Topics

Protezione Dati Personali

Linee Guida dell’European Data Protection Board sulla protezione dei dati by design e by default e l’istituzione di un Coordinated Enforcement Framework

Sono state adottate (e di prossima pubblicazione) dall’EDPB le linee guida sulla protezione dei dati by design e by default, le quali si concentrano sull’obbligo della protezione dei dati by design e by default per come previsto dall’art. 25 GDPR, obbligo che si sostanzia nell’effettiva attuazione dei principi di protezione dei dati e dei diritti e delle libertà delle persone interessate già nella fase di progettazione. Ciò significa che i titolari del trattamento devono prevedere misure tecniche e organizzative adeguate e le necessarie garanzie (la cui efficacia devono essere in grado di provare), volte ad attuare in pratica i principi di protezione dei dati ed a proteggere i diritti e le libertà degli interessati.

Le Linee Guida contengono indicazioni su come attuare efficacemente i principi cui all’articolo 5 GDPR, elencando gli elementi chiave di design e di default, nonché casi pratici quali esemplificazioni. Esse forniscono inoltre raccomandazioni su come i titolari, responsabili e produttori possono cooperare per adempiere all’obbligo ex art. 25 GDPR.

L’ EDPB ha deciso inoltre di istituire un Coordinated Enforcement Framework (CEF). Il CEF fornisce una struttura per il coordinamento delle attività annuali delle autorità di vigilanza dell’ EDPB. L’obiettivo del CEF è quello di facilitare, attraverso modalità flessibili e coordinate, le azioni congiunte, che vanno dallo sviluppo di una consapevolezza condivisa alla raccolta di informazioni per controlli a tappeto ed indagini. Lo scopo delle azioni annuali coordinate è quello di promuovere il rispetto delle norme, di mettere gli interessati in grado di esercitare i loro diritti e di aumentare la consapevolezza comune.

Guidelines on data protection by design and by default has been adopted (and will soon be published) by the EDPB, focusing on the obligation of data protection by design and by default as set forth in Article 25 GDPR, an obligation that takes the form of the effective implementation of data protection principles and the rights and freedoms of data subjects already at the design stage. This means that data controllers must provide appropriate technical and organizational measures and the necessary safeguards (the effectiveness of which they must be able to prove), aimed at implementing data protection principles in practice and protecting the rights and freedoms of data subjects.

Linee guida dell’European Data Protection Board sull’interpretazione di alcuni aspetti della disciplina europea in materia di protezione dei dati personali

Sono state adottate e aggiornate le linee guida dell’European Data Protection Board sull’interpretazione di alcuni aspetti della normativa europea in materia di protezione dei dati personali. Il 7 luglio 2020 sono state aggiornate le linee guida sulla disciplina relativa al diritto alla cancellazione di cui all’art. 17 del Regolamento europeo per la protezione dei dati personali 679/2016 (GDPR), con riguardo alle sole richieste avanzate verso i motori di ricerca online. In particolare, le linee guida si occupano di fornire indicazioni su: (i) i motivi (cumulabili tra loro) per cui l’interessato può avanzare una richiesta di cancellazione dei propri dati personali ad un motore di ricerca, elencati all’art. 17 § 1 GDPR; (ii) le eccezioni che il motore di ricerca può opporre all’interessato che formula richiesta di cancellazione, elencate all’art. 17 § 3 GDPR.

Il 2 settembre 2020 sono state invece adottate le linee guida che specificano i concetti, per come definiti all’art. 4 del GDPR, di: (i) titolare (controller) del trattamento, normalmente un’organizzazione, ma può trattarsi anche di una persona fisica, che decide determinati elementi chiave, come le finalità e i mezzi, del trattamento dei dati, riconosciuto come tale dalla legge o sulla base di un’analisi degli elementi di fatto o delle circostanze del caso; (ii) contitolari (joint controller) del trattamento, figura disciplinata all’art. 26 del GDPR e che riguarda il caso in cui più entità collaborino nella determinazione dei fini e dei mezzi del trattamento, il quale non sarebbe possibile senza la partecipazione di entrambe le parti; (iii) responsabile (processor) del trattamento, soggetto che tratta i dati personali per conto e secondo le indicazioni del titolare del trattamento; (iv) la relazione che sussiste tra i suddetti soggetti. Si tratta di concetti che delineano i ruoli cruciali su cui si articola la disciplina europea in materia di protezione dei dati personali.

The guidelines of the European Data Protection Board on the interpretation of certain aspects of European data protection legislation have been adopted and updated. On 7 July 2020, the guidelines on the rules on the right to cancellation under Article 17 of the European Data Protection Regulation 679/2016 (GDPR) were updated. On 2 September 2020, the EDPB adopted guidelines which specify the concepts, as defined in Art. 4 of the GDPR, of: (i) controller; (ii) joint controller; (iii) processor; (iv) the relationship that exists between the above mentioned subjects.

Corte di giustizia dell’Unione Europea, sentenza del 16 luglio 2020, Facebook Ireland e Schrems, C-311/18

Questa pronuncia trae origine dalla denuncia formulata dal sig. Schrems, cittadino austriaco iscritto alla piattaforma social Facebook, con la quale chiedeva all’autorità nazionale irlandese di vietare a Facebook Ireland di trasferire i suoi dati personali verso gli Stati Uniti (alla Facebook Inc.), sostenendo che il diritto e le prassi vigenti in tale paese non offrivano una protezione sufficiente dei dati personali conservati nel territorio del medesimo paese rispetto alle attività di sorveglianza ivi praticate dalle autorità pubbliche. Una volta adita l’High Court irlandese, questa ha sottoposto alla Corte di giustizia dell’Unione Europea, mediante rinvio pregiudiziale, diverse questioni concernenti l’interpretazione di alcune norme del GDPR, nonché la validità di due decisioni della Commissione europea relative alle valutazioni d’adeguatezza del regime di protezione dati offerto da paesi terzi verso cui dati di cittadini europei vengano trasferiti.

