il professionista non può certamente richiedere al consumatore un indennizzo, per la perdita di guadagni causata dall’impossibilità di continuare a trattare i dati personali per fini commerciali.

Sempre nell’ambito dei contratti di fornitura di contenuti o servizi digitali, può accadere che il fornitore violi, durante l’esecuzione del contratto, le regole in materia di protezione dei dati personali (ad esempio, tratta più dati di quelli necessari per il perseguimento delle finalità del trattamento). In tal caso, il consumatore può indubbiamente esercitare i rimedi previsti dal GDPR contro il trattamento illecito dei dati personali, ma, dato il contesto contrattuale, la violazione delle norme di data protection può configurarsi, altresì, come un difetto di conformità del contenuto o servizio digitale. Il risultato pratico è che, in una situazione del genere, il consumatore può quindi avvalersi anche dei rimedi contro i difetti di conformità. Vale a dire: può richiedere il ripristino della conformità del contenuto o servizio digitale e, nei casi più gravi, così come nel caso in cui il ripristino fallisca oppure risulti impossibile o sproporzionato, il consumatore può richiedere la risoluzione del contratto di fornitura (v. considerando 48, direttiva 2019/770).

3. Pratiche commerciali scorrette e attività di trattamento

Nello studio delle intersezioni fra disciplina del trattamento dei dati personali e diritto dei consumatori è di particolare interesse l’ambito delle pratiche commerciali scorrette, regolato a livello europeo dalla dir. 2005/29, recepita sul piano nazionale con gli artt. 18 ss. cod. cons.. Tale disciplina è rilevante anche perché non è limitata all’ambito contrattuale, come risulta evidente in primis dall’articolo 3, par. 1, della dir. 2005/29/CE, secondo cui: «La presente direttiva si applica alle pratiche commerciali sleali tra imprese e consumatori […] poste in essere prima, durante e dopo un’operazione commerciale relativa a un prodotto».

Rispetto agli intrecci fra le regole in materia di dati personali e quelle del codice del consumo, è utile chiedersi se e in quali casi il trattamento dei dati possa essere qualificato come pratica commerciale, e poi interrogarsi sulla possibile configurazione di ipotesi di scorrettezza.

Con riguardo al rapporto fra trattamento dei dati e pratiche commerciali, si può partire dalla definizione data dall’art. 18 cod. cons., secondo cui si definisce come pratica commerciale fra professionisti e consumatori: «qualsiasi azione, omissione, condotta o dichiarazione, comunicazione commerciale ivi compresa la pubblicità e la commercializzazione del prodotto, posta in essere da un professionista, in relazione alla promozione, vendita o fornitura di un prodotto ai consumatori».

Guardando alla giurisprudenza, il Consiglio di Stato ha affermato che per pratiche commerciali

si intendono tutti i comportamenti tenuti da professionisti che siano oggettivamente «correlati» alla «promozione, vendita o fornitura» di beni o servizi a consumatori, e posti in essere anteriormente, contestualmente o anche posteriormente all’instaurazione dei rapporti contrattuali». (Cons. Stato, 29 marzo 2021, n. 2630)

Anche alla luce di quanto detto, occorre affrontare due aspetti:

1) le ipotesi in cui la disciplina in materia di pratiche commerciali scorrette risulterà applicabile;

2) i profili legati alla valutazione della scorrettezza della pratica.

Con riguardo al primo profilo, bisogna domandarsi se le condotte consistenti nel trattamento dei dati relativi ai consumatori possano essere qualificate in alcune ipotesi come «pratica commerciale» ai sensi del codice del consumo.

A tale interrogativo occorre dare risposta positiva, quando il trattamento dei dati da parte dei professionisti sia posto in essere in relazione alla promozione, vendita o fornitura di un prodotto ai consumatori.

Per individuare le ipotesi concrete, è di interesse la Comunicazione «Orientamenti sull’interpretazione e sull’applicazione della direttiva 2005/29/CE» del 29 dicembre 2021, dove la Commissione Europea evidenzia il valore economico derivante da alcuni trattamenti dei dati personali e afferma che la violazione della disciplina in materia di protezione dei dati personali non porta con sé necessariamente l’esistenza di una pratica commerciale scorretta, ma che tale violazione deve essere tenuta in considerazione nella valutazione della scorrettezza di una pratica, in particolare nel caso in cui il trattamento avvenga «a fini di invio di materiale pubblicitario o per qualsiasi altra finalità commerciale, come la profilazione, i prezzi personalizzati o le applicazioni relative ai megadati» (Commissione Europea, Orientamenti sull’interpretazione e sull’applicazione della direttiva 2005/29/CE, 29 dicembre 2021, p. 19).

In ambito nazionale il tema è stato affrontato da varie decisioni dell’Autorità Garante per la Concorrenza e del Mercato (d’ora in avanti: AGCM) in cui l’Autorità esamina le condotte dei titolari del trattamento alla luce della disciplina sulle pratiche commerciali scorrette (AGCM, 25 gennaio 2017, n. 10207; dec. 29 novembre 2018, n. 27432, e 11 maggio 2017, n. 26597). In particolare, si possono richiamare due decisioni, del 29 novembre 2018, n. 27432 e dell’11 maggio 2017, n. 26597 in cui l’AGCM ha affermato che tali norme vanno applicate laddove i dati personali relativi agli utenti, nell’un caso di Facebook e nell’altro di Whatsapp, acquisiscano valore economico perché trattati a fini commerciali, anche in assenza di un prezzo pagato per l’utilizzo commerciale di tali dati.

Rispetto all’applicabilità della disciplina, l’AGCM afferma che:

il patrimonio informativo costituito dai dati degli utenti di FB, utilizzato per la profilazione degli utenti medesimi a uso commerciale e per finalità di marketing, acquista, proprio in ragione di tale uso, un valore economico idoneo a configurare l’esistenza di un rapporto di consumo tra il Professionista e l’utente che utilizza i servizi di FB. (AGCM, dec. 29 novembre 2018, n. 27432)

Tale indirizzo è stato poi confermato da successivi provvedimenti dell’Autorità (ad. es.: AGCM, 9 novembre 2021, n. 29888). A tal riguardo il Tribunale Amministrativo Regionale per il Lazio, nelle sentenze del 10 gennaio 2020, nn. 260 e 261 e il Consiglio di Stato (Consiglio di Stato, sentenze del 29 marzo 2021 nn. 2631 e 2630) hanno confermato l’applicabilità della disciplina in materia di pratiche commerciali scorrette in relazione a condotte relative all’informazione dell’interessato.

