Il data breach tra obblighi di notifica e principio di autoresponsabilità

Il data breach tra obblighi di notifica e principio di autoresponsabilità

di Alessandra Spangaro

Università “Alma Mater Studiorum” di Bologna

  

Sommario: 1. La direttiva europea 95/46 tra carenze originarie e disarmo- niche applicazioni – 2. Il concetto di data breach e gli obblighi di notifica nel Regolamento 679/2016 – 3.Segue: Altre previsioni che impongono la notifica delle violazioni – 4. Il titolare quale soggetto passivo dell’obbligo di notifica e i soggetti che lo coadiuvano – 5. Quali responsabilità per quali soggetti?

 

1.  La direttiva europea 95/46: carenze originarie e disarmoniche applicazioni

Come noto, la protezione dei dati personali ha trovato la sua fonte principale nella direttiva 95/46/CE2 (c.d “direttiva madre”) - promulgata anche al fine di evitare che la tutela della vita privata potesse ostacolare lo sviluppo del mercato interno - attuata, nel nostro ordinamento dapprima con la L.31 dicembre 1996, n. 675, rubricata Tutela delle persone e di altri soggetti rispetto al trattamento dei dati personali, successivamente sostituita dal

Tale direttiva è tuttavia stata recentemente abrogata dal Regolamento UE 2016/679 (GDPR), “relativo alla protezione delle persone fisiche con ri- guardo al trattamento dei dati personali, nonché alla libera circolazione di tali dati”, applicabile dal 25 maggio 2018, teso a superare una serie di incongruenze alle quali aveva condotto la disarmonica applicazione della direttiva ad opera degli Stati membri.

Proprio la forma giuridica della direttiva, che, in quanto tale, richiede una norma interna di attuazione, ha infatti aperto la strada ad alcune modifiche in sede di recepimento da parte degli Stati membri e ciò ha fatto sì che siano stati almeno in parte vanificati gli auspici di uniformità che avevano mosso il legislatore europeo. Con riguardo all’ordinamento italiano, per esempio, il Codice privacy contiene una definizione di “dato anonimo”  (art. 4, lett. n) assente nella direttiva, la quale ne riferiva solo il concetto embrionale, da individuarsi per relationem, in ragione del fatto che “per determinare se una persona è identificabile, è opportuno prendere in considerazione l'insieme dei mezzi che possono essere ragionevolmente utilizzati dal responsabile del trattamento o da altri per identificare detta persona” (considerando n. 26).

Invero, il concetto di dato anonimo non è estraneo al legislatore europeo, che vi fa espresso riferimento non nella c.d. “direttiva madre”, bensì nella direttiva 2002/58/CE8, relativa al trattamento dei dati personali e alla tutela della vita privata nelle comunicazioni elettroniche (c.d. “direttiva e- privacy”).

Anche in questo caso, tuttavia, la nozione di “anonimato” non è stata recepita uniformemente nei diversi Paesi europei, basti pensare che in Germania, secondo il Federal Data protection act, un dato può qualificarsi come anonimo ove la decriptazione dello stesso richieda “una quantità sproporzionata9 di tempi, costi e lavoro” . In Italia, invece, valorizzando il concetto già enunciato nel considerando n. 26 della direttiva 95/46, si è fat- to riferimento al criterio di ragionevolezza, per cui si considerava “anonimo” il dato che, ai fini della decriptazione, richiede sforzi, in termini di tempi e costi, che ragionevolmente né il titolare del trattamento, né terzi possono sopportare; più che di “dato anonimo” era dunque corretto parlare di “dato ragionevolmente anonimo”, alla luce degli sforzi e dei mezzi necessari per la decriptazione, concetto oggi richiamato nel Regolamento (considerando n. 26).

Ancora, la direttiva 95/46/CE non conteneva una definizione di dato sen- sibile, pur accogliendone il concetto nell’art. 8, co. 1°, rubricato Trattamenti riguardanti categorie particolari di dati - che vietava agli Stati membri “il trattamento di dati personali che rivelano l’origine razziale o etnica, le opinioni politiche, le convinzioni religiose o filosofiche, l’appartenenza sindacale, nonché il trattamento di dati relativi alla salute e alla vita sessua- le” -, previsione che è stata poi apparentemente ricalcata dal legislatore italiano nel Codice privacy (art. 4 lett. d, per il quale i dati sensibili sono “dati personali idonei a rivelare l'origine razziale ed etnica, le convinzioni reli- giose, filosofiche o di altro genere, le opinioni politiche, l'adesione a parti- ti, sindacati, associazioni od organizzazioni a carattere religioso, filosofico, politico o sindacale, nonché i dati personali idonei a rivelare lo stato di salute e la vita sessuale”).