Con la sentenza qui riportata (che fa seguito alla prima pronuncia sul caso Schrems, sentenza del 6 ottobre 2015, C-362/14), la Corte di giustizia dell’Unione Europea conferma la validità della decisione della Commissione 2010/87 del 5 febbraio 2010, relativa alle clausole contrattuali standard / tipo per il trasferimento di dati personali a incaricati del trattamento stabiliti in paesi terzi, mentre dichiara invalida la decisione 2016/1250 del 12 luglio 2016, sull’adeguatezza della protezione offerta dal regime dello scudo UE-USA per la privacy.

L’invalidità di tale ultima decisione viene fondata sulla considerazione che le limitazioni alla protezione dei dati personali che derivano dalla normativa interna degli Stati Uniti in materia di accesso e utilizzo, da parte delle autorità pubbliche statunitensi, comprese quelle d’intelligence, di tali dati trasferiti dall’Unione verso gli Stati Uniti (si tratta in particolare delle ingerenze risultanti dai programmi di sorveglianza fondati sulla Section 702 del Foreign Intelligence Surveillance Act del 1978 e sull’Executive Order presidenziale 12333 del 1981, come modificati nel 2008) non sono inquadrate in modo da corrispondere a requisiti sostanzialmente equivalenti a quelli richiesti, nel diritto dell’Unione, dall’articolo 52, paragrafo 1, seconda frase, della Carta di Nizza.

Inoltre, la Corte europea ritiene che le lacune constatate dalla stessa Commissione per quanto riguarda la tutela giurisdizionale delle persone i cui dati personali sono trasferiti verso gli Stati Uniti (da prendere in considerazione, ai sensi dell’articolo 45, § 2, lett. a) GDPR nel valutare l’adeguatezza del livello di protezione garantito da un paese terzo) non possono considerarsi colmate dall’istituzione statunitense del Mediatore dello scudo per la privacy. Tale organo infatti, non offre alle persone i cui dati sono trasferiti verso gli Stati Uniti garanzie sostanzialmente equivalenti a quelle richieste dall’articolo 47 della Carta, dal momento che: (i) la sua diretta dipendenza dal Segretario di Stato statunitense ne mette in dubbio l’indipendenza dal potere esecutivo; (ii) non sono previste indicazioni che tale Mediatore sia autorizzato ad adottare decisioni vincolanti nei confronti dei servizi di intelligence; (iii) non sono previste garanzie giuridiche da cui sarebbe contornato il suddetto intervento e delle quali potrebbero avvalersi gli interessati.

Per approfondire: si rimanda al Comunicato Stampa della Corte di giustizia dell’Unione europea n. 91/20 del 16 luglio 2020; nonché alle Domande più frequenti elaborate dall’European Data Protection Board.

With this ruling (which follows the first ruling on the Schrems case, judgment of 6 October 2015, C-362/14), the Court of Justice of the European Union confirms the validity of European Commission Decision 2010/87 of 5 February 2010 on standard/type contractual clauses for the transfer of personal data to data processors established in third countries, while it declares Decision 2016/1250 of 12 July 2016 on the adequacy of the protection offered by the EU-US privacy shield regime invalid.

The invalidity of the latter decision is based on the consideration that the limitations to the protection of personal data that derive from US domestic regulations on access and use by US public authorities, including intelligence authorities, such data transferred from the Union to the United States (in particular interference resulting from surveillance programmes based on Section 702 of the Foreign Intelligence Surveillance Act of 1978 and Presidential Executive Order 12333 of 1981, as amended in 2008) are not framed in such a way as to meet requirements substantially equivalent to those required under Union law by the second sentence of Article 52(1) of the Nice Charter.

Rapporto di valutazione della Commissione europea sul Regolamento europeo in materia di protezione dei dati personali (GDPR)

A due anni dalla sua entrata in vigore, è stato pubblicato in data 24.6.2020, a cura della Commissione europea, un rapporto di valutazione sul Regolamento UE 2016/679, c.d. GDPR, in particolare sull’applicazione e il funzionamento delle norme sul trasferimento dei dati personali verso paesi extra-UE ed organizzazioni internazionali, nonché sulle norme in materia di cooperazione.

La Commissione evidenzia che in generale il GDPR appare aver raggiunto con successo gli obiettivi di rafforzare la tutela del diritto individuale alla protezione dei dati personali e di garantire la libera circolazione dei dati all’interno dell’UE. In particolare, si è rivelato uno strumento sufficientemente flessibile anche nel supportare nuove soluzioni digitali per il contrasto alla pandemia da Covid-19.

La Commissione ritiene che le autorità di protezione dei dati abbiano fatto un uso equilibrato dei loro poteri correttivi ed evidenzia come le stesse abbiano sviluppato un buon livello di cooperazione attraverso il meccanismo dello sportello unico e un ampio ricorso all’assistenza reciproca, ma che ancora non utilizzino appieno gli strumenti forniti dal GDPR, quali le operazioni congiunte (e tra queste, anche operazioni di indagine). Inoltre, la Commissione sottolinea la necessità che le autorità di protezione dei dati siano dotate delle risorse umane, tecniche e finanziarie essenziali per svolgere efficacemente i loro compiti.

Per quanto riguarda l’armonizzazione delle legislazioni nazionali, rileva che, con la sola eccezione della Slovenia, tutti gli Stati membri hanno adottato nuove leggi o adattato la loro legislazione nazionale sulla protezione dei dati, anche se esiste ancora un certo grado di frammentazione, dovuto in particolare all’ampio uso, nel Regolamento, di clausole di specificazione facoltative.

Two years after its entry into force, an evaluation report on EU Regulation 2016/679, the so-called GDPR, was published on 24.6.2020 by the European Commission on the application and functioning of the rules on the transfer of personal data to non-EU countries and international organisations, as well as on the rules on cooperation.

The Commission points out that in general the GDPR appears to have successfully achieved the objectives of strengthening the protection of the individual right to the protection of personal data and ensuring the free movement of data within the EU. In particular, it has also proved to be a sufficiently flexible tool in supporting new digital solutions to combat the Covid-19 pandemic.