Venendo al profilo della scorrettezza della pratica, una pratica commerciale è scorretta, secondo quanto dispone l’art. 20 cod. cons.:

se è contraria alla diligenza professionale, ed è falsa o idonea a falsare in misura apprezzabile il comportamento economico, in relazione al prodotto, del consumatore medio che essa raggiunge o al quale è diretta o del membro medio di un gruppo qualora la pratica commerciale sia diretta a un determinato gruppo di consumatori.

Il codice del consumo individua poi le pratiche scorrette che si definiscono come «ingannevoli» e «aggressive». In proposito, senza poter illustrare la disciplina nel dettaglio, si può qui semplicemente richiamare l’art. 21 cod. cons., rubricato «azioni ingannevoli» e l’art. 24 cod. cons. relativo alle pratiche aggressive.

L’analisi casistica, da svolgere anche sulla base delle decisioni dell’AGCM e della giurisprudenza in materia, è particolarmente utile per comprendere in concreto le intersezioni fra la disciplina in materia di protezione dei dati personali e le regole relative alle pratiche commerciali scorrette.

Si possono individuare i seguenti gruppi di ipotesi:

1) Casi relativi alla carenza di informazioni all’interessato circa le finalità commerciali del trattamento.

In proposito, nella decisione del 29 novembre 2018, n. 27432 l’AGCM ha valutato la pratica alla luce della disciplina in materia di pratiche commerciali ingannevoli. In particolare, l’AGCM ha qualificato come pratica commerciale ingannevole la mancanza, durante la prima fase di registrazione dell’utente a un noto social network, di un’informativa chiara, completa e immediata circa la propria attività di raccolta e utilizzo, a fini commerciali, dei dati relativi ai propri utenti. L’AGCM ha ritenuto che l’informativa fornita dal social network fosse generica e incompleta e che non distinguesse adeguatamente tra l’utilizzo dei dati per realizzare campagne pubblicitarie mirate dalle altre finalità del trattamento, relative alla «socializzazione» fra gli utenti. La pratica è considerata ingannevole in quanto:

nella schermata di registrazione a FB, sia nella versione on line fino al 15 aprile 2018 che nella versione attualmente accessibile (tramite sito e app), il Professionista omette informazioni rilevanti di cui il consumatore necessita al fine di assumere una decisione consapevole di natura commerciale quale è quella di registrarsi nella Piattaforma Facebook per usufruire dell’omonimo servizio di social network.

Tale interpretazione è stata confermata sia dal TAR Lazio nelle sentenze del 10 gennaio 2020, nn. 260 e 261, che dal Consiglio di Stato con le due sentenze del 29 marzo 2021, nn. 2630 e 2631.

2) Casi relativi al consenso al trattamento «preimpostato».

Il Tribunale Amministrativo Regionale per il Lazio, nella decisione del 18 novembre 2022 n. 15326, ha qualificato come pratica aggressiva la «preimpostazione, da parte di Google, del consenso alla cessione dei dati personali relativi alla navigazione in internet», in quanto in questo caso il meccanismo di accettazione prevedeva che nella fase di creazione dell’account il consumatore trovasse preselezionata, in via generalizzata e preventiva, la casella dell’accettazione del trasferimento e/o utilizzo dei propri dati per fini commerciali.

3) Casi relativi al consenso «condizionato»

Un altro tipo di condotte concerne la previsione di un consenso al trattamento cui è condizionato il conseguimento di un vantaggio da parte del consumatore, particolarmente rilevante anche, come noto, sotto il profilo della protezione dei dati personali (sul consenso al trattamento, v. cap. La disciplina dell’attività di trattamento, § 2). In proposito, fra le varie decisioni si può richiamare la del 10 febbraio 2017, n. 10207, in cui l’AGCM ha affermato l’aggressività della pratica commerciale secondo cui, dopo l’acquisto di un prodotto, al fine di accedere a dei premi/vantaggi, è richiesto al consumatore di esprimere il consenso al trattamento dei dati personali. Secondo l’AGCM questa pratica configura un indebito condizionamento tale da indurre il consumatore ad assumere una decisione di natura commerciale che non avrebbe altrimenti preso. Il Consiglio di Stato ha seguito l’impostazione dell’AGCM, qualificando la pratica come aggressiva ex art. 24 cod. cons. in quanto

idonea a condizionare indebitamente il consumatore, che si determina ad acquistare il prodotto in promozione allettato dalla possibilità di conseguire il premio/vantaggio promesso, senza essere stato preventivamente edotto della necessità, a tal fine, di fornire i propri dati personali e di rilasciare il consenso al loro trattamento. (Cons. Stato, 27 febbraio 2020, n. 1425)

4) La valutazione del trattamento dei dati in quanto attività.

Occorre sottolineare che nei casi che si sono ripercorsi non emerge la questione della valutazione del trattamento dei dati, in quanto attività, come pratica commerciale scorretta. Ciononostante, questo profilo non è da trascurare. Ad esempio, si immagini che un professionista tratti i dati personali del consumatore per la finalità di comunicare informazioni pubblicitarie personalizzate, violando il principio di compatibilità delle finalità, posto dall’art. 5, par. 1, lett. b) GDPR (v. cap. La disciplina dell’attività di trattamento, § 2). In proposito, è opportuno considerare che il trattamento dei dati personali – specie se di grandi quantità di dati personali, e con tecniche avanzate – crea uno squilibrio di potere conoscitivo fra l’interessato e chi tratta i dati, e che in alcuni casi tale potere diviene una vera e propria capacità di indirizzare le scelte, anche commerciali, dell’interessato, come ha riconosciuto anche il Comitato Europeo per la Protezione dei Dati con riguardo al targeting degli utenti dei social media (EDPB, Linee guida 8/2020 sul targeting degli utenti di social media del 13 aprile 2021, p. 7). In tale contesto, a fronte di un trattamento operato oltre quanto lecito ai sensi della disciplina, non è da escludersi che potrebbe ritenersi, in ragione del caso concreto, che vi sia un indebito condizionamento del consumatore capace di rendere applicabile la disciplina delle pratiche aggressive di cui agli artt. 24 ss. cod. cons. Se non fosse questo il caso, si potrebbe valutare la possibilità della scorrettezza della pratica ex art. 20 cod. cons., e dunque giudicare se questa sia contraria alla diligenza professionale – contrarietà che si potrebbe affermare di fronte all’illiceità del trattamento ai sensi del GDPR – e se sia falsa o idonea a falsare in misura apprezzabile il comportamento economico, in relazione al prodotto, del consumatore medio che essa raggiunge o al quale è diretta o del membro medio di un gruppo qualora la pratica commerciale sia diretta a un determinato gruppo di consumatori.

Infine, in alcune ipotesi è possibile qualificare il trattamento dei dati personali in quanto tale come pratica commerciale. Tale interrogativo potrebbe risultare utile nelle ipotesi in cui il trattamento illecito, pur svolto per finalità commerciali – ad esempio la profilazione a fini di marketing – sia svolto da un’impresa, e la strategia pubblicitaria da una diversa azienda.

