La raccolta di studi Privacy Digitale a cura di Emilio TOSI - autore anche dei Cap. 1 e 19 sui temi rispettivamente della Privacy digitale, persona e mercato e Responsabilità civile per trattamento illecito dei dati personali - è il ventunesimo volume della Collana Diritto delle Nuove Tecnologie fondata nel 2003. La data simbolica del 25 maggio 2018 segna la piena applicazione della nuova disciplina uniforme in materia di tutela della riservatezza e protezione dei dati personali delle persone fisiche introdotta dal Regolamento UE 27 aprile 2016, n. 679 - che ha abrogato la storica Direttiva CE 95/46 - meglio noto come General Data Protection Regulation (GDPR). Tale rilevante novità normativa per la tutela dei diritti fondamentali della persona alla riservatezza e alla protezione dei dati personali (art. 2 Costituzione e artt. 7 e 8 Carta dei diritti fondamentali UE) ha richiesto l¿armonizzazione ad opera del D.Lgs. 10 agosto 2018, n. 101 - entrato in vigore il 19 settembre 2018 - del Codice Privacy ora novellato. Manca ancora per completare il quadro regolatorio comunitario l'ultimo essenziale tassello della proposta di Regolamento e-privacy - che abrogherà la Direttiva 2002/58/CE - relativo alla tutela della vita privata e dei dati personali nelle comunicazioni elettroniche - abrogante la Direttiva 2002/58/CE - sia delle persone fisiche che delle persone giuridiche. Nel frattempo emergono temi e problemi della privacy digitale che richiedono analisi giuridica e interpretazione assiologica. Social Network, Cloud Computing, Internet of Things, Smartphone, Smart Cars, Droni, Fintech, Blockchain, Big Data e Artificial Intelligence sono solo alcune delle principali temibili variabili socio-economiche e tecnologiche che occorre disciplinare in modo equilibrato, bilanciando contrapposti interessi. Il volume dedicato all'approfondimento di tali temi fondamentali per la tutela della persona e per l'esercizio d'impresa, si apre con l'Introduzione del Curatore Emilio TOSI, la Prefazione di A. SORO Garante per la Protezione dei dati Personali, la Premessa di V. FRANCESCHELLI e si chiude con la Postfazione di Giovanni BUTTARELLI European Data Protection Supervisor UE.
Elenco Autori . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . XXI
Prefazione di Antonello Soro . . . . . . . . . . . . . . . . . . . . . . . . . . . . . XXV
Introduzione di Emilio Tosi . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . XXXI
Premessa di Vincenzo Franceschelli . . . . . . . . . . . . . . . . . . . . . . . . . XXXVII
Capitolo 1
PRIVACY DIGITALE, PERSONA E MERCATO:
TUTELA DELLA RISERVATEZZA
E PROTEZIONE DEI DATI PERSONALI
ALLA LUCE DEL GDPR E DEL NUOVO CODICE PRIVACY
Emilio Tosi
LE FONTI . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 1
1. Premessa. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 7
2. Digital Single Market (DSM) UE e tutela dei dati personali . . . . . . . . 12
3. L’armonizzazione al GDPR del Codice Privacy . . . . . . . . . . . . . . . 16
4. La vocazione transnazionale del GDPR . . . . . . . . . . . . . . . . . . . . 19
5. Il raccordo tra ordinamento comunitario e interno operato dal nuovo
Codice della Privacy armonizzato. . . . . . . . . . . . . . . . . . . . . . . . 22
6. Il GDPR quale nuovo legal benchmark globale . . . . . . . . . . . . . . . . 23
7. Lettura tridimensionale della privacy in senso lato: riservatezza personale,
protezione dei dati personali e identità digitale nuovi diritti fondamentali
della persona . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 28
8. Dall’identità personale all’identità digitale. . . . . . . . . . . . . . . . . . . 33
9. La crisi della privacy tra Internet of Thing (IoT) e Big Data . . . . . . . . 36
10. Le nuove regole nella proposta di Regolamento e-Privacy . . . . . . . . . 41
11. Asimmetria di potere tra Titolare e Interessato nel trattamento di dati
personali . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 49
Capitolo 2
PRIVACY E DATA PROTECTION:
PRINCIPI GENERALI
Emanuele Lucchini Guastalla
LE FONTI . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 55
1. Le ragioni della riforma . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 58
2. L’adeguamento della normativa interna alla riforma . . . . . . . . . . . . . 61
3. L’ambito di applicazione del GDPR . . . . . . . . . . . . . . . . . . . . . . 64
4. I principi fondamentali del GDPR . . . . . . . . . . . . . . . . . . . . . . . 66
5. a) La liceità . In particolare: il requisito della necessità . . . . . . . . . . . . 67
6. (Segue) Il trattamento dei dati “sensibili†. . . . . . . . . . . . . . . . . . . 69