Provvedimento n. 54 del 26 febbraio 2020 del Garante per la protezione dei dati personali

Col provvedimento di cui sopra, il Garante della privacy ha ordinato al Comune di Como di interrompere la sperimentazione del moderno sistema di videosorveglianza con riconoscimento facciale appena installato in prossimità di un parco posizionato davanti alla stazione ferroviaria, per consentire alla sezione di Polizia Giudiziaria del comando di polizia locale di individuare persone sospette e comportamenti anomali, evidenziando che in assenza di un’espressa previsione normativa che consenta specificamente una raccolta di dati biometrici e la loro conservazione ai sensi dell’art. 7 D.lgs. n. 51/2018, ad oggi mancante, tale attività non può essere consentita.

With the above measure, the Privacy Guarantor ordered the Municipality of Como to interrupt the experimentation of the modern video surveillance system with facial recognition just installed near a park in front of the railway station, in order to allow the Judicial Police to identify suspicious persons and abnormal behavior, pointing out that in the absence of an express regulatory provision allowing specifically a collection of biometric data and their storage pursuant to Article 7 of Legislative Decree no. 51/2018, which is currently missing, such activity cannot be allowed.

Protezione dei dati personali e processo penale. Lettera del presidente dell’Autorità Garante per la protezione dei dati personali Antonello Soro al Ministro della Giustizia Alfonso Bonafede in merito alla celebrazione da remoto delle udienze penali.

L’ipotesi di un processo penale “da remoto” (per come previsto dal comma 12 dell’art. 83 D.l. n. 18/2020, oltre che dai commi 12 bis, ter, quater e quinquies che il disegno di legge di conversione approvato dal Senato e dalla Camera inserisce nello stesso articolo), oltre che sollevare forti dubbi sulla propria legittimità, per la paventata compromissione di principi costituzionali che regolano il processo penale, pone anche diverse questioni in materia di protezione dei dati personali trattati dalle autorità competenti a fini di prevenzione, indagine, accertamento e perseguimento di reati o esecuzione di sanzioni penali, tema che trova la sua specifica regolamentazione nel D.lgs. n. 51/2018.

Tra le diverse problematiche sollevate dall’Autorità del Garante, rispondendo alla lettera dell’Unione delle Camere Penali italiane, una prima questione riguarda le piattaforme che si potrebbero utilizzare (secondo il provvedimento emanato dalla Direzione Generale per i Sistemi Informativi Automatizzati), come Teams o Skype for Business, le quali fanno capo a Microsoft Corporation, società avente sede negli Stati Uniti e pertanto soggetta al c.d. Cloud Act (Clarifying Lawful Overseas Use of Data Act), che consente la discoverydei dati contenuti nei server del fornitore di servizi, anche se localizzati al di fuori del territorio statunitense, su semplice richiesta dell’autorità governativa.

Una seconda questione riguarda invece le garanzie poste a presidio della cyber security di questi sistemi.Infatti, si pone il dubbio se un collegamento da remoto per lo svolgimento delle udienze, degli atti di indagine e delle camere di consiglio che si serve della rete internet pubblica (rendendo quindi i dati delle connessioni facilmente intercettabili), e non della R.U.G. (Rete Unica Giustizia), sia strumento adeguato per garantire la sicurezza informatica di tali strumenti.

The hypothesis of a “telematic” criminal trial (as provided for by paragraph 12 of Article 83 of Legislative Decree No. 18/2020), as well as raising strong doubts about its legitimacy, due to the feared compromise of constitutional principles that regulate the criminal trial, also raises several questions regarding the protection of personal data processed by the competent authorities for the purposes of prevention, investigation, detection and prosecution of crimes or execution of criminal penalties, a subject that finds its specific regulation in Legislative Decree no. 51/2018.

Protezione dei dati personali e contact tracing. Comunicazione della Commissione europea “Orientamenti sulle app a sostegno della lotta alla pandemia di covid-19 relativamente alla protezione dei dati”, 2020/C 124 I/01”.

Durante la fase di progressivo allentamento delle misure di contenimento, applicazioni con funzionalità finalizzate a sostenere la lotta contro il virus possono rivelarsi strumenti particolarmente importanti, purchè il loro sviluppo ed utilizzo si fondi sulla garanzia del rispetto dei diritti fondamentali dei cittadini. Con questo documento la Commissione fornisce degli orientamenti sulle caratteristiche e sui requisiti che le app devono garantire per rispettare la legislazione dell’UE in materia di protezione dei dati personali e della vita privata.

Le app a cui si riferisce la comunicazione sono quelle che prevedono funzionalità di informazione sulla pandemia; di controllo dei sintomi mediante telemedicina e di tracciamento dei contatti nonchè allerta nel caso in cui si sia entrati a contatto con un soggetto positivo. La Commissione afferma che per limitare l’intrusività di tali applicazioni occorrerà tenere saldi i seguenti punti:

  • identificare le autorità sanitarie nazionali quali titolari del trattamento;
  • garantire il controllo dell’interessato sui propri dati, attraverso ad esempio la volontarietà dell’installazione dell’app e la conservazione dei dati sul dispositivo della persona;
  • garantire una base giuridica per il trattamento, attraverso specifche normative nazionali, rispettose delle condizioni previste dalla regolamentazione europea in materia (si richiamano in particolare gli artt. 6, 9 e 22 del GDPR);
  • rispettare il principio della minimizzazione dei dati, secondo cui solo i dati personali adeguati, pertinenti e limitati a quanto necessario rispetto alle finalità possono essere trattati;
  • limitare la divulgazione e l’accesso ai dati, a seconda della diversa funzionalità dell’app;
  • stabilire le finalità precise del trattamento per ogni diversa funzionalità prevista dall’applicazione;
  • definire limiti rigorosi per la conservazione dei dati: il limite temporale dovrebbe basarsi sulla pertinenza medica a seconda della finalità dell’app e sui tempi necessari per l’adozione di eventuali misure amministrative;
  • garantire la sicurezza dei dati, conservandoli in forma criptata e utilizzando tecniche crittografiche all’avanguardia;
  • garantire l’esattezza dei dati e il coinvolgimento delle autorità garanti della privacy.