4. Clausole vessatorie

La disciplina in materia di clausole vessatorie è dettata dalla dir. 1993/13/CEE e recepita nell’ordinamento italiano agli artt. 33 ss. cod. cons. Senza poter qui dar conto della complessità della disciplina, si può partire dalla definizione di clausole vessatorie e dal rimedio della nullità previsto in caso di vessatorietà, per poi guardare alle intersezioni fra questa disciplina e le regole in materia di trattamento dei dati personali.

In particolare, l’art. 33 cod. cons. prevede che: «Nel contratto concluso tra il consumatore ed il professionista si considerano vessatorie le clausole che, malgrado la buona fede, determinano a carico del consumatore un significativo squilibrio dei diritti e degli obblighi derivanti dal contratto».

Sono poi elencate alcune clausole che sono da considerare vessatorie, divise in una lista nera di clausole sempre vietate (art. 36 cod. cons.) e clausole vietate che si presumono vessatorie fino a prova contraria (art. 33 cod. cons.).

La conseguenza della vessatorietà della clausola è stabilita in primis dall’art. 36 cod. cons., secondo cui: «Le clausole considerate vessatorie ai sensi degli articoli 33 e 34 sono nulle mentre il contratto rimane valido per il resto».

Nel valutare le intersezioni fra regole in materia di clausole vessatorie e disciplina in materia di dati personali occorre valutare diversi aspetti (Angiolini, 2024), fra cui alcuni particolarmente rilevanti sono:

1) i rapporti fra il contratto e il trattamento dei dati personali o la sua pianificazione, in quanto gli artt. 33 ss. cod. cons. si applicano soltanto ai contratti conclusi fra professionisti e consumatori;

2) La declinazione del giudizio di vessatorietà nei casi relativi al trattamento dei dati personali.

5. Interessi collettivi dei consumatori e azioni a tutela dei dati personali

Nel diritto dei consumatori, un’area tradizionalmente rilevante riguarda la tutela degli interessi collettivi. Spesso, infatti, l’illecito di un professionista non lede solo l’interesse di un singolo consumatore, ma colpisce contemporaneamente gli interessi di un gruppo di consumatori.

Per far fronte a questo tipo di illeciti, che possono procurare pregiudizi di entità non particolarmente significativa per la singola persona fisica, ma che assumono una rilevanza ben diversa se considerati nel complesso dei loro effetti lesivi, il legislatore europeo concede, ad alcuni enti legittimati (ad esempio, le associazioni di consumatori), la possibilità di esercitare azioni rappresentative a tutela degli interessi collettivi (v. direttiva 2020/1828/UE che abroga la precedente direttiva 2009/22/CE). Per quel che rileva ai nostri fini, occorre segnalare che, tra gli illeciti che giustificano l’esercizio di tali azioni, si menzionano anche le violazioni delle disposizioni contenute nel GDPR e nella direttiva 2002/58/CE, (d’ora in avanti: direttiva e-privacy) (v. art. 2, par. 1 e allegato I, nn. 10) e 56), dir. 2020/1828).

L’art. 2, ppar. 1, dir. 2020/1828 ne delinea in modo piuttosto complesso l’ambito di applicazione, prevedendo che la direttiva si applichi alle azioni rappresentative intentate nei confronti di professionisti per violazioni delle disposizioni del diritto dell’Unione di cui all’allegato I, che ledono o possono ledere gli interessi collettivi dei consumatori. Il secondo paragrafo dispone che la direttiva non pregiudica le disposizioni del diritto dell’Unione di cui all’allegato I. In detto allegato, per quel che qui interessa, sono inclusi sia il Reg UE 2016/679 sia la direttiva 2002/58/CE del 12 luglio 2002, relativa alla vita privata e alle comunicazioni elettroniche. Il considerando 16 della direttiva prevede che qualora i provvedimenti contenuti nell’allegato I contengano disposizioni che non attengono alla protezione dei consumatori, tale allegato dovrebbe fare riferimento alle disposizioni specifiche che tutelano gli interessi dei consumatori, e che tuttavia «siffatti riferimenti non sono sempre possibili a causa della struttura di determinati atti giuridici, in particolare nel settore dei servizi finanziari». Sul punto, per quanto riguarda la direttiva 2002/58 l’allegato I richiama gli artt. da 4 a 8 e l’articolo 13 in materia di comunicazioni indesiderate, includendo quindi l’art. 5, particolarmente rilevante in materia di protezione dei dati personali perché relativo ai c.d. cookies, e l’art. 6 relativo ai dati sul traffico (v. sui cookies il cap. La disciplina dell’attività di trattamento, sez. I). Il regolamento UE 2016/679 è incluso nell’allegato I, ma non sono indicate specifiche norme. Quindi, un nodo interpretativo chiave riguarda l’individuazione delle ipotesi in cui la Dir. 2020/1828 risulterà applicabile di fronte ad una violazione delle norme del GDPR. In questo caso, la definizione dei confini del diritto dei consumatori rispetto alla protezione dei dati personali si gioca sull’interpretazione della nozione di «interessi collettivi dei consumatori». In proposito, l’art. 3 della direttiva, che dà una definizione di tale nozione, non è di grande aiuto, in quanto definisce gli interessi collettivi dei consumatori come «gli interessi generali dei consumatori e, in particolare ai fini dei provvedimenti risarcitori, gli interessi di un gruppo di consumatori». La definizione di cui al nuovo art. 140-ter, comma 1, lett. c) cod. cons., adottata in sede di recepimento non introduce elementi di innovazione rispetto al testo adottato in sede europea. Tirando le somme rispetto alla questione interpretativa oggetto di analisi, alla luce della rilevanza del trattamento a fini profittevoli nell’economia contemporanea, una strada interpretativa è quella di considerare che, di fronte a un trattamento funzionale allo svolgimento di un’attività economica che ha uno sbocco su un mercato cui accedono i consumatori, le violazioni del GDPR possono ledere gli interessi collettivi di questi ultimi.

La dir. 2020/1828 è stata recepita nell’ordinamento nazionale con l’introduzione, nel codice del consumo, degli artt. 140-ter ss. In particolare, è l’allegato II-septies del codice, cui rinvia l’art. 140-ter, a indicare le discipline la cui violazione potrebbe danneggiare gli interessi collettivi dei consumatori. Stranamente, tra le discipline indicate nel suddetto allegato non è menzionato direttamente il GDPR, ma soltanto il d.lgs. n. 101/2018, come disciplina di attuazione dello stesso, oltre che il d.lgs. n. 196/2003, in attuazione della direttiva e-privacy. Nonostante tale anomalia, frutto presumibilmente di un poco accorto recepimento legislativo, la dottrina non dubita che gli interessi collettivi dei consumatori possano essere danneggiati dalla violazione di una disposizione contenuta nel GDPR, che costituisce la fonte primaria in materia di protezione dei dati personali (Angiolini 2023).

