Data Breach: diritti e tutele

Sommario: Premessa – 1. Cos’è il data breach? – 2. Gli obblighi del titolare del trattamento – 3. Strumenti di tutela – 4. Conclusioni

Premessa

“Quella della mancanza di sicurezza delle banche dati e dei siti delle amministrazioni pubbliche è una questione che si ripropone costantemente, segno di una ancora insufficiente cultura della protezione dati nel nostro paese”.

Questa nota diffusa dal Garante della privacy dopo l’ennesimo caso di data breach ha rappresentato un importante spunto di riflessione: a che punto siamo con una della più importanti sfide poste dall’era della digitalizzazione e della globalizzazione?

La condivisione e la raccolta dei dati personali costituiscono il vero motore dell’economia digitale, di conseguenza il trattamento e la protezione dei dati personali devono costituire una priorità per ogni ordinamento.

L’esigenza di favorire la libera circolazione dei dati personali e, allo stesso tempo, di tutelare il diritto alla riservatezza è stata avvertita anche in ambito comunitario, nelle quali opportune sedi è stato adottato il Regolamento (UE) 2016/679 recante disposizioni in materia di protezione delle persone fisiche con riguardo al trattamento dei dati personali nonché alla libera circolazione degli stessi. È ben chiara, quindi, la portata innovativa di tale Regolamento: si passa da una concezione “proprietaria” dei dati, in virtù della quale gli stessi non possono essere utilizzati se non previo consenso, ad una concezione di controllo dei dati, che favorisce la circolazione dei dati personali e, contestualmente, rafforza i diritti e le tutele dell’interessato.

1. Cos’è il data breach?

Questa premessa, a parere di chi scrive, è indispensabile per poter dare una risposta alla domanda che, oggi più che mai, ci poniamo: cos’è il data breach e quali sono gli strumenti di tutela di cui godono gli interessati?

Per data breach o violazione dei dati personali si intende una violazione di sicurezza che comporta – accidentalmente o in modo illecito – la distruzione, la perdita, la modifica, la divulgazione non autorizzata o l’accesso ai dati personali trasmessi, conservati o comunque trattati[1].

Certamente, le ipotesi più frequenti sono costituite dalla divulgazione non autorizzata dei dati personali e dall’accesso o acquisizione dei dati da parte di terzi non autorizzati.

In tutti questi casi, ci troviamo dinanzi ad una violazione del diritto alla protezione dei dati personali. Trattasi di un diritto fondamentale dell’individuo riconosciuto espressamente dall’art. 8 della Carta dei diritti fondamentali dell’Unione Europea[2] e dall’art. 16 TFUE e che trova un referente costituzionale, seppur indirettamente, nell’art. 2 Cost.

2. Gli obblighi del titolare del trattamento

Fermo restando l’obbligo, per il titolare e il responsabile del trattamento dei dati, di adottare misure tecniche e organizzative adeguate a garantire la tutela dei dati personali, le violazioni sono all’ordine del giorno e, pertanto, il Regolamento 2016/679 disciplina cosa deve fare il titolare del trattamento e cosa possono fare quei soggetti nei cui confronti si sia perpetrata la lesione del proprio diritto.

Il titolare del trattamento senza ingiustificato ritardo, o comunque entro 72 ore dal momento in cui è venuto a conoscenza della violazione, è tenuto a notificare tale irregolarità al Garante per la protezione dei dati personali (da qui in poi, Garante). La notifica deve descrivere la natura della violazione dei dati, le probabili conseguenze e le misure adottate o di cui si propone l’adozione per porre rimedio alla violazione (art. 33 Reg.).

Inoltre, quando la violazione dei dati personali è suscettibile di presentare un rischio elevato per i diritti e le libertà delle persone fisiche, il titolare del trattamento è tenuto a comunicare la violazione anche all’interessato (art. 34 Reg.).

La tempestività della comunicazione della violazione al Garante assolve una funzione fondamentale, in quanto permette all’autorità di controllo di esercitare i propri poteri correttivi che, in taluni casi, sono cosi incisivi da limitare fortemente le conseguenze derivanti dalla violazione dei dati personali. Infatti, l’art. 58, par. 2, del Regolamento riconosce al Garante finanche il diritto: di imporre una limitazione provvisoria o definitiva al trattamento, incluso il divieto di trattamento; di ordinare la rettifica, la cancellazione di dati personali o la limitazione del trattamento e di imporre una sanzione amministrativa pecuniaria.

3. Strumenti di tutela

Come anticipato, il Regolamento 2016/679 ha rafforzato i diritti e le tutele di cui godono tutti i soggetti che intendono salvaguardare i propri dati personali.

Nello specifico, all’interessato viene riconosciuto: il diritto di accesso, ovvero il diritto di ottenere dal titolare del trattamento la conferma che sia o meno in corso un trattamento di dati personali che lo riguardano[3]. Tale diritto può essere esercitato mediante la presentazione di un’istanza direttamente al titolare del trattamento dei dati (ad es. mediante raccomanda, fax o mail); il diritto di rettifica, ovvero il diritto di ottenere la rettifica dei dati personali inesatti che lo riguardano senza ingiustificato ritardo[4]. All’interessato è riconosciuto anche il diritto di ottenere l’integrazione dei dati personali incompleti attraverso una dichiarazione integrativa; il diritto all’oblio, ovvero il diritto alla cancellazione dei dati personali[5] se non sono più necessari rispetto alle finalità per le quali sono stati raccolti o altrimenti trattati, se viene revocato il consenso o ci si oppone al trattamento, se i dati sono trattati illecitamente o se devono essere cancellati per adempiere un obbligo giuridico; il diritto di limitazione di trattamento, ovvero il diritto di ottenere dal titolare del trattamento la limitazione di trattamento[6] se i dati sono inesatti, per il tempo necessario per verificare l’esattezza dei dati personali, se i dati sono trattati illecitamente e l’interessato si oppone alla loro cancellazione e, infine, nei casi i cui i dati, benché il titolare non abbia più bisogno, sono necessari all’interessato per far valere un diritto in sede giudiziaria; il diritto alla portabilità dei dati[7], ovvero il diritto di trasferire ad altro titolare i propri dati personali; il diritto di opposizione, ovvero il diritto di opporsi in qualsiasi momento, per motivi connessi alla sua situazione particolare, al trattamento dei dati personali che lo riguardano[8]. Tale diritto è riconosciuto anche quando i dati personali siano trattati per finalità di marketing diretto.