During the phase of progressive loosening of containment measures, apps with functionalities aimed at supporting the fight against the virus may prove to be a particularly important tool, provided that their development and use is based on the guarantee of respect for the fundamental rights of citizens. With this document, the Commission provides guidance on the features and requirements that apps must meet in order to comply with EU legislation on the protection of personal data and privacy.

Corte di Giustizia dell’Unione europea, Grande Sezione, 24 settembre 2019, C- 507/17

Il gestore di un motore di ricerca, quando accoglie, ai sensi dell’art. 12, lett. b), e dell’art. 14, 1° co. lett. a), della direttiva 95/46, nonché dell’art. 17 § 1 del regolamento 2016/679 (GDPR), una domanda di deindicizzazione, è tenuto ad effettuare tale deindicizzazione non in tutte le versioni del suo motore di ricerca, ma nelle versioni di tale motore corrispondenti a tutti gli Stati membri, e ciò, se necessario, in combinazione con misure che, tenendo nel contempo conto delle prescrizioni di legge, permettono effettivamente di impedire agli utenti di Internet, che effettuano una ricerca sulla base del nome dell’interessato a partire da uno degli Stati membri, di avere accesso, attraverso l’elenco dei risultati visualizzato in seguito a tale ricerca, ai linkoggetto di tale domanda, o quantomeno di scoraggiare seriamente tali utenti.

La domanda alla deindicizzazione nasce dal c.d. diritto all’oblio del titolare, per come delineato e definito dalla stessa Corte di Giustizia dell’Unione Europea nella sentenza del 13 maggio 2014, (Google Spain e Google, C-131/12). Tuttavia, non essendo il diritto alla protezione dei dati personali una prerogativa assoluta, esso va contemperato con altri diritti fondamentali, in ossequio al principio di proporzionalità (Corte di Giustizia, sentenza del 9 novembre 2010, Volker und Markus Schecke e Eifert, C-92/09 e C-93/09). Con la pronuncia qui riportata la Corte europea, operando un bilanciamento tra i vari interessi (del titolare del diritto da una parte, e del motore di ricerca, dall’altra), va quindi a precisare e limitare il contenuto di questo stesso diritto.

On a proper construction of Article 12(b) and subparagraph (a) of the first paragraph of Article 14 of Directive 95/46 and Article 17(1) of Regulation 2016/679, where a search engine operator grants a request for de-referencing pursuant to those provisions, that operator is not required to carry out that de-referencing on all versions of its search engine, but on the versions of that search engine corresponding to all the Member States, using, where necessary, measures which, while meeting the legal requirements, effectively prevent or, at the very least, seriously discourage an internet user conducting a search from one of the Member States on the basis of a data subject’s name from gaining access, via the list of results displayed following that search, to the links which are the subject of that request.

Corte di Cassazione, sez. III Penale, sentenza 14 novembre 2019 (ud. 24 ottobre 2019), n. 46376/2019 Pres. Lapalorcia Grazia – Rel. Gai Emanuela

Integra la fattispecie di trattamento illecito di dati personali di cui al d.lgs. n. 196 del 2003, art. 167, comma 1, anche nella sua nuova formulazione a seguito delle modifiche apportate dal d.lgs. 10 agosto 2018, n. 101, la diffusione del numero di telefono cellulare di un’altra persona, senza il suo consenso, mediante il suo inserimento in chat a contenuto erotico. Infatti, tale condotta, se compiuta al fine di trarre per sé o per altri profitto ovvero di arrecare danno all’interessato, e arreca nocumento all’interessato, costituisce ancora oggi reato, in quanto avvenuta in violazione del d.lgs. n. 196 del 2003, art. 123, comma 5, come adeguato al Regolamento, che consente il trattamento del dato del traffico telefonico limitatamente ai soli soggetti autorizzati e per i limitati fini ivi indicati. Questo perché la definizione di trattamento dei dati personali relativi al traffico, contenuta nell’art. 121, comma 1 bis, lett. h), ricomprende anche il numero dell’utenza cellulare di un soggetto. Tuttavia, deve trovare applicazione, ai sensi dell’art. 2 c.p., comma 4, il trattamento sanzionatorio più favorevole del novellato art. 167 cit., essendo prevista la reclusione da sei mesi ad 1 anno e 6 mesi in luogo della previgente reclusione da 6 a 24 mesi.

The conduct of dissemination of a mobile phone number of another person, without his consent, through his inclusion in a chat with erotic content constitutes the criminal offense of unlawful processing of personal data punished by art. 167 Legislative Decree 196/2003, also in its new formulation following the changes made by Legislative Decree 101/2018. In fact, this conduct, if carried out in order to gain or to cause damage to the person concerned, and causes damage to this person, still constitutes a crime, as it occurred in violation of art. 123, co. 5 Legislative Decree 196/2003, as adapted to the GDPR, which allows the processing of telephone traffic data only for authorized subjects and for the limited purposes therein indicated. That because the definition of processing of personal data relating to traffic, contained in art. 121, co. 1 bis, lett. h), also includes the number of the mobile phone of a person. However, pursuant to co. 4 art. 2 Criminal Code, it must be applied the most advantageous punishment treatment of new art. 167 cit., because it provides a term of imprisonment from 6 months to 1 year and 6 months instead of the previous one from 6 to 24 months.

Corte di Cassazione, sez. III Penale,  sentenza 17 ottobre 2019 (ud. il 28 maggio 2019), n. 42565/2019 – Pres. Fausto Izzo – Rel. De Marzo Giuseppe

Il reato di illecito trattamento dei dati personali di cui all’art. 167 del d.lgs. 30 giugno 2003, n. 196, realizzato attraverso la condotta di diffusione dei dati medesimi, ha natura di reato permanente, perché si caratterizza per la continuità dell’offesa derivante dalla persistente condotta volontaria dell’agente, il quale ha la possibilità di far cessare in ogni momento la propagazione lesiva rimuovendo i dati personali resi ostensibili. Da ciò deriva che l’illecito, perfezionatosi nel momento di instaurazione della condotta offensiva, si consuma, agli effetti del decorso del termine di prescrizione, dal giorno in cui è cessata la permanenza.

