Informativa sul trattamento dei dati personali (ai sensi dell’art. 13 Regolamento UE 2016/679)
La vigente normativa in materia di trattamento dei dati personali definita in conformità alle previsioni contenute nel Regolamento UE 2016/679 del 27 aprile 2016 relativo alla protezione delle persone fisiche con riguardo al trattamento dei dati personali, nonché alla libera circolazione di tali dati (Regolamento generale sulla protezione dei dati, di seguito “Regolamento Privacy UE”) contiene disposizioni dirette a garantire che il trattamento dei dati personali si svolga nel rispetto dei diritti e delle libertà fondamentali delle persone fisiche, con particolare riguardo al diritto alla protezione dei dati personali.
Finalità del Trattamento e base giuridica
Il trattamento dei dati personali è finalizzato a:
– fornire il servizio e/o prodotto richiesto dall’utente, per rispondere ad una richiesta dell’utente, e per assicurare e gestire la partecipazione a manifestazioni e/o promozioni a cui l’utente ha scelto di aderire (richiesta e acquisto abbonamento periodici; richiesta e acquisto libri; servizio di fatturazione; invio periodici in abbonamento postale, invio newsletter rivolte a studiosi e professionisti).
– inviare newsletter promozionale di pubblicazioni a chi ne ha fatto richiesta; ferma restando la possibilità per l’utente di opporsi all’invio di tali invii in qualsiasi momento.
– inviare all’utente informazioni promozionali riguardanti servizi e/o prodotti della Società di specifico interesse professionale ed a mandare inviti ad eventi della Società e/o di terzi; resta ferma la possibilità per l’utente di opporsi all’invio di tali comunicazioni in qualsiasi momento.
– gestire dati indispensabili per espletare l’attività della società: clienti, fornitori, dipendenti, autori. Pacini Editore srl tratta i dati personali dell’utente per adempiere a obblighi derivanti da legge, regolamenti e/o normativa comunitaria.
– gestire i siti web e le segreterie scientifiche per le pubblicazioni periodiche in ambito medico-giuridico rivolte a studiosi e professionisti;
Conservazione dei dati
Tutti i dati di cui al successivo punto 2 verranno conservati per il tempo necessario al fine di fornire servizi e comunque per il raggiungimento delle finalità per le quali i dati sono stati raccolti, e in ottemperanza a obblighi di legge. L’eventuale trattamento di dati sensibili da parte del Titolare si fonda sui presupposti di cui all’art. 9.2 lett. a) del GDPR.
Il consenso dell’utente potrà essere revocato in ogni momento senza pregiudicare la liceità dei trattamenti effettuati prima della revoca.
Tipologie di dati personali trattati
La Società può raccogliere i seguenti dati personali forniti volontariamente dall’utente:
nome e cognome dell’utente,
il suo indirizzo di domicilio o residenza,
il suo indirizzo email, il numero di telefono,
la sua data di nascita,
i dettagli dei servizi e/o prodotti acquistati.
La raccolta può avvenire quando l’utente acquista un nostro prodotto o servizio, quando l’utente contatta la Società per informazioni su servizi e/o prodotti, crea un account, partecipa ad un sondaggio/indagine. Qualora l’utente fornisse dati personali di terzi, l’utente dovrà fare quanto necessario perchè la comunicazione dei dati a Pacini Editore srl e il successivo trattamento per le finalità specificate nella presente Privacy Policy avvengano nel rispetto della normativa applicabile, (l’utente prima di dare i dati personali deve informare i terzi e deve ottenere il consenso al trattamento).
La Società può utilizzare i dati di navigazione, ovvero i dati raccolti automaticamente tramite i Siti della Società. Pacini editore srl può registrare l’indirizzo IP (indirizzo che identifica il dispositivo dell’utente su internet), che viene automaticamente riconosciuto dal nostro server, pe tali dati di navigazione sono utilizzati al solo fine di ottenere informazioni statistiche anonime sull’utilizzo del Sito .
La società utilizza i dati resi pubblici (ad esempio albi professionali) solo ed esclusivamente per informare e promuovere attività e prodotti/servizi strettamente inerenti ed attinenti alla professione degli utenti, garantendo sempre una forte affinità tra il messaggio e l’interesse dell’utente.