Si pensi, per ipotesi, a una piattaforma digitale che, nel fornire i propri servizi, tratti illecitamente i dati personali degli utenti contraenti: in virtù delle norme sopra richiamate, un’associazione consumeristica può richiedere all’autorità giudiziaria di emettere un ordine con cui vieti alla piattaforma digitale di proseguire nel comportamento antigiuridico e, laddove un gruppo di consumatori abbia subito pregiudizi a causa di tale comportamento, può avviare un’azione risarcitoria o un’altra azione che vi presti rimedio (ad esempio, un’azione di risoluzione del contratto).

Come già si è visto a proposito della direttiva 2019/770, anche le previsioni della direttiva 2020/1828 possono creare delle interferenze con il GDPR.

A dire il vero, quest’ultima normativa, a differenza della disciplina consumeristica, non contiene specifiche disposizioni in merito alla tutela degli interessi collettivi degli interessati al trattamento. Tuttavia, l’art. 80, par. 1 GDPR, disciplinando la «rappresentanza degli interessati», prevede che ciascuno di essi ha il diritto di dare mandato a un ente collettivo, debitamente costituito e attivo nel settore della protezione dei dati, per proporre un reclamo all’autorità di controllo o un ricorso all’autorità giurisdizionale, anche al fine di un risarcimento dei danni eventuali subiti dall’interessato. Tale previsione è completata dalla facoltà lasciata agli Stati membri di consentire agli enti collettivi, qualora ritengano che i diritti di un interessato siano stati violati, di prendere un’iniziativa processuale anche «indipendentemente dal mandato conferito dagli interessati», purché tale iniziativa non consista in un’azione risarcitoria, la quale richiede necessariamente il conferimento di un mandato (v. art. 80, par. 2 GDPR).

Alla luce di queste previsioni contenute nell’GDPR, l’interferenza con la disciplina a tutela dei consumatori può presentarsi nella misura in cui gli enti collettivi possano agire in giudizio sulla base di condizioni diverse rispetto a quelle indicate dall’art. 80, par. 1.

In realtà, la Corte di giustizia dell’UE è già intervenuta chiarendo che «la violazione di una norma relativa alla protezione dei dati personali può simultaneamente comportare la violazione di norme relative alla tutela dei consumatori o alle pratiche commerciali sleali» (CGUE, 28 aprile 2022, C-319/20, § 78).

Pertanto, vista la discrezionalità lasciata agli Stati membri dal par. 2 dell’art. 80, questi possono consentire a un’associazione a tutela dei consumatori di agire in giudizio,

in assenza di un mandato che le sia stato conferito a tale scopo e indipendentemente dalla violazione di specifici diritti degli interessati, contro il presunto autore di un atto pregiudizievole per la protezione dei dati personali, facendo valere la violazione del divieto di pratiche commerciali sleali, la violazione di una legge in materia di tutela dei consumatori o la violazione del divieto di utilizzazione di condizioni generali di contratto nulle, qualora il trattamento di dati in questione sia idoneo a pregiudicare i diritti riconosciuti da tale regolamento a persone fisiche identificate o identificabili. (CGUE, 28 aprile 2022, C-319/20, § 83)

Nel caso in esame, si discuteva della compatibilità con il GDPR di una disciplina nazionale relativa alla tutela collettiva dei consumatori, tramite l’esercizio di azioni inibitorie, contro eventuali violazioni di regole in materia di protezione dei dati personali. Come si è visto, in virtù dell’art. 80, par. 2 GDPR, la Corte si è espressa in senso favorevole.

In futuro, però, potrebbe riproporsi il problema in merito alla compatibilità con il GDPR di discipline nazionali che consentano alle associazioni consumeristiche di intentare, in assenza di un preventivo mandato degli interessati, non solo azioni inibitorie, ma anche azioni risarcitorie (è il caso, ad esempio, del nostro art. 140-septies, co. 1 cod. cons.) contro eventuali violazioni di regole in materia di protezione dei dati personali. Il problema sarebbe più complesso perché, ai sensi dell’art. 80, par. 1 GDPR, gli Stati membri hanno meno margini di autonomia nel regolare le condizioni di esercizio di un’azione risarcitoria da parte di un ente collettivo.

Ciò dimostra, ancora una volta, come le possibili sovrapposizioni tra il diritto dei consumatori e la disciplina di protezione dei dati rischino di creare problemi interpretativi che non sempre risultano di facile soluzione.

Riferimenti bibliografici

AA.VV. 2024. Collective Redress. Country Reports, Digital Freedom Fund, accessibile all’indirizzo: https://digitalfreedomfund.org/wp-content/uploads/2024/11/CRB_V4.pdf

Angiolini, Chiara. 2023. “Una riflessione critica sulla complementarità fra norme sulla protezione dei dati personali e il diritto dei consumatori nella disciplina dei profili patrimoniali del rapporto fra interessato e titolare del trattamento.” In Chiara Angiolini e Daniela Santarpia (a cura di), La fattispecie «liquida»: quattro casi sintomatici, 28 ss. Napoli: Edizioni Scientifiche Italiane.

Angiolini, Chiara. 2024. “Clausole abusive e circolazione dei dati personali.” In Stefano Pagliantini (a cura di), Le clausole abusive nei contratti dei consumatori. Trent’anni di direttiva 93/13 – Il foro italiano. Gli Speciali, fascicolo speciale n. 1/2024 della rivista Il Foro Italiano, Milano.

Bachelet, Vittorio. 2023. Il consenso oltre il consenso. Pisa: Pacini.

Magri, Geo, Thobani, Shaira (a cura di). 2022. Manuale di diritto privato delle nuove tecnologie. Torino: Giappichelli.

Pagliantini, Stefano. 2022. “L’attuazione minimalista della dir. 2019/770/UE: riflessioni sugli artt. 135 octies – 135 vicies ter c.cons. La nuova disciplina dei contratti b-to-c per la fornitura di contenuti e servizi digitali.” Le nuove leggi civili commentate 45, 6: 1499-522.

Resta, Giorgio. 2005. Autonomia privata e diritti della personalità. Il problema dello sfruttamento economico degli attributi della persona in prospettiva comparatistica. Napoli: Jovene.

Rott, Peter. 2017. “Data protection law as consumer law. How consumer organisations can contribute to the enforcement of data protection law.” In J. Eur: Consumer and Market L.

Versaci, Giuseppe. 2020. La contrattualizzazione dei dati personali dei consumatori. Napoli: Edizioni Scientifiche Italiane.