The crime of unlawful processing of personal data punished by art. 167 Legislative Decree 196/2003, achieved by conduct of dissemination of the same data, is a permanent crime, because it is characterized by the continuity of the offense resulting from the agent’s persistent voluntary conduct, which has in any time the possibility to interrupt the detrimental activity by removing personal data rendered visible. It follows that the offense, perfected at the time of the establishment of the offensive conduct, is consummated, as regards the expiration of the prescription period, from the day on which the permanence ended.

Corte di Cassazione, sez. Feriale Penale, sentenza 1 ottobre 2019 (ud. 13 agosto 2019), n. 40140/2019 Pres. Gerardo Sabeone – Rel. Vittorio Pazienza

A seguito delle modifiche legislative apportate dal d.lgs 101/2018 all’art. 167 del d.lgs. 196/2003 (c.d. Codice Privacy), la condotta di colui che indebitamente si serva di un contratto stipulato tra la società di cui è dipendente ed un soggetto terzo per utilizzare abusivamente i codici di sicurezza della carta di credito di quest’ultimo non è più  sanzionata penalmente dall’art. 167 Codice Privacy, perché la norma così modificata punisce, ai sensi del primo comma, solo le violazioni delle disposizioni sul trattamento dei dati relativi al traffico, concernenti contraenti ed utenti trattati dal fornitore di una pubblica rete di comunicazioni, nonché quelle riguardanti il trattamento dei dati relativi all’ubicazione dei medesimi soggetti, le violazioni relative alle cd. comunicazioni indesiderate e quelle provenienti dal Garante in materia di inserimento e utilizzo di dati personali all’interno di elenchi cartacei o elettronici a disposizione del pubblico, non più quelle sul trattamento dei dati personali senza consenso e per finalità diverse da quelle previste.

Following the legislative changes introduced by Legislative Decree 101/2018 to art. 167 of Legislative Decree 196/2003 (Privacy Code), the conduct of a person who unduly uses a contract between the company where he is employed and a third person to misuse the credit card security codes of the latter is no longer punished by art. 167 of the Privacy Code, because the rule thus modified only punishes, under the first paragraph, the violation of the provisions on the processing of traffic data, concerning contractors and users treated by the provider of a public communications network, as well as those concerning the treatment of data relating to the location of the same people, the violations relating to the so-called unsolicited communications and those from the Guarantor regarding the insertion and use of personal data within paper or electronic directories available to the public, no longer the violation of processing of personal data without consent and for other purposes  than those envisaged.

 

Corte di Cassazione, sez. III penale, 23 agosto 2019 (ud. 19 aprile 2019), n. 36380/2019 – Pres. Gastone Andreazza,  Rel. Luca Semeraro

I principi enunciati dalla Corte di Giustizia europea nelle sentenze dell’8 aprile 2014 (Digital Rights Ireland Ldt) e del 21 dicembre 2016 (Tele2 Sverige AB) non riguardano lo Stato italiano, essendosi lo stesso dotato di una specifica regolamentazione dell’accesso e della conservazione dei dati. L’art. 132 d.lgs n. 196/2003 prescrive infatti che i dati di traffico telefonico e telematico siano conservati dai fornitori dei relativi servizi, per finalità di accertamento e di repressione dei reati, entro scadenze predeterminate e diversificate; il pubblico ministero può acquisirli presso il fornitore con decreto motivato, d’ufficio o su istanza.

The principles enunciated by the European Court of Justice in the judgments of April 8, 2014 (Digital Rights Ireland Ldt) and of December 21, 2016 (Tele2 Sverige AB) do not concern the Italian State, since it has provided a specific regulation of access and conservation of data. Article 132 d.lgs. n. 196/2003 requires indeed that traffic and telematic data have to be kept by the providers of the relative services, for purposes of inspection and repression of crimes, within predetermined and diversified deadlines; the public prosecutor can acquire them from the supplier with a justified decree, either ex officio or upon request.

I termini di conservazione previsti dall’art. 132 codice privacy (non modificati dal D.lgs. n. 101/2018) sono di: ventiquattro mesi per i dati relativi al traffico telefonico; dodici mesi per i dati relativi al traffico telematico; 30 giorni per i dati relativi alle chiamate senza risposta.

SI segnala tuttavia che il D.lgs. n. 101/2018 ha introdotto il comma 5 bis, secondo il quale è fatta salva la disciplina di cui all’articolo 24 della legge 20 novembre 2017, n. 167, in materia di lotta al terrorismo, la quale (in combinato disposto con l’art. 24 L. n. 167/2017) prevede che il termine di conservazione dei dati di traffico telefonico e telematico nonchè dei dati relativi alle chiamate senza risposta, per le finalità dell’accertamento e della repressione dei reati di cui agli artt. 51 c. 3 quater e 407 c. 2 lett. a) c.p.p., sia di settantadue mesi.

Corte di Cassazione, sez. III penale, 29 maggio 2019 (ud. 29 marzo 2019), n. 23808/2019 – Pres. Fausto Izzo, Rel. Luca Ramacci

Il necessario requisito del “nocumento” richiesto per la configurazione del reato di cui all’art. 167 Codice Privacy, sia pre che post riforma ad opera del D.Lgs. 101/2018, in assenza di elementi dimostranti l’effettiva lesione dell’interesse tutelato, non può ritenersi sussistente nel caso di produzione in un giudizio civile di documenti contenenti dati personali (nella specie dati sulla condizione sanitaria della persona interessata), sebbene effettuata al di fuori dei limiti consentiti per il corretto esercizio del diritto di difesa. Trattasi, in ogni caso, di “comunicazione” nell’ambito della ristretta cerchia di soggetti che ne sono venuti a conoscenza per ragioni professionali (sui quali incombe l’obbligo di riservatezza) e non di “diffusione”.

The necessary requirement of the “damage” provided for in art. 167 of the Privacy Code, both pre and post-reform by the Legislative Decree 101/2018, in the absence of objectively elements indicative of an effective lesion of the protected interest, cannot be considered as subsistent in case of production in a civil trial of documents containing personal data (in particular data on the health status of the person concerned), even if the limits for the correct exercise of the right of defence are not respected. It is, in any case, a “communication” within the restricted circle of subjects who have come to know it for a professional reason (on which the obligation of confidentiality lies) – and not a “dissemination”.