Trattamento dei dati
A fini di trasparenza e nel rispetto dei principi enucleati dall’art. 12 del GDPR, si ricorda che per “trattamento di dati personali” si intende qualsiasi operazione o insieme di operazioni, compiute con o senza l’ausilio di processi automatizzati e applicate a dati personali o insiemi di dati personali, come la raccolta, la registrazione, l’organizzazione, la strutturazione, la conservazione, l’adattamento o la modifica, l’estrazione, la consultazione, l’uso, la comunicazione mediante trasmissione, diffusione o qualsiasi altra forma di messa a disposizione, il raffronto o l’interconnessione, la limitazione, la cancellazione o la distruzione. Il trattamento dei dati personali potrà effettuarsi con o senza l’ausilio di mezzi elettronici o comunque automatizzati e comprenderà, nel rispetto dei limiti e delle condizioni posti dal GDPR, anche la comunicazione nei confronti dei soggetti di cui al successivo punto 7.
Modalità del trattamento dei dati: I dati personali oggetto di trattamento sono:
trattati in modo lecito e secondo correttezza da soggetti autorizzati all’assolvimento di tali compiti, soggetti identificati e resi edotti dei vincoli imposti dal GDPR;
raccolti e registrati per scopi determinati, espliciti e legittimi, e utilizzati in altre operazioni del trattamento in termini compatibili con tali scopi;
esatti e, se necessario, aggiornati;
pertinenti, completi e non eccedenti rispetto alle finalità per le quali sono stati raccolti o successivamente trattati;
conservati in una forma che consenta l’identificazione dell’interessato per un periodo di tempo non superiore a quello necessario agli scopi per i quali essi sono stati raccolti o successivamente trattati;
trattati con il supporto di mezzi cartacei, informatici o telematici e con l’impiego di misure di sicurezza atte a garantire la riservatezza del soggetto interessato cui i dati si riferiscono e ad evitare l’indebito accesso a soggetti terzi o a personale non autorizzato.
Natura del conferimento
Il conferimento di alcuni dati personali è necessario. In caso di mancato conferimento dei dati personali richiesti o in caso di opposizione al trattamento dei dati personali conferiti, potrebbe non essere possibile dar corso alla richiesta e/o alla gestione del servizio richiesto e/o alla la gestione del relativo contratto.
Comunicazione dei dati
I dati personali raccolti sono trattati dal personale incaricato che abbia necessità di averne conoscenza nell’espletamento delle proprie attività. I dati non verranno diffusi.
Diritti dell’interessato.
Ai sensi degli articoli 15-20 del GDPR l’utente potrà esercitare specifici diritti, tra cui quello di ottenere l’accesso ai dati personali in forma intelligibile, la rettifica, l’aggiornamento o la cancellazione degli stessi. L’utente avrà inoltre diritto ad ottenere dalla Società la limitazione del trattamento, potrà inoltre opporsi per motivi legittimi al trattamento dei dati. Nel caso in cui ritenga che i trattamenti che Lo riguardano violino le norme del GDPR, ha diritto a proporre reclamo all’Autorità Garante per la Protezione dei Dati Personali ai sensi dell’art. 77 del GDPR.
Titolare e Responsabile per la protezione dei dati personali (DPO)
Titolare del trattamento dei dati, ai sensi dell’art. 4.1.7 del GDPR è Pacini Editore Srl., con sede legale in 56121 Pisa, Via A Gherardesca n. 1.
Per esercitare i diritti ai sensi del GDPR di cui al punto 6 della presente informativa l’utente potrà contattare il Titolare e potrà effettuare ogni richiesta di informazione in merito all’individuazione dei Responsabili del trattamento, Incaricati del trattamento agenti per conto del Titolare al seguente indirizzo di posta elettronica: privacy@pacinieditore.it. L’elenco completo dei Responsabili e le categorie di incaricati del trattamento sono disponibili su richiesta.
Ai sensi dell’art. 13 Decreto Legislativo 196/03 (di seguito D.Lgs.), si informano gli utenti del nostro sito in materia di trattamento dei dati personali.
Quanto sotto non è valido per altri siti web eventualmente consultabili attraverso i link presenti sul nostro sito.
Il Titolare del trattamento
Il Titolare del trattamento dei dati personali, relativi a persone identificate o identificabili trattati a seguito della consultazione del nostro sito, è Pacini Editore Srl, che ha sede legale in via Gherardesca 1, 56121 Pisa.