7. (Segue) Il consenso. In particolare: il problema della libertà e il consenso
alla profilazione . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 71
8. (Segue) Il consenso del minore . . . . . . . . . . . . . . . . . . . . . . . . . 76
9. b) La trasparenza . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 78
10. c) Il diritto all’oblio. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 80
11. d) L’accountability. Codici di condotta e regole deontologiche . . . . . . . 82
12. e) La privacy by design e by default. . . . . . . . . . . . . . . . . . . . . . . 85
13. Profili di responsabilità . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 87
14. Osservazioni conclusive . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 90
Capitolo 3
IDENTITÀ DIGITALE DELLA PERSONA,
DIRITTO ALL’IMMAGINE E REPUTAZIONE
Teresa Pasquino
LE FONTI . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 93
1. La protezione della identità delle persone tra norme e diritto vivente. . . 95
2. Fondamento normativo del diritto alla identità personale: dal diritto
all’identità personale alla tutela dell’identità digitale . . . . . . . . . . . . . 99
3. Immagine, onore e reputazione nel prisma dell’identità . . . . . . . . . . . 105
4. Identità , immagine e reputazione: la tutela in sede civile . . . . . . . . . . 109
Capitolo 4
LE FIGURE SOGGETTIVE DELINEATE DAL GDPR: LA NOVITÀ
DEL DATA PROTECTION OFFICER
Nicola Brutti
LE FONTI . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 115
1. Figure soggettive e applicazione del GDPR: considerazioni preliminari. . 117
2. Il Titolare (controller) e il Responsabile (processor). Cenni a Contitolare e
Rappresentante nell’Unione . . . . . . . . . . . . . . . . . . . . . . . . . . . 123
3. Rapporti tra controller e processor: un’autonomia negoziale regolamentata. 133
4. Dal principio di accountability al Data Protection Officer . . . . . . . . . 139
5. Considerazioni conclusive . . . . . . . . . . . . . . . . . . . . . . . . . . . . 152
Capitolo 5
PRIVACY DIGITALE, MOTORI DI RICERCA
E SOCIAL NETWORK: DAL DIRITTO DI ACCESSO
E RETTIFICA AL DIRITTO ALL’OBLÌO CONDIZIONATO
Pieremilio Sammarco
LE FONTI . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 157
1. Premessa . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 160
2. Il diritto di accesso e rettifica . . . . . . . . . . . . . . . . . . . . . . . . . . 164
3. Il diritto all’oblio . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 166
3.1. Il diritto all’oblio nel GDPR . . . . . . . . . . . . . . . . . . . . . . . 168
4. Il diritto all’oblio dopo la sentenza della Corte di Giustizia UE relativa al
caso Google Spain . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 171
5. L’esercizio del diritto all’oblio condizionato . . . . . . . . . . . . . . . . . 175
6. Il diritto all’oblio ed alla de-indicizzazione come diritti della personalità . 179
Capitolo 6
IL DIRITTO ALLA PORTABILITÀ DEI DATI PERSONALI
Ettore Battelli e Guido D’Ippolito
LE FONTI . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 185
1. Introduzione. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 187
2. Descrizione del diritto . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 191
2.1. Ambito di applicazione . . . . . . . . . . . . . . . . . . . . . . . . . . 192
2.2. Oggetto del diritto: i dati “portabili†. . . . . . . . . . . . . . . . . . 194
3. Trasmissione dei dati. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 199
3.1. Portabilità e interoperabilità . . . . . . . . . . . . . . . . . . . . . . . 202
4. Modalità di esercizio . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 206
5. Rapporto con gli altri diritti e moltiplicazione dei dati . . . . . . . . . . . 209
6. Portabilità dei dati e concorrenza . . . . . . . . . . . . . . . . . . . . . . . 212
6.1. La portabilità come “per se rules†. . . . . . . . . . . . . . . . . . . 217
6.2. Bilanciamento tra privacy e concorrenza . . . . . . . . . . . . . . . . 222
7. Conclusioni . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 223
Capitolo 7
PRIVACY E PROPRIETÀ INTELLETTUALE
Alberto M. Gambino e Rosaria Petti
LE FONTI . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 229
1. Premessa . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 234
2. La tutela delle opere d’ingegno e il ruolo della giurisprudenza: la prima
stagione . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 238
2.1. Il caso Bonnier Audio: un orientamento diverso? . . . . . . . . . . . 245
3. La tutela delle opere d’ingegno e il ruolo della giurisprudenza: la seconda
stagione . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 247