Versaci, Giuseppe. 2023. “Trattamenti illeciti dei dati personali e tutele collettive dei consumatori”. In Alessandro Palmieri e Francesca Altamura (a cura di), Class action e meccanismi di tutela collettiva. Torino: Giappichelli.

Zuiderveen Borgesius, Frederik, Helberger, Natali, Reyna, Agustin. 2017. “The perfect match? A closer look at the relationship between eu consumer law and data protection law.” In Common Market Law Review.

Chiara Angiolini, University of Siena, Italy, chiara.angiolini@unisi.it

Referee List (DOI 10.36253/fup_referee_list)

FUP Best Practice in Scholarly Publishing (DOI 10.36253/fup_best_practice)

Chiara Angiolini, Le intersezioni fra disciplina in materia di dati personali e diritto dei consumatori, © Author(s), CC BY-SA 4.0, DOI 10.36253/979-12-215-0796-6.08, in Chiara Angiolini, Antonello Iuliani (edited by), Manuale sulla protezione e circolazione dei dati personali, pp. -112, 2025, published by Firenze University Press and USiena PRESS, ISBN 979-12-215-0796-6, DOI 10.36253/979-12-215-0796-6

1. Il ruolo dell’autorità garante nazionale

Il Garante per la protezione dei dati personali, anche noto come Garante privacy, è un’autorità amministrativa indipendente. L’autorità è stata istituita con la l. n. 675/96, la quale recepiva la direttiva 95/46/CE, ed è oggi «Autorità di controllo» incaricata di controllare la corretta applicazione del Regolamento in materia di protezione dei dati personali ai sensi dell’art. 51 GDPR e dell’art. 153 del d.lgs. 196/2003 (d’ora in avanti: cod. privacy).

L’istituzione del Garante per la Privacy nasce dall’esigenza di proteggere le persone fisiche riguardo al trattamento dei loro dati personali, garantendo che tale trattamento avvenga nel rispetto dei diritti e delle libertà fondamentali, senza che – allo stesso tempo – sia pregiudicata la libera circolazione dei dati personali all’interno dell’Unione.

Il Garante, dunque, si configura oggi come una autorità amministrativa con una mission supplementare rispetto ad altre autorità: non è chiamato a svolgere una attività meramente tecnica di regolazione del mercato in un’ottica di efficienza economica, ma ha il compito di presidiare la tutela di diritti e libertà fondamentali.

Per questa ragione, è particolarmente importante che sia assicurata l’indipendenza dei suoi componenti nell’adempimento dei propri compiti e nell’esercizio dei propri poteri, ai sensi dell’art. 52 GDPR. I componenti del collegio, infatti, debbono astenersi da qualunque attività incompatibile con le loro funzioni per tutta la durata del mandato.

Ai sensi dell’art. 153 cod. privacy, il collegio è composto da quattro componenti, eletti due dalla Camera dei deputati e due dal Senato della Repubblica con voto limitato (i parlamentari possono cioè esprimere un numero di preferenze inferiore rispetto al totale dei candidati, in modo da assicurare l’elezione di almeno un candidato espresso dai gruppi di minoranza).

Dal 2018 si prevede poi che i componenti siano eletti tra coloro che presentano la propria candidatura nell’ambito di una procedura di selezione il cui avviso deve essere pubblicato nei siti internet della Camera, del Senato e del Garante. Le candidature possono essere avanzate da persone che assicurino, come accennato, indipendenza e che risultino di comprovata esperienza nel settore della protezione dei dati personali, con particolare riferimento alle discipline giuridiche o dell’informatica.

I componenti eleggono tra loro un presidente, il cui voto prevale in caso di parità, e un vicepresidente, che assume le funzioni del presidente in caso di sua assenza o impedimento. L’incarico di presidente e quello di componente hanno durata settennale e non sono rinnovabili.

L’autorità opera in piena autonomia, sia amministrativa che finanziaria, e le sue decisioni possono essere impugnate solo davanti al giudice ordinario.

Il ruolo del Garante è variegato e comprende diversi «compiti» (ex art. 57 GDPR e 154 cod. privacy) e «poteri» (ex art. 58 GDPR e 154-bis cod. privacy).

Tra i «compiti» vi è naturalmente quello di assicurare e sorvegliare l’applicazione del GDPR da parte di soggetti pubblici e privati, controllando altresì l’applicazione delle norme nazionali in materia di protezione dei dati. Questo include, ad esempio, la verifica che i dati siano raccolti e trattati solo per finalità legittime, che il trattamento sia proporzionato e trasparente, o che siano adottate tutte le misure necessarie per garantire la sicurezza dei dati, evitando accessi non autorizzati, perdite o distruzioni accidentali.

A questa competenza principale si affiancano ulteriori compiti di carattere informativo, finalizzati alla promozione della consapevolezza pubblica su questi temi, e l’attività consultiva, principalmente rivolta nei confronti del Parlamento, del Governo e di altri organismi istituzionali. Il Garante è altresì titolare di specifiche competenze regolatorie di integrazione contrattuale consistenti ad esempio nella adozione di «clausole contrattuali tipo» o nella approvazione delle «norme vincolanti d’impresa», v. cap. Le fonti della disciplina in materia di dati personali).

Per quanto riguarda invece i «poteri», si distinguono i) i poteri di indagine, ii) i poteri correttivi e sanzionatori e iii) i poteri autorizzativi e consultivi.

Quanto ai primi, essi consentono all’autorità di condurre accertamenti e raccogliere informazioni. Ad esempio, può richiedere informazioni al titolare del trattamento e al responsabile del trattamento, può effettuare ispezioni e audit dei trattamenti di dati, può accedere a qualsiasi locale in cui sono trattati i dati.

Quanto ai poteri correttivi e sanzionatori, essi includono il potere di emettere ammonimenti o avvertimenti al titolare o al responsabile del trattamento, di imporre limiti o divieti sul trattamento dei dati, di disporre la rettifica o la cancellazione di dati personali o la limitazione del trattamento e, infine, come si vedrà, di comminare sanzioni amministrative, comprese le multe.

Infine, per quanto attiene ai poteri autorizzativi e consultivi, essi consentono all’autorità di controllo di intervenire in alcune situazioni su richiesta di soggetti pubblici e privati, potendo rilasciare pareri – quando richiesto – in materia di trattamenti o autorizzare clausole contrattuali standard o meccanismi di trasferimento di dati verso paesi terzi. Il Garante ha anche il potere di esprimere pareri su atti normativi e regolamenti che possono influire sulla protezione dei dati personali, assicurando che ogni nuova normativa rispetti i principi fondamentali della materia. Inoltre, gestisce i reclami presentati dai cittadini riguardanti presunte violazioni dei loro diritti relativi alla privacy.