Corte di Cassazione, sez. II penale, 9 maggio 2019 (ud. 3 aprile 2019), n. 19855/2019 – Pres. Antonio Prestipino, Rel. Maria Deniala Borsellino

Una condotta di indebita comunicazione dei dati della persona offesa a fini meramente personali, che non integri un’ipotesi di diffusione, non costituisce “trattamento” e pertanto non è punibile in forza dell’art. 167 Codice privacy, vecchia formulazione, perché solo a seguito delle modifiche introdotte dal D.Lgs. 101/2018, il novero delle condotte punibili ai sensi di tale articolo è stato ampliato, essendo stato eliminato il riferimento al concetto di “trattamento”; ma in quanto fattispecie meno favorevole, l’applicazione del nuovo articolo 167 soggiace al vincolo dell’irretroattività ex art. 2 c.p.

Conduct of undue communication of the offended person’s data for purely personal purposes, which does not integrate a hypothesis of diffusion, does not constitute “treatment” and therefore is not punishable under the art. 167 Privacy Code, old formulation, because only following the changes introduced by Legislative Decree 101/2018, the list of conduct punishable under art. 167 of the Privacy Code has been extended, since the reference to the concept of “treatment” has been eliminated; but as a less favourable case, the application of the new article 167 is subject to the restriction of non-retroactivity pursuant to art. 2 of the penal code.

Corte di Cassazione, sez. III penale, 8 gennaio 2019 (ud. 10 luglio 2018), n. 372/2019 – Pres. Grazia Lapalorcia, Rel. Giovanni Liberati

ll delitto di cui all’art. 615-bis c.p. non è configurabile, in forza dell’interpretazione sistematica del significato dell’avverbio “indebitamente”, qualora le riprese riguardino scene che, pur svoltesi in luoghi di privata dimora, siano liberamente osservabili senza ricorrere a particolari accorgimenti, posto che la tutela è limitata a ciò che si compie nei luoghi di privata dimora, in condizioni tali da renderlo tendenzialmente non visibile a terzi. Devono essere ricompresi nel concetto di “luoghi di privata dimora” tutti quelli ove si esplicano atti della vita privata, come ad esempio i locali utilizzati al cambio degli indumenti per lo svolgimento dell’attività lavorativa.

The crime provided by art. 615-bis of the penal code is not configurable, due to the systematic interpretation of the meaning of the word “unduly”, if the shootings concern scenes that, even if they took place in private homes, are freely observable without resorting to particular devices, given that the protection is limited to what is done in the places of private dwelling, in conditions that make it tend not visible to third parties. All the places where acts of private life are carried out must be included in the concept of “private dwelling places”, such as the rooms used for changing clothes for the performance of work.

L’articolo 15, paragrafo 1, della direttiva 2002/58/CE del Parlamento europeo e del Consiglio, del 12 luglio 2002, relativa al trattamento dei dati personali e alla tutela della vita privata nel settore delle comunicazioni elettroniche (direttiva relativa alla vita privata e alle comunicazioni elettroniche), come modificata dalla direttiva 2009/136/CE del Parlamento europeo e del Consiglio, del 25 novembre 2009, letto alla luce degli articoli 7 e 8 della Carta dei diritti fondamentali dell’Unione europea, deve essere interpretato nel senso che l’accesso delle autorità pubbliche ai dati che mirano all’identificazione dei titolari di carte SIM attivate con un telefono cellulare rubato, come il cognome, il nome e, se del caso, l’indirizzo di tali titolari, comporta un’ingerenza nei diritti fondamentali di questi ultimi, sanciti dai suddetti articoli della Carta dei diritti fondamentali, che non presenta una gravità tale da dover limitare il suddetto accesso, in materia di prevenzione, ricerca, accertamento e perseguimento dei reati, alla lotta contro la criminalità grav

Article 15(1) of Directive 2002/58/EC of the European Parliament and of the Council of 12 July 2002 concerning the processing of personal data and the protection of privacy in the electronic communications sector (Directive on privacy and electronic communications), as amended by Directive 2009/136/EC of the European Parliament and of the Council of 25 November 2009, read in the light of Articles 7 and 8 of the Charter of Fundamental Rights of the European Union, must be interpreted as meaning that the access of public authorities to data for the purpose of identifying the owners of SIM cards activated with a stolen mobile telephone, such as the surnames, forenames and, if need be, addresses of the owners, entails interference with their fundamental rights, enshrined in those articles of the Charter of Fundamental Rights, which is not sufficiently serious to entail that access being limited, in the area of prevention, investigation, detection and prosecution of criminal offences, to the objective of fighting serious crime.

Tribunale civile di Milano, sez. I, 05 settembre 2018 (ud. 04 settembre 2018), Giudice Martina Flamini

Il diritto all’oblio, avente ad oggetto il ridimensionamento della propria visibilità telematica, va considerato non quale autonomo diritto della personalità, ma quale aspetto “funzionale” del diritto all’identità personale. Esso consiste nel diritto alla dis-associazione del proprio nome da un dato risultato di ricerca.

The right to “oblivion”, having as its object the resizing of a person’s telematic visibility, has to be considered not as an autonomous personality right, but as a “functional” aspect of the right to personal identity. It consists in the right to dis-associate one’s name with a given research result.

Corte di Cassazione, sez. III penale, sentenza 24 agosto 2018 (ud. 10 aprile 2018), n. 38882. Pres. Giulio Sarno – Rel.  Elisabetta Rosi

Il consenso del lavoratore all’installazione di un’apparecchiatura di videosorveglianza, in qualsiasi forma prestato, non vale a scriminare la condotta del datore di lavoro che abbia installato i predetti impianti in violazione delle prescrizioni dettate negli artt. 4, 38 dello Statuto dei lavoratori e 114, 171 del D.Lgs. n. 196 del 2003.

The employee’s consent to the installation of video surveillance equipment, in whatever form provided, is not sufficient to justify the conduct of the employer who has installed the aforementioned equipment in violation of the requirement laid down in articles 4, 38 of the Workers’ Statute and 114, 171 of Legislative Decree n. 196 of 2003.