4. Nuovi modelli di circolazione delle opere . . . . . . . . . . . . . . . . . . . 252
5. Le recenti proposte legislative europee: un ritorno al passato? . . . . . . . 254
6. Quali soluzioni per il copyright nel digital environment? . . . . . . . . . . 257
7. Conclusioni . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 259
Capitolo 8
TUTELA DELLA PRIVACY E CONSUMATORE
Pier Filippo Giuggioli
LE FONTI . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 263
1. Ambito di applicazione . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 264
2. Informazione . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 268
3. Contenuto della dichiarazione di consenso . . . . . . . . . . . . . . . . . . 273
4. Sanzioni . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 289
5. Tutela giurisdizionale. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 290
Capitolo 9
BLOCKCHAIN, SMART CONTRACTS, PRIVACY, O DEL NUOVO
MANIFESTARSI DELLA VOLONTÀ CONTRATTUALE
Giuliano Lemme
LE FONTI . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 293
1. La tecnologia blockchain: presupposti e caratteristiche . . . . . . . . . . . 297
2. Le principali applicazioni della blockchain, tra presente e futuribilità . . . 300
3. La blockchain: profili sociologici ed economici. . . . . . . . . . . . . . . . 304
4. Gli smart contracts: presupposti tecnici e quadro teorico di riferimento . 308
5. Smart contracts e manifestazione della volontà . . . . . . . . . . . . . . . . 311
6. Smart contracts: applicazioni pratiche . . . . . . . . . . . . . . . . . . . . . 315
7. Blockchain, smart contracts e privacy: un difficile rapporto . . . . . . . . 318
8. Il “decreto semplificazioni†. . . . . . . . . . . . . . . . . . . . . . . . . . . 322
Capitolo 10
PRIVACY, SMART CITIES E SMART CARS
Anna Carla Nazzaro
LE FONTI . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 325
1. Innovazione tecnologica, internet delle cose, smart cars e smart cities. . . 328
2. Carattere comune: la capacità di comunicazione . . . . . . . . . . . . . . . 333
3. Tutela dei dati e ruolo del consenso: le novità obbligate del Regolamento
GDPR . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 336
4. Abbandono della logica proprietaria . . . . . . . . . . . . . . . . . . . . . . 340
Capitolo 11
PRIVACY, RISCHIO INFORMATICO E ASSICURAZIONI
Sara Landini
LE FONTI . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 347
1. Cyberspace: rischio o opportunità per il mercato assicurativo. . . . . . . . 349
2. I rischi dello spazio cibernetico . . . . . . . . . . . . . . . . . . . . . . . . . 355
3. Oggetto delle coperture . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 358
4. Questionari e risk assessment . . . . . . . . . . . . . . . . . . . . . . . . . . 362
5. Obblighi e oneri per l’assicurato . . . . . . . . . . . . . . . . . . . . . . . . 364
6. L’adeguatezza dei prodotti dipende da una buona intermediazione . . . . 366
Capitolo 12
AUTOREGOLAMENTAZIONE PRIVATA E TUTELA DEI DATI PERSONALI:
TRA CODICI DI CONDOTTA E MECCANISMI DI CERTIFICAZIONE
Dianora Poletti e Maria Concetta Causarano
LE FONTI . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 369
1. Introduzione. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 374
2. Autoregolamentazione privata e principio di accountability . . . . . . . . . 377
3. Codici di condotta e GDPR: le principali novità . . . . . . . . . . . . . . . 381
4. Le Regole deontologiche nella disciplina italiana di adeguamento al
GDPR . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 385
5. I codici di condotta nella prassi applicativa antecedente al GDPR. Un’analisi del modello co-regolamentare nell’ambito della protezione dei dati
personali . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 389
6. Certificazioni, sigilli e marchi nell’ambito del GDPR . . . . . . . . . . . . 395
7. (Segue) Chi può chiedere la certificazione e cosa si può certificare . . . . 400
8. Le certificazioni nella disciplina italiana di adeguamento al GDPR. Lo stato
attuale . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 402
9. Certificazioni e sigilli di protezione dei dati nella prassi applicativa europea
ante GDPR . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 404
10. Aspetti problematici della nuova disciplina . . . . . . . . . . . . . . . . . . 408
11. Autoregolamentazione privata: la prospettiva del mercato digitale e la
necessità di un approccio normativo armonizzato per la tutela dei dati
personali . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 413
Capitolo 13
PRIVACY, DECISIONI AUTOMATIZZATE E ALGORITMI