Oltre alle sue attività a livello nazionale, il Garante per la Privacy collabora strettamente con altre autorità nazionali per la protezione dei dati all’interno dell’Unione Europea e a livello internazionale. Questo lavoro di collaborazione è fondamentale per affrontare le sfide globali legate alla protezione dei dati, come l’armonizzazione delle normative tra diversi paesi e la gestione delle problematiche legate ai trasferimenti internazionali di dati personali.

2. Il ruolo dell’European Data Protection Board e il meccanismo di coerenza

L’European Data Protection Board (EDPB) è un organismo indipendente dell’UE istituito dal GDPR, con il compito di garantire un’applicazione coerente del regolamento in tutta l’Unione Europea. Esso è composto dai rappresentanti delle autorità di controllo di ciascun Stato membro e dal Garante europeo per la protezione dei dati. Il Board raccoglie l’eredità del Working Party 29, gruppo di lavoro istituito ai sensi dell’art. 29 della previgente direttiva 95/46/CE che aveva avviato un’importante opera di interpretazione e indirizzo volta ad armonizzare l’applicazione del diritto europeo in materia di protezione dei dati personali.

Le funzioni dell’EDPB sono disciplinate dagli articoli 68-76 del GDPR e si caratterizzano per una doppia natura, in parte consultiva e in parte decisoria. In particolare, come previsto dall’art. 70 GDPR, il Board ha il compito di monitorare l’attuazione del Regolamento e di assicurare la corretta applicazione del regolamento attraverso la pubblicazione di linee guida, raccomandazioni e buone prassi.

Il Board fornisce inoltre pareri e consulenze alla Commissione, relativamente agli adempimenti connessi all’applicazione del GDPR, e alle autorità di controllo nazionali. In particolare, coordina e supervisiona il funzionamento del «meccanismo di coerenza», uno degli strumenti fondamentali per garantire l’uniformità nell’applicazione del GDPR (ex artt. 63-66 del Regolamento).

Ai sensi dell’art. 64 GDPR, infatti, viene richiesto da parte delle autorità nazionali il parere dell’EDPB quando queste redigono una lista dei tipi di trattamenti che richiedono una valutazione di impatto (DPIA), o quando approvano clausole contrattuali standard per il trasferimento di dati verso paesi terzi o organizzazioni internazionali, o ancora codici di condotta che riguardano il trattamento di dati personali transfrontaliero o internazionale.

In tutti questi casi, l’EDPB è tenuto ad intervenire secondo una procedura dettagliata, che prevede: 1) Richiesta di parere: l’autorità di controllo che intende adottare una misura, che può avere un impatto su trattamenti transfrontalieri o può richiedere un’armonizzazione a livello europeo, invia una richiesta formale di parere all’EDPB; 2) Termine per il parere dell’EDPB: l’EDPB deve emettere il suo parere entro un termine massimo di otto settimane dalla ricezione della richiesta. Tale termine può essere prorogato di altre sei settimane per questioni particolarmente complesse. L’autorità di controllo che ha richiesto il parere deve necessariamente attendere la decisione dell’EDPB prima di adottare la propria misura; 3) Efficacia del parere: Sebbene i pareri dell’EDPB non siano sempre vincolanti, l’autorità di controllo, ricevuta la notifica, è tenuta a dare seguito a essi e a giustificare ogni eventuale decisione contraria.

In casi di disaccordo, può essere attivato il «meccanismo di composizione delle controversie» dell’art. 65. Il meccanismo si applica in situazioni in cui, ad esempio, vi sia disaccordo tra un’autorità di controllo competente e l’EDPB o tra l’autorità di controllo capofila e le altre autorità interessate in un trattamento transfrontaliero.

La procedura inizia con la richiesta di una delle autorità coinvolte all’EDPB di intervenire per risolvere la controversia. Il Board emette quindi una decisione vincolante entro un mese (prorogabile di altre due settimane per casi particolarmente complessi). Questa decisione può confermare il parere dell’autorità principale, accogliere i punti sollevati dalle altre autorità o risolvere questioni specifiche di disaccordo. Una volta adottata, la decisione vincolante viene notificata a tutte le autorità coinvolte, le quali devono poi applicarla nei rispettivi ordinamenti nazionali.

L’articolo 65 si collega strettamente al meccanismo dello sportello unico (c.d. one-stop-shop) previsto dall’art. 60 GDPR. In caso di trattamenti transfrontalieri, infatti, l’autorità capofila adotta la decisione notificandola presso lo stabilimento principale del titolare o responsabile del trattamento, ma il meccanismo di risoluzione delle controversie garantisce che, anche in caso di disaccordi tra le autorità, vi sia un intervento dell’EDPB volto ad assicurare coerenza.

3. Il ruolo dell’European Data Protection Supervisor

L’European Data Protection Supervisor (EDPS), o Garante europeo per la protezione dei dati, è un organismo dell’Unione istituito per garantire che le istituzioni e gli organismi dell’Unione Europea rispettino le norme sulla protezione dei dati personali. Il suo mandato è disciplinato dal Regolamento UE 2018/1725, che stabilisce le regole per il trattamento dei dati personali da parte delle istituzioni europee, riflettendo principi simili a quelli del GDPR.

Il Parlamento europeo e il Consiglio nominano di comune accordo il Garante europeo della protezione dei dati, per un periodo di cinque anni, in base a un elenco predisposto dalla Commissione dopo un invito pubblico a presentare candidature. L’elenco di candidati deve essere composto da personalità che offrano ogni garanzia di indipendenza e che possiedano una conoscenza specialistica in materia di protezione dei dati.

A differenza delle autorità di controllo nazionali, che vigilano sull’applicazione del GDPR nei singoli Stati membri, l’EDPS ha la responsabilità esclusiva di monitorare il rispetto delle norme in materia di protezione dei dati personali da parte del Parlamento Europeo, della Commissione Europea e del Consiglio dell’Unione Europea. Nell’ambito dell’assetto istituzionale dell’Unione, riveste un duplice ruolo: da un lato, assicura la conformità del trattamento dei dati delle istituzioni europee, dall’altro fornisce pareri consultivi in materia di protezione dei dati, in particolare quando nuove normative o politiche UE impattano sui diritti dei cittadini.

Tra i poteri dell’EDPS rientrano quelli di condurre indagini e prendere misure correttive in caso di violazioni delle norme sulla protezione dei dati. Può altresì emettere ammonimenti, ordini di rettifica o cancellazione dei dati trattati in modo illegittimo, e imporre limitazioni o divieti sul trattamento. Come accennato, si tratta di poteri che riflettono quelli delle autorità di controllo nazionali, ma sono focalizzati esclusivamente sulle istituzioni dell’UE.