Corte di Cassazione, sez. I civile, sentenza 29 agosto 2018 (ud. 29 maggio 2018), n. 21362. Pres. Giacinto Bisogni – Rel.  Guido Mercolino

Il termine di conservazione dei dati di cui all’art. 10, comma 3, lett. f) del DPR 15/2018, in virtù del quale i dati della persona sottoposta a indagini penali restano nella banca dati della polizia, anche in caso di accertamento dell’estraneità ai fatti, per venti anni dalla archiviazione, trova applicazione anche nelle fattispecie in cui l’acquisizione dei dati e la richiesta di cancellazione siano precedenti all’entrata in vigore del predetto decreto. Trascorsa la metà del tempo – dieci anni – l’unica tutela riconosciuta all’interessato consiste nell’accessibilità dei dati da parte dei soli operatori abilitati.

The term of data retention provided for in article 10, paragraph 3, lett. f) of Presidential Decree 15/2018, according to which the data of a person who is subject to criminal investigations, remain in the police databasefor twenty years from the close of the case, even in the case of ascertainment of his non-involvement in the crime, has to be applied also if the acquisition of data and the request for cancellation are prior to the entry into force of the aforementioned decree. After half of the time – ten years – the only protection granted to the interested party is the accessibility of the data by the authorized operators.

Corte di Cassazione, sez. V penale, sentenza 13 giugno 2018 (ud. 2 maggio 20189), n. 27160. Pres. Gerardo Sabeone – Rel. Enrico Vittorio Stanislao Scarlini 

Non integra il reato di interferenze illecite nella vita privata la condotta di colui che, in casa propria, effettui una videoregistrazione di rapporti intimi all’insaputa del partner, poiché per l’applicazione dell’art. 615 bis c.p., l’autore dell’indebita registrazione deve essere un terzo estraneo alla vita privata, e non un soggetto che sia ammesso a farne parte. La fattispecie, infatti, ricollega il disvalore penale della registrazione alla violazione dell’intimità del domicilio e non alla mera assenza del consenso da parte di chi viene ripreso.

The person filming, in his own house, a sexual encounter without the partner’s consent, cannot be punished for the crime of illegal interference in private life, since the art. 615 bis c.p., the author of the illegal registration must be a third party and not a subject who is admitted to be part of the private life. As a matter of fact, this norm reconnects the criminal value of the registration to the violation of the privacy of the house and not to the mere absence of consent by those who are filmed.

Corte di Cassazione, sez. II penale, 30 gennaio 2018 (ud. 27 novembre 2017), n. 4367/2018 – Pres. Giovanni Diotallevi, Est. Adriano Iasilo

La Corte conferma il proprio orientamento secondo il quale il diritto alla riservatezza, così come protetto dallo Statuto dei Lavoratori, non esclude l’utilizzabilità, nel processo penale a carico del lavoratore subordinato, dei risultati delle videoriprese effettuate con telecamere installate all’interno dei luoghi di lavoro ad opera del datore di lavoro per esercitare un controllo difensivo del patrimonio aziendale.

The Court confirms its orientation according to which the right to privacy as protected by Workers’ Statute does not exclude that the results of the video-shooting made with cameras installed inside the workplace by the employer exercising a defensive control of company assets, are admissible as evidences in the criminal proceedings against the employee.

Corte Europea dei Diritti dell’Uomo, Grande Camera, 5 settembre 2017, app. n. 61496/08, Bărbulescu v. Romania

La Corte ha chiarito che il monitoraggio della posta aziendale dei dipendenti, ad essi non preventivamente comunicato, costituisce una violazione del diritto alla vita privata. La Corte ha inoltre stabilito alcune importanti linee guida per le autorità nazionali incaricate di bilanciare il diritto del lavoratore al rispetto della privacy con l’interesse del datore di lavoro al controllo delle attività dei dipendenti.

The Court stated that the monitoring of an employee’s electronic communications, without pervious notice by the employer, is a violation of the right to privacy. The Court set also some important guidelines for national authorities in charge to balance the employee’s right to privacy with the employer’s interest to monitor the employees’ activities.

Corte di Giustizia dell’Unione europea, 9 marzo 2017, C-398/15, Camera di Commercio, Industria, Artigianato e Agricoltura di Lecce v. Salvatore Manni

La Corte rileva che la pubblicità del registro delle imprese è volta a garantire la certezza del diritto nelle relazioni tra le società ed i terzi nonché a tutelare, in particolare, gli interessi dei terzi rispetto alle società per azioni e alle società a responsabilità limitata. La Corte afferma pertanto che, pur non esistendo per tali ragioni, il diritto all’oblio per i dati personali contenuti nel registro delle imprese, decorso un periodo sufficientemente lungo dopo lo scioglimento della società interessata, gli Stati membri possono prevedere in casi eccezionali che l’accesso dei terzi a tali dati sia limitato.

The public nature of company registers is intended to ensure legal certainty in dealings between companies and third parties and to protect, in particular, the interests of third parties in relation to joint stock companies and limited liability companies. The Court points out that even if, for this reason, there is no right to be forgotten in respect of personal data in the companies register, after a sufficiently long period after dissolution of the company concerned, Member States may provide for restricted access to such data by third parties in exceptional cases.

Corte di Giustizia dell’Unione europea, 6 ottobre 2015, C-362/14, Maximillian Schrems v. Data Protection Commissioner

Il caso di specie trae origine dalla denuncia presentata dall’attivista austriaco Maximilian Schrems alla autorità irlandese concernente l’inadeguatezza della tutela apprestata dal diritto americano contro la sorveglianza di massa operata tramite trasferimento dei dati. Quale utente del famoso social-network Facebook dal 2008, Schrems, alla luce delle rivelazioni fatte nel 2013 dal sig. Edward Snowden in merito alle attività dei servizi di intelligence negli Stati Uniti (in particolare della National Security Agency), esprimeva dubbi sulla validità della decisione 2000/520/CE con la quale la Commissione Europea ha ritenuto che, nel contesto del cosiddetto regime di “approdo sicuro” (Safe Harbor), gli Stati Uniti garantiscano un livello adeguato di protezione dei dati personali trasferiti. L’autorità irlandese respingeva la denuncia, e, in seguito la High Court of Ireland (Alta Corte di giustizia irlandese), investita della causa, si rivolgeva alla Corte di Giustizia al fine di sapere se la decisione della Commissione impedisca ad un’autorità nazionale di controllo di indagare su una denuncia con cui si lamenta che un Paese terzo non assicura un livello di protezione adeguato e, se necessario, di sospendere il trasferimento di dati contestato.