Accanto a tali diritti è previsto un importante strumento di tutela costituito dal reclamo. L’art. 77 del Regolamento riconosce all’interessato, che ritenga che il trattamento che lo riguarda violi il regolamento, il diritto di proporre reclamo a un’autorità di controllo, segnatamente nello Stato membro in cui risiede abitualmente, lavora oppure del luogo ove si è verificata la presunta violazione.

Il reclamo deve contenere un’indicazione per quanto possibile dettagliata dei fatti e delle circostanze su cui si fonda, delle disposizioni che si presumono violate e delle misure richieste, nonché gli estremi identificativi del titolare o del responsabile del trattamento, ove conosciuto (generalmente il Garante predispone un modello di reclamo).

Al reclamo segue un’attività istruttoria che potrebbe condurre il Garante ad adottare dei provvedimenti, anche prima della definizione del procedimento. Avverso tali provvedimenti, si riconosce al titolare del trattamento dei dati la possibilità di proporre ricorso nelle opportune sedi giurisdizionali.

Accanto a tare rimedio di natura amministrativa, infine, il Regolamento riconosce all’interessato la possibilità di proporre un ricorso giurisdizionale dinanzi alle autorità giurisdizionali dello Stato membro in cui il titolare del trattamento o il responsabile del trattamento ha uno stabilimento[9], qualora ritenga che siano stati violati i diritti di cui gode. Inoltre, qualora l’interessato ritenga di aver subito un danno materiale o immateriale da una violazione del Regolamento ha il diritto di ottenere il risarcimento del danno[10].

4. Conclusioni

Questo regolamento pone in risalto il nuovo approccio del legislatore europeo alla tutela dei dati personali, in perfetta sintonia con l’ormai diffusa concezione di vivere nella “società del rischio”.

Al fine di favorire la circolazione dei dati personali – necessaria nell’era digitale – sono stati maggiormente responsabilizzati i titolari e i responsabili del trattamento, i quali sono chiamati a decidere autonomamente, ma sempre nel rispetto del Regolamento, le modalità, le garanzie e i limiti del trattamento dei dati personali. Dovranno, in particolar modo, verificare e valutare i rischi di impatti negativi sulle libertà e i diritti degli interessati e adottare eventuali correttivi idonei a mitigare tali rischi.

Di conseguenza, è mutato anche il ruolo delle autorità di controllo che saranno chiamate ad operare con meno incisività in via preventiva, poiché la loro consultazione è soltanto facoltativa (fermo restando i poteri di indagine di cui comunque godono), e, dunque, opereranno prevalentemente ex post.

Nella sostanza, però, questo nuovo assetto ha responsabilizzato anche i singoli soggetti, i quali sono chiamati a tutelare i propri dati attraverso il ricorso a quegli strumenti precedentemente analizzati.

Non sappiamo se questo nuovo approccio basato sulla valutazione dei rischi e sulla continua ricerca di un punto di equilibrio tra diffusione e tutela dei dati personali sia idoneo a tutelare un diritto fondamentale dell’uomo, soprattutto alla luce delle recenti violazioni denunciate dai cittadini. Avvertiamo, tuttavia, l’esigenza di un maggiore controllo, in via preventiva, da parte delle autorità competenti in modo tale da fornire una più incisiva tutela al diritto alla protezione dei dati personali. In effetti, i rimedi che operano ex post sembrano idonei per lo più a ridurre la portata lesiva della violazione e a ripristinare una situazione di regolarità; ciò non toglie, però, che, nel mentre, la violazione si sia consumata, il diritto sia stato leso e i dati personali divulgati o trattati illecitamente.

Proprio questi motivi ci inducono a pensare che il Garante della privacy, quale autorità indipendente, debba giocare un ruolo fondamentale per la tutela di tale diritto. Oltre all’esercizio di tutti i propri poteri di indagine, correttivi e sanzionatori, si chiede un ulteriore sforzo affinché contribuisca, attivamente, alla sensibilizzazione di titolari del trattamento e di interessati rispetto ad una tematica tanto importante.

[1] Art. 4, n. 12, Regolamento 2016/679.

[2] Art. 8 Carta dei diritti fondamentali dell’Unione Europea: “Ogni persona ha diritto alla protezione dei dati di carattere personale che la riguardano”.

[3] Art. 15, Regolamento 2016/679.

[4] Art. 16, Regolamento 2016/679.

[5] Art. 17, Regolamento 2016/679.

[6] Art. 18, Regolamento 2016/679.

[7] Art. 20, Regolamento 2016/679.

[8] Art. 21, Regolamento 2016/679.

[9] Art. 79, Regolamento 2016/679.

[10] Art. 82, Regolamento 2016/679.