Un altro aspetto rilevante del mandato dell’EDPS è la sua partecipazione in seno all’European Data Protection Board (EDPB), nell’ambito del quale collabora, ad esempio, nella risoluzione di eventuali questioni transfrontaliere riguardanti il trattamento di dati personali da parte delle istituzioni UE.

L’EDPS gioca anche un ruolo di primo piano nella promozione della consapevolezza sui diritti alla protezione dei dati. Secondo l’art. 57(1)(b) del Regolamento 2018/1725, il Garante ha il compito di informare e sensibilizzare il pubblico e le istituzioni dell’UE sui rischi, le norme e i diritti relativi alla protezione dei dati personali.

4. Le autorità per i servizi di intermediazione dei dati e per l’altruismo dei dati

Come si è visto nel Capitolo precedente, il fenomeno della circolazione dei dati è regolato da norme ulteriori e complementari rispetto al GDPR, che si limita a disciplinare le forme e i modi del trattamento dei dati personali. Tra queste, il Data Governance Act (Regolamento UE 2022/868), delinea le responsabilità di ulteriori autorità con l’obiettivo di promuovere un utilizzo responsabile e sicuro dei dati sia a livello commerciale sia a fini altruistici.

In particolare, gli Stati membri sono obbligati a designare le «autorità competenti per i servizi di intermediazione dei dati» e quelle «per la registrazione delle organizzazioni per l’altruismo dei dati».

Con riferimento alle prime, ai sensi dell’art. 13 del Data Governance Act, la designazione di una o più autorità competenti è funzionale a gestire la procedura di notifica e monitoraggio dei fornitori di servizi di intermediazione dei dati. Queste autorità sono cioè incaricate di verificare la conformità dei fornitori ai requisiti stabiliti dal Regolamento, nonché di intervenire in caso di violazioni. Tra i loro poteri, figurano la richiesta di informazioni necessarie per il controllo e la possibilità di imporre sanzioni o di sospendere i servizi in caso di mancato rispetto delle norme.

Queste autorità devono cooperare strettamente con altre entità nazionali, come le autorità per la protezione dei dati, le autorità di concorrenza e quelle responsabili della sicurezza informatica, per garantire una regolamentazione armonizzata e coerente a livello nazionale e sovranazionale.

Le autorità competenti per la registrazione delle organizzazioni per l’altruismo dei dati hanno invece il compito, ai sensi dell’art. 23 del Data Governance Act, di mantenere un registro pubblico delle organizzazioni riconosciute che operano a fini di altruismo dei dati. Queste organizzazioni, che raccolgono dati messi a disposizione volontariamente dai cittadini per finalità di interesse generale, devono rispettare criteri rigorosi di trasparenza e sicurezza. Le autorità competenti monitorano il rispetto di tali criteri e collaborano con altre entità per garantire, anche in questo caso, la corretta gestione dei dati, in particolare quando tali dati comprendono informazioni personali.

Ogni Stato membro deve notificare alla Commissione Europea le autorità competenti individuate e tali registrazioni sono rese pubbliche per garantire trasparenza e fiducia nel sistema.

Infine, sia le autorità di intermediazione dei dati che quelle per l’altruismo dei dati debbono essere giuridicamente indipendenti e garantire l’imparzialità delle loro decisioni, al fine di promuovere un ambiente di scambio dei dati sicuro e trasparente per cittadini e aziende.

5. Il Comitato europeo per l’innovazione in materia di dati

Il Comitato europeo per l’innovazione in materia di dati, istituito dalla Commissione Europea, è un gruppo di esperti volto a promuovere una governance efficace dei dati nell’Unione Europea. Questo comitato è composto da rappresentanti delle autorità competenti per i servizi di intermediazione dei dati, per la registrazione delle organizzazioni per l’altruismo dei dati, del Comitato europeo per la protezione dei dati, del Garante europeo della protezione dei dati, dell’European Union Agency for Cybersecurity (ENISA), della Commissione e da altri rappresentanti rilevanti, inclusi quelli per le PMI e altri settori specifici.

Secondo l’articolo 29 del Data Governance Act, il Comitato ha – tra gli altri – il compito di consigliare e assistere la Commissione nello sviluppo di una prassi coerente per il riutilizzo dei dati e per l’altruismo dei dati nell’Unione. Il Comitato opera anche attraverso la costituzione di sottogruppi che si occupano di specifici temi, come le questioni tecniche legate alla portabilità e interoperabilità dei dati, oltre che al coinvolgimento dei portatori di interessi, incluse le imprese e la società civile.

6. Le sanzioni amministrative e gli altri provvedimenti dell’autorità

Il rispetto del Regolamento è garantito attraverso un complesso sistema sanzionatorio, di natura amministrativa e penale, a seconda della gravità dell’infrazione commessa. In particolare, l’articolo 83 GDPR stabilisce un sistema di sanzioni amministrative pecuniarie. Per espressa previsione della norma, tali sanzioni devono essere «effettive, proporzionate e dissuasive», e il loro ammontare varia a seconda della gravità della violazione e delle circostanze del caso specifico. Le sanzioni pecuniarie possono arrivare fino a 20 milioni di euro o al 4% del fatturato mondiale annuo dell’impresa, a seconda di quale delle due sia la cifra maggiore.

Il GDPR distingue due livelli di gravità delle violazioni, con sanzioni differenti. Il primo livello, disciplinato dal paragrafo 4 dell’articolo 83, prevede multe fino a 10 milioni di euro o al 2% del fatturato annuo globale, per violazioni legate agli obblighi di natura tecnica e organizzativa. Ad esempio, rientrano in questa categoria le violazioni degli articoli 8 (condizioni applicabili al consenso dei minori), 11 (trattamento che non richiede identificazione), e 25-39, che riguardano i principi di «privacy by design» e «privacy by default», la nomina e i compiti del responsabile della protezione dei dati (DPO), e altre misure tecniche e organizzative atte a garantire la sicurezza dei dati personali.

Il secondo livello di gravità, disciplinato dai paragrafi 5 e 6 dell’articolo 83, prevede sanzioni più severe, fino a 20 milioni di euro o al 4% del fatturato mondiale annuo, per violazioni dei principi fondamentali del GDPR. In questa categoria rientrano le violazioni degli articoli 5, 6, 7 e 9, che trattano i principi di base per il trattamento dei dati, le condizioni di liceità del trattamento, le condizioni per il consenso e il trattamento di categorie particolari di dati personali, come quelli relativi alla salute o all’orientamento sessuale. Anche le violazioni riguardanti i diritti degli interessati, previsti negli articoli 12-22, come il diritto di accesso, rettifica, cancellazione (diritto all’oblio), portabilità e opposizione, sono soggette a tale trattamento sanzionatorio.