La Corte, con la sentenza in esame, ha sancito l’inammissibilità della compromissione dei diritti fondamentali delle persone, ed in modo particolare, della protezione dei dati, attraverso forme di sorveglianza generalizzate realizzate da parte di autorità di Paesi terzi. L’esistenza di una decisione della Commissione che dichiara che un Paese terzo garantisce un livello di protezione adeguato dei dati personali trasferiti non può pertanto sopprimere e neppure ridurre i poteri di cui dispongono le autorità nazionali di controllo in forza della Carta dei diritti fondamentali dell’Unione europea e della direttiva 95/46/CE.

Corte di Giustizia dell’Unione europea, 13 maggio 2014, C-131/12, Google Spain SL,Google Inc. v. Agencia Española de Protección de Datos (AEPD), Mario Costeja González

La vicenda ha inizio nel 1998: un quotidiano spagnolo pubblicava anche nella sua versione on-line la notizia relativa alla vendita tramite asta di alcuni immobili appartenenti al Sig. González, stabilita in seguito ad un procedimento esecutivo per debiti contratti con il sistema previdenziale. Undici anni dopo, nel 2009, il diretto interessato contattava l’editore della testata, chiedendo la cancellazione dell’articolo in quanto, nonostante il pignoramento effettuato nei suoi confronti fosse già stato interamente definito da svariati anni, cercando il proprio nome su Google tra i primi link indicizzati comparivano proprio quelli riguardanti tale vicenda. La richiesta veniva respinta pertanto il Sig. González si rivolgeva direttamente alla divisione spagnola del motore di ricerca, che chiamava in causa la sede californiana in quanto fornitrice del servizio. A metà 2010 il direttore dell’AEPD (Agencia Española de Protección de Datos) ordinava a Google Spain e Google Inc. la rimozione dei dati in questione dalle SERP (pagine dei risultati), ma il motore di ricerca chiedeva l’annullamento della sentenza impugnandola dinanzi al giudice.

Si è arrivati così alla decisione della Corte di Giustizia con la quale è stato riconosciuto a González il diritto alla cancellazione dei link considerati lesivi per la propria reputazione.

Corte di Giustizia dell’Unione europea, 29 gennaio 2008, C-275/06, Productores de Música de España (Promusicae) v. Telefónica de España SAU

Il rinvio pregiudiziale è scaturito dalla richiesta giudiziale dell’associazione di produttori ed editori di registrazioni musicali e audiovisive Promusicae di imporre alla Telefónica la rivelazione dell’identità e dell’indirizzo fisico di alcuni utenti che, attraverso connessioni peer to peer, condividevano fonogrammi i cui diritti patrimoniali di utilizzo spettano ai soci della Promusicae. La Corte ha affermato che la normativa europea in materia non impone agli Stati membri di istituire un obbligo di comunicare dati personali per garantire l’effettiva tutela del diritto d’autore nel contesto di un procedimento civile, e che, in sede di trasposizione delle direttive e di attuazione delle relative misure di recepimento, le autorità e i giudici nazionali devono optare per interpretazioni conformi anche ai principi generali del diritto comunitario, come, ad esempio, il principio di proporzionalità.

Corte di Giustizia dell’Unione europea, 24 novembre 2011, C-70/10, Scarlet Extended SA/Société belge des auteurs, compositeurs et éditeurs SCRL (SABAM)

Questa causa è scaturita da una controversia tra l’ISP Scarlet Extended SAe la SABAM, società di gestione belga incaricata di autorizzare l’utilizzo da parte di terzi di determinate opere musicali. Dopo aver scoperto che, avvalendosi dei servizi della Scarlet, gli utenti scaricavano da Internet, senza autorizzazione e senza pagarne i diritti, opere contenute nel suo catalogo, utilizzando reti di condivisione peer-to-peer, la Sabam presentava relativa istanza al il presidente del Tribunal de première instance de Bruxelles ottenendo un’ingiunzione che, a pena di ammenda, imponeva alla Scarlet, di far cessare tali violazioni del diritto d’autore, rendendo impossibile ai suoi clienti qualsiasi forma di condivisione dei file. In sede d’appello il provider asseriva la non conformità di detta ingiunzione al diritto dell’Unione imponendole, de facto, un obbligo generale di sorveglianza sulle comunicazioni che transitano sulla sua rete. La Cour d’appel richiedeva pertanto intervento della Corte di giustizia.

La Corte ha stabilito che il diritto dell’Unione, ed in modo particolare l’art. 15 n. 1) della direttiva e-Commerce, vieta un’ingiunzione di un giudice nazionale diretta ad imporre ad un provider di predisporre un sistema di filtraggio generalizzato per prevenire gli scaricamenti illegali di file. La sorveglianza in questione oltre ad essere contraria alle condizioni stabilite dall’art. 3, n. 1, della direttiva 2004/48, il quale richiede che le misure adottate per assicurare il rispetto dei diritti di proprietà intellettuale non siano inutilmente complesse o costose, violerebbe i diritti fondamentali degli utenti alla tutela dei dati personali e alla libertà di ricevere o di comunicare informazioni, tutelati dalla Carta dei diritti fondamentali dell’Unione europea agli artt. 8 e 11. Tale tipologia di ingiunzione, infatti, implicherebbe un’analisi sistematica di tutti i contenuti, nonché la raccolta e l’individuazione degli indirizzi IP degli utenti che effettuano l’invio dei contenuti illeciti sulla rete, i quali costituiscono sicuramente dati personali in quanto ne consentono la relativa identificazione.

×