Enza Pellecchia
LE FONTI . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 417
1. Lo scenario . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 420
2. Le questioni . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 424
3. Le risposte: il divieto di decisioni totalmente automatizzate, le eccezioni e
le “misure appropriate†di protezione . . . . . . . . . . . . . . . . . . . . . 429
4. Le obiezioni . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 434
5. Le proposte . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 439
Capitolo 14
PRIVACY, PROTEZIONE DEI DATI
PERSONALI E BIG DATA
Giovanni De Gregorio e Raffaele Torino
LE FONTI . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 447
1. Introduzione. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 449
2. Big Data e società dell’algoritmo . . . . . . . . . . . . . . . . . . . . . . . . 454
3. Big Data, privacy e protezione dei dati personali nella dimensione europea. 459
4. Big Data e i principi del GDPR . . . . . . . . . . . . . . . . . . . . . . . . 464
5. Big Data e dati personali . . . . . . . . . . . . . . . . . . . . . . . . . . . . 472
6. Profilazione e decisioni automatizzate . . . . . . . . . . . . . . . . . . . . . 478
7. Conclusioni . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 483
Capitolo 15
PRIVACY BY DESIGN E PRIVACY BY DEFAULT
Dario Farace
LE FONTI . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 485
1. Protezione dei dati fin dalla progettazione (privacy by design) e protezione
dei dati per impostazione predefinita (privacy by default): un problema, un
obiettivo e una soluzione. . . . . . . . . . . . . . . . . . . . . . . . . . . . . 486
2. Il titolare del trattamento. Accountability e protezione dei dati personali . 489
3. L’art. 25 GDPR. Protezione dei dati fin dalla progettazione e protezione
dei dati per impostazione predefinita . . . . . . . . . . . . . . . . . . . . . 495
4. Protezione dei dati per impostazione predefinita . . . . . . . . . . . . . . . 496
5. Protezione dei dati fin dalla progettazione . . . . . . . . . . . . . . . . . . 498
Capitolo 16
PRIVACY E CONTRATTI DI CLOUD COMPUTING
Laura Valle, Barbara Russo, Davide Maria Locatello e Guido Bonzagni
LE FONTI . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 503
1. I servizi cloud e il contenuto dei contratti di cloud computing . . . . . . . 507
2. Il trattamento dei dati personali e dei dati non personali nei rapporti di
cloud computing . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 513
3. Definizione e controllo delle clausole contrattuali e delle Privacy policy. . 518
4. Il ruolo dei soggetti coinvolti nei servizi di cloud computing rispetto al
trattamento dei dati: titolare (controller) e responsabile (processor). Ruolo e
obblighi del Cloud Service Provider. . . . . . . . . . . . . . . . . . . . . . . 521
4.1. Le responsabilità del cloud provider e le sanzioni per le possibili
violazioni . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 528
5. Struttura delle relazioni contrattuali e subcontracting nei servizi di cloud
computing . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 532
5.1. Le implicazioni del subcontracting sulla data protection alla luce del
nuovo GDPR. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 533
6. La disciplina del trasferimento transfrontaliero dei dati personali nel nuovo
GDPR e le prospettive attuali del trasferimento transfrontaliero dei dati a
livello globale . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 540
Capitolo 17
PRIVACY POST-MORTEM E
“SUCCESSIONE DIGITALEâ€
Irma Sasso
LE FONTI . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 553
1. Lo sdoppiamento dell’identità personale nell’era digitale . . . . . . . . . . 555
2. La « morte digitale ». I profili di connessione tra privacy post-mortem ed
eredità digitale . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 559
3. Privacy post-mortem: un tentativo di definizione. La tutela dei dati “digitali†dopo il decesso del titolare: dal D.Lgs. 196 del 2003 al GDPR. La
disciplina da ultimo prevista dal decreto privacy . . . . . . . . . . . . . . . 564
4. L’art. 2-terdecies, commi 2 ss., D.Lgs. 196/2003. Le tecniche di protezione
e gestione dei dati proposte dai service providers. . . . . . . . . . . . . . . 570
5. (Segue) I limiti delle condizioni di contratto stabilite dai providers. L’utilitÃ
di una pianificazione “successoria†relativa ai contenuti digitali . . . . . . 574
6. Le modalità di esplicazione della volontà dispositiva del de cuius . . . . . 577
7. Considerazioni conclusive . . . . . . . . . . . . . . . . . . . . . . . . . . . . 582