Le autorità di controllo, che hanno il compito di monitorare la conformità al GDPR, sono i soggetti deputati alla irrogazione delle sanzioni in caso di violazione. Nel decidere se infliggere una sanzione amministrativa pecuniaria e nel determinare il suo importo, l’autorità di controllo deve tenere in considerazione una serie di fattori elencati nel paragrafo 2 dell’articolo 83, che include undici criteri specifici. Tra questi figurano: la natura, la gravità e la durata della violazione, avuto riguardo al tipo di trattamento e al numero di soggetti coinvolti; il carattere doloso o colposo della violazione; le misure adottate per attenuare i danni subiti dagli interessati; il grado di responsabilità del titolare o del responsabile del trattamento, considerando le misure tecniche e organizzative adottate in conformità con gli articoli 25 e 32; le eventuali precedenti violazioni pertinenti; il grado di cooperazione con l’autorità di controllo; le categorie di dati personali interessate dalla violazione, come dati particolari ai sensi dell’articolo 9; le modalità con cui l’autorità di controllo ha preso conoscenza della violazione, ad esempio, se la violazione è stata notificata dal titolare come previsto dall’articolo 33; l’adesione a codici di condotta o meccanismi di certificazione.

Tutti questi criteri devono essere contemporaneamente presi in considerazione dall’autorità di controllo nella commisurazione della sanzione da infliggere, che deve quindi essere sempre proporzionalmente gradata.

Inoltre, il paragrafo 3 dell’articolo 83 stabilisce che se un titolare del trattamento o un responsabile viola con dolo o colpa più disposizioni del GDPR in relazione allo stesso trattamento o a trattamenti collegati, l’importo totale della sanzione non deve superare quello previsto per la violazione più grave. Questo al fine di evitare un cumulo di sanzioni sproporzionato e di garantire che la multa sia ragionevole in base alla gravità complessiva della condotta.

Oltre alla funzione correttiva, le sanzioni del GDPR perseguono un importante scopo dissuasivo. La severità del trattamento sanzionatorio mira a scoraggiare le imprese dal violare le norme, promuovendo al contempo una cultura di compliance alla disciplina in materia di protezione dei dati personali. Per esempio, l’articolo 58, paragrafo 2, conferisce alle autorità di controllo ampi poteri correttivi, tra cui l’emissione di ammonimenti, ordini di limitazione o sospensione del trattamento.

In Italia, come si è detto in apertura di questo Capitolo, il Garante per la protezione dei dati personali è l’autorità di controllo designata per l’applicazione delle sanzioni del GDPR. Il d.lgs. 196/2003 ha modificato il Codice Privacy (d.lgs. 196/2003) per allinearlo al GDPR. Tra le modifiche più significative, vi è stata proprio l’introduzione di sanzioni amministrative per le violazioni del Codice italiano che corrispondono a quelle previste dal GDPR. Il Garante ha il potere di avviare procedimenti sanzionatori sia su segnalazione degli interessati sia d’ufficio, e può imporre provvedimenti correttivi in caso di violazioni accertate.

7. Le azioni nei confronti dell’autorità di controllo

Contro i provvedimenti del Garante per la protezione dei dati personali può essere presentato ricorso innanzi al giudice ordinario in virtù del combinato disposto degli artt. 78 GDPR, 152 cod. privacy, e 10 del d.lgs. 150/2011 recante la disciplina dei procedimenti civili semplificati. In particolare, l’art. 78 GDPR garantisce agli interessati il diritto a un ricorso giurisdizionale effettivo contro le decisioni dell’autorità di controllo, mentre l’art. 152 cod. privacy disciplina le modalità di impugnazione dei provvedimenti del Garante, rinviando per quanto attiene ai profili processuali al d.lgs. 150/2011.

Quest’ultimo, all’art. 10, stabilisce che i provvedimenti del Garante possono essere impugnati dinanzi al giudice ordinario, che il ricorso deve essere presentato entro 30 giorni dalla notifica del provvedimento o entro 60 giorni se il ricorrente è residente all’estero. Il ricorrente può altresì dare mandato a un ente del terzo settore che sia attivo nel settore della tutela dei diritti e delle libertà degli interessati con riguardo alla protezione dei dati personali, che può esercitare l’azione in sua vece.

Durante il procedimento, il ricorrente può chiedere la modifica, la sospensione o l’annullamento del provvedimento del Garante, come nei casi di sanzioni amministrative ritenute sproporzionate o di presunte violazioni procedurali. Il giudice esamina la legittimità del provvedimento e il rispetto delle regole relative al procedimento che ne ha condotto all’adozione: un vizio di legittimità nell’attività procedimentale (ad esempio, l’eccessiva durata della fase istruttoria) può infatti determinare l’annullabilità del provvedimento finale, ancorché sostanzialmente corretto.

La sentenza che definisce il giudizio non è appellabile e può prescrivere tutte le misure ritenute necessarie dal giudice, anche in difformità da quanto previsto dal provvedimento impugnato, oltre a provvedere – quando richiesto – in merito al risarcimento del danno.

Riferimenti bibliografici

Belisario, E., G. M. Riccio e G. Scorza. 2023. GDPR e normativa privacy. Alphen aan den Rijn: Wolters Kluwer, pp. 729 ss.

Bolognini, L., E. Pellino e C. Bistolfi (a cura di). 2016. Il Regolamento privacy europeo. Commentario alla nuova disciplina sulla protezione dei dati personali. Milano: Giuffrè.

European Data Protection Board (EDPB). 2022. Linee guida 4/2022 sul calcolo delle sanzioni amministrative pecuniarie ai sensi del GDPR. [s.l.]: EDPB.

Grossi, L. 2023. “Sulla decisione della Data Protection Commission irlandese nel caso Meta: il ruolo delle autorità indipendenti nella protezione dei dati personali.” In Rivista della regolazione dei mercati, fasc. 2/2023, pp. 474 ss.

Guzzardo, G. 2018. “Accountability e pubbliche Amministrazioni nel regolamento europeo in materia di protezione dei dati personali.” In Amministrazione In Cammino, 1° aprile 2018.

Elia Cremona, University of Siena, Italy, elia.cremona@unisi.it, 0000-0001-9336-218X

Referee List (DOI 10.36253/fup_referee_list)

FUP Best Practice in Scholarly Publishing (DOI 10.36253/fup_best_practice)

Elia Cremona, La regolamentazione e la tutela amministrativa, © Author(s), CC BY-SA 4.0, DOI 10.36253/979-12-215-0796-6.10, in Chiara Angiolini, Antonello Iuliani (edited by), Manuale sulla protezione e circolazione dei dati personali, pp. -141, 2025, published by Firenze University Press and USiena PRESS, ISBN 979-12-215-0796-6, DOI 10.36253/979-12-215-0796-6