La disposizione italiana e quella europea, a tutta prima quasi sovrapponibi- li, manifestano tuttavia una differenza che appare lessicalmente poco signi- ficativa, ma che è invece concretamente fondamentale. Secondo la direttiva europea, infatti, i dati che in Italia sono stati definiti sensibili, sono quelli “che rivelano l’origine razziale o etnica, le opinioni politiche, le convinzioni religiose” ecc. (art. 8, co. 1°, cit.). La corrispondente previsione del  Codice privacy identifica invece il dato sensibile come il “dato personale idoneo a rivelare l’origine razziale ed etnica, le convinzioni religiose”, ecc. (art. 4, lett. d, cit.).

Si mostra dunque, in tutta evidenza, come da una lieve variazione lessicale possano derivare effetti pratici di non poco momento, posto che l’espressione utilizzata dal legislatore italiano, rispetto a quella elaborata in sede europea, finisce per ampliare notevolmente il novero dei dati qualificabili come sensibili e, correlativamente, anche la discrezionalità di colui che è chiamato a valutarne le potenzialità disvelatrici.

Ed ancora, una discrasia di rilievo tra la disciplina della direttiva e le dispo- sizioni del Codice privacy si evidenzia con riguardo al consenso al trattamento dei dati personali.

Il Codice, infatti, non contiene alcuna definizione di consenso, facendo un implicito riferimento al concetto comune riassuntivamente enucleabile nell’espressione “manifestazione di una volontà conforme”. Al contrario, la direttiva 95/46 cit. conteneva una espressa e precisa definizione del con- cetto in esame (art. 2 lett. h)18; ma la differenza fondamentale in argomento è rinvenibile in materia di trattamento effettuato da enti pubblici non economici1: più precisamente, mentre la direttiva non distingueva a seconda che i dati venissero trattati da enti privati o enti pubblici - predisponendo una serie di Principi relativi alla legittimazione del trattamento dei dati (art. 7, dir. cit.), valevole per chiunque assuma il ruolo di titolare -, nel Co- dice privacy è invece disposto che il trattamento da parte di un ente pubblico non economico possa essere svolto anche in mancanza del consenso dell’interessato, purché ciò sia necessario per lo svolgimento delle funzioni istituzionali dell’ente medesimo (art. 18, co. 1, cod. privacy).

Si tratta dunque di una netta bipartizione tra trattamento effettuato dall’ente privato, che richiedeva il consenso dell’interessato, e trattamento effettuato dall’ente pubblico non economico, che non richiedeva il consenso; biparti- zione che non era prevista nella direttiva.

Invero, un punto di contatto tra le due previsioni poteva rinvenirsi laddove la direttiva precisava che il consenso non era richiesto ove il trattamento fosse “necessario per adempiere un obbligo legale al quale è soggetto il responsabile del trattamento” (art. 7, lett. c); tuttavia che la normativa ita- liana potesse essere ricondotta alla suddetta previsione non è affatto certo, sembra anzi potersi confermare la divergenza tra le due discipline laddove si ponga mente al fatto che la previsione europea si riferiva  all’adempimento di un obbligo legale, così sembrando prendere in considerazione le funzioni esercitate da quell’ente, mentre nel Codice privacy la qualificazione del titolare del trattamento (quale ente pubblico o ente privato) derivava esclusivamente dalla natura giuridica del medesimo, prescindendo dunque dalle funzioni che esso in concreto esercita.

Infine, per arrivare al cuore del presente lavoro, anche per i casi di violazioni o incidenti al sistema atto al trattamento dei dati (c.d. data breach) i diversi ordinamenti si differenziavano non poco (cfr. par. 2), anche a cagione del fatto che la direttiva madre non si era occupata specificamente del tema, di modo che, nonostante gli sforzi definitori e descrittivi del Gruppo ex art. 29, ciascuno Stato membro è stato libero di optare per la disciplina ritenuta più opportuna.

Quanto su brevemente riportato evidenzia, in sintesi, come le norme di re- cepimento da parte dei diversi Stati membri della direttiva 95/46 cit. si siano sovente allontanate, anche in modo sensibile, dalla disciplina comunita- ria, finendo per frustrare l’originario intento uniformatore del legislatore europeo. Di qui l’esigenza del Regolamento UE 2016/679, che, in quanto tale, trova applicazione immediata negli Stati membri, agevolando dunque l’affermarsi di una disciplina uniforme a livello comunitario. 

Prosegui la lettura e scarica il PDF