Luogo e finalità di trattamento dei dati
I trattamenti connessi ai servizi web di questo sito hanno luogo prevalentemente presso la predetta sede della Società e sono curati solo da dipendenti e collaboratori di Pacini Editore Srl nominati incaricati del trattamento al fine di espletare i servizi richiesti (fornitura di volumi, riviste, abbonamenti, ebook, ecc.).
I dati personali forniti dagli utenti che inoltrano richieste di servizi sono utilizzati al solo fine di eseguire il servizio o la prestazione richiesta.
L’inserimento dei dati personali dell’utente all’interno di eventuali maling list, al fine di invio di messaggi promozionali occasionali o periodici, avviene soltanto dietro esplicita accettazione e autorizzazione dell’utente stesso.
Comunicazione dei dati
I dati forniti dagli utenti non saranno comunicati a soggetti terzi salvo che la comunicazione sia imposta da obblighi di legge o sia strettamente necessario per l’adempimento delle richieste e di eventuali obblighi contrattuali.
Gli incaricati del trattamento che si occupano della gestione delle richieste, potranno venire a conoscenza dei suoi dati personali esclusivamente per le finalità sopra menzionate.
Nessun dato raccolto sul sito è oggetto di diffusione.
Tipi di dati trattati
Dati forniti volontariamente dagli utenti
L’invio facoltativo, esplicito e volontario di posta elettronica agli indirizzi indicati su questo sito comporta la successiva acquisizione dell’indirizzo del mittente, necessario per rispondere alle richieste, nonché degli eventuali altri dati personali inseriti nella missiva.
Facoltatività del conferimento dei dati
Salvo quanto specificato per i dati di navigazione, l’utente è libero di fornire i dati personali per richiedere i servizi offerti dalla società. Il loro mancato conferimento può comportare l’impossibilità di ottenere il servizio richiesto.
Modalità di trattamento dei dati
I dati personali sono trattati con strumenti manuali e automatizzati, per il tempo necessario a conseguire lo scopo per il quale sono stati raccolti e, comunque per il periodo imposto da eventuali obblighi contrattuali o di legge.
I dati personali oggetto di trattamento saranno custoditi in modo da ridurre al minimo, mediante l’adozione di idonee e preventive misure di sicurezza, i rischi di distruzione o perdita, anche accidentale, dei dati stessi, di accesso non autorizzato o di trattamento non consentito o non conforme alle finalità della raccolta.
Diritti degli interessati
Ai soggetti cui si riferiscono i dati spettano i diritti previsti dall’art. 7 del D.Lgs. 196/2003 che riportiamo di seguito:
1. L’interessato ha diritto di ottenere la conferma dell’esistenza o meno di dati personali che lo riguardano, anche se non ancora registrati, e la loro comunicazione in forma intelligibile.
2. L’interessato ha diritto di ottenere informazioni:
a) sull’origine dei dati personali;
b) sulle finalità e modalità del trattamento;
c) sulla logica applicata in caso di trattamento effettuato con l’ausilio di strumenti elettronici;
d) sugli estremi identificativi del titolare, dei responsabili e del rappresentante designato ai sensi dell’articolo 5, comma 2;
e) sui soggetti o delle categorie di soggetti ai quali i dati personali possono essere comunicati o che possono venirne a conoscenza in qualità di rappresentante designato nel territorio dello Stato, di responsabili o incaricati.
3. L’interessato ha diritto di ottenere:
a) l’aggiornamento, la rettificazione ovvero, quando vi ha interesse, l’integrazione dei dati;
b) la cancellazione, la trasformazione in forma anonima o il blocco dei dati trattati in violazione di legge, compresi quelli di cui non è necessaria la conservazione in relazione agli scopi per i quali i dati sono stati raccolti o successivamente trattati;
c) l’attestazione che le operazioni di cui alle lettere a) e b) sono state portate a conoscenza, anche per quanto riguarda il loro contenuto, di coloro ai quali i dati sono stati comunicati o diffusi, eccettuato il caso in cui tale adempimento si rivela impossibile o comporta un impiego di mezzi manifestamente sproporzionato rispetto al diritto tutelato.
4. L’interessato ha diritto di opporsi, in tutto o in parte:
a) per motivi legittimi al trattamento dei dati personali che lo riguardano, ancorché pertinenti allo scopo della raccolta;
b) al trattamento di dati personali che lo riguardano a fini di invio di materiale pubblicitario o di vendita diretta o per il compimento di ricerche di mercato o di comunicazione commerciale.