Capitolo 18
TRASFERIMENTI DI DATI PERSONALI VERSO PAESI TERZI O
ORGANIZZAZIONI INTERNAZIONALI
Giovanni Maria Riccio e Federica Pezza
LE FONTI . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 585
1. Introduzione. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 588
2. Regolamento e Direttiva. Differenze e punti di contatto . . . . . . . . . . 590
3. La nozione di trasferimento. Il caso Lindqvist . . . . . . . . . . . . . . . . 591
4. La nozione di “Paese terzo†e “organizzazione internazionale†. . . . . . 595
5. Trasferimenti in presenza di una decisione di adeguatezza . . . . . . . . . 596
5.1. Nozione di adeguatezza . . . . . . . . . . . . . . . . . . . . . . . . . . 597
5.2. La decisione di adeguatezza. Esame e riesame . . . . . . . . . . . . . 599
5.3. La forma della decisione . . . . . . . . . . . . . . . . . . . . . . . . . 600
5.4. Le decisioni precedenti. Il caso degli Stati Uniti . . . . . . . . . . . 602
6. Altri meccanismi per il trasferimento dei dati. . . . . . . . . . . . . . . . . 605
6.1. Uno strumento giuridicamente vincolante . . . . . . . . . . . . . . . 607
6.2. Model contractual clauses . . . . . . . . . . . . . . . . . . . . . . . . 607
6.2.1. La natura giuridica . . . . . . . . . . . . . . . . . . . . . . . . 608
6.3. Le Corporate Binding Rules . . . . . . . . . . . . . . . . . . . . . . . 610
6.4. Codici di condotta e certificazioni. . . . . . . . . . . . . . . . . . . . 612
7. Altri trasferimenti consentiti. . . . . . . . . . . . . . . . . . . . . . . . . . . 613
8. Conclusioni . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 616
Capitolo 19
LA RESPONSABILITÀ CIVILE
PER TRATTAMENTO ILLECITO
DEI DATI PERSONALI
Emilio Tosi
LE FONTI . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 619
1. Premessa . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 624
2. Profilo soggettivo: Titolare del Trattamento (art. 24 GDPR) . . . . . . . . 625
3. Contitolari del trattamento (art. 26 GDPR) . . . . . . . . . . . . . . . . . . 626
4. Responsabili del trattamento, Corresponsabili e Sub-Responsabili (art. 28
GDPR) . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 627
5. Rappresentante del Titolare o del Responsabile . . . . . . . . . . . . . . . 630
6. Data Protection Officer (art. 37 GDPR) . . . . . . . . . . . . . . . . . . . . 631
7. Profilo oggettivo: illiceità della condotta per violazione dei principi generali e degli altri precetti del GDPR . . . . . . . . . . . . . . . . . . . . . . 634
8. Il nuovo principio di responsabilizzazione. . . . . . . . . . . . . . . . . . . 639
9. La responsabilità civile in materia di protezione dei dati personali nella
disciplina previgente: l’art. 15 del “vecchio†Codice Privacy . . . . . . . . 645
10. La nuova responsabilità per trattamento illecito dei dati personali: l’art. 82
GDPR . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 649
11. La qualificazione giuridica della nuova responsabilità per trattamento illecito
dei dati personali nel GDPR tra responsabilità aquiliana ex art. 2043 c.c. e
responsabilità aggravata ex art. 2050 c.c. o tendenzialmente oggettiva . . . 650
12. Concorso nel fatto illecito di più Titolari e Responsabili . . . . . . . . . . 659
13. La responsabilità del Data Protection Officer. . . . . . . . . . . . . . . . . 662
14. Circostanze attenuanti l’addebito di responsabilità civile: Codici di Condotta (art. 40 - GDPR) e Certificazione (art. 42 - GDPR) . . . . . . . . . 664
15. Il riparto di responsabilità tra figure soggettive vecchie e nuove: la centralità del modello organizzativo privacy . . .. . . . . . . 666
16. Notazioni conclusive in ordine alla qualificazione della responsabilità per
trattamento illecito nella società dell’informazione alla luce del GDPR tra
regole comuni e speciali: tendenziale oggettivazione della responsabilità del
trattamento dei dati . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 670
Postfazione
THE GEOSTRATEGIC IMPORTANCE OF DATA PROTECTION:
AN ABSTRACT OF THE EDPS 2018 ANNUAL REPORT
Giovanni Buttarelli
1. 2018 demonstrated the power and the limitations of data protection . . . 677
2. 2018 - An Overview . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 679
3. New legislation for a new era . . . . . . . . . . . . . . . . . . . . . . . . . . 679
4. Finding a balance between security and privacy . . . . . . . . . . . . . . . 681
5. Developing partnerships . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 682
6. Digital Ethics and the International Conference . . . . . . . . . . . . . . . 683
7. Conclusion. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 684