Dati degli abbonati
I dati relativi agli abbonati sono trattati nel rispetto delle disposizioni contenute nel D.Lgs. del 30 giugno 2003 n. 196 e adeguamenti al Regolamento UE GDPR 2016 (General Data Protection Regulation) a mezzo di elaboratori elettronici ad opera di soggetti appositamente incaricati. I dati sono utilizzati dall’editore per la spedizione della presente pubblicazione. Ai sensi dell’articolo 7 del D.Lgs. 196/2003, in qualsiasi momento è possibile consultare, modificare o cancellare i dati o opporsi al loro utilizzo scrivendo al Titolare del Trattamento: Pacini Editore Srl – Via A. Gherardesca 1 – 56121 Pisa. Per ulteriori approfondimenti fare riferimento al sito web http://www.pacinieditore.it/privacy/
Subscriber data
Subscriber data are treated according to Italian law in DLgs, 30 June 2003, n. 196 as updated with the UE General Data Protection Regulation 2016 – by means of computers operated by specifically responsible personnel. These data are used by the Publisher to mail this publication. In accordance with Art. 7 of the above mentioned DLgs, 30 June 2003, n. 196, subscribers can, at any time, view, change or delete their personal data or withdraw their use by writing to Pacini Editore S.r.L. – Via A. Gherardesca 1, 56121 Ospedaletto (Pisa), Italy. For further information refer to the website: http://www.pacinieditore.it/privacy/
Cookie
Che cos’è un cookie e a cosa serve?
Un cookie e una piccola stringa di testo che un sito invia al browser e salva sul tuo computer quando visiti dei siti internet. I cookie sono utilizzati per far funzionare i siti web in maniera più efficiente, per migliorarne le prestazioni, ma anche per fornire informazioni ai proprietari del sito.
Che tipo di cookie utilizza il nostro sito e a quale scopo? Il nostro sito utilizza diversi tipi di cookie ognuno dei quali ha una funzione specifica, come indicato di seguito:
TIPI DI COOKIE
Cookie di navigazione
Questi cookie permettono al sito di funzionare correttamente sono usati per raccogliere informazioni su come i visitatori usano il sito. Questa informazione viene usata per compilare report e aiutarci a migliorare il sito. I cookie raccolgono informazioni in maniera anonima, incluso il numero di visitatori del sito, da dove i visitatori sono arrivati e le pagine che hanno visitato.
Cookie Analitici
Questi cookie sono utilizzati ad esempio da Google Analytics per elaborare analisi statistiche sulle modalità di navigazione degli utenti sul sito attraverso i computer o le applicazioni mobile, sul numero di pagine visitate o il numero di click effettuati su una pagina durante la navigazione di un sito.
Questi cookie sono utilizzati da società terze. L’uso di questi cookie normalmente non implica il trattamento di dati personali. I cookie di terze parti derivano da annunci di altri siti, ad esempio messaggi pubblicitari, presenti nel sito Web visualizzato. Possono essere utilizzati per registrare l’utilizzo del sito Web a scopo di marketing.
Come posso disabilitare i cookie?
La maggior parte dei browser (Internet Explorer, Firefox, etc.) sono configurati per accettare i cookie. Tuttavia, la maggior parte dei browser permette di controllare e anche disabilitare i cookie attraverso le impostazioni del browser. Ti ricordiamo però che disabilitare i cookie di navigazione o quelli funzionali può causare il malfunzionamento del sito e/o limitare il servizio offerto.
Per avere maggiori informazioni
l titolare del trattamento è Pacini Editore Srl con sede in via della Gherardesca n 1 – Pisa.
Potete scrivere al responsabile del trattamento Responsabile Privacy, al seguente indirizzo email rlenzini@pacinieditore.it per avere maggiori informazioni e per esercitare i seguenti diritti stabiliti dall’art. 7, D. lgs 196/2003: (i) diritto di ottenere la conferma dell’esistenza o meno di dati personali riguardanti l’interessato e la loro comunicazione, l’aggiornamento, la rettificazione e l’integrazione dei dati, la cancellazione, la trasformazione in forma anonima o il blocco dei dati trattati in violazione di legge; (ii) diritto di ottenere gli estremi identificativi del titolare nonché l’elenco aggiornato dei responsabili e di tutti i soggetti cui i suoi dati sono comunicati; (iii) diritto di opporsi, in tutto o in parte, per motivi legittimi, al trattamento dei dati relativi all’interessato, a fini di invio di materiale pubblicitario o di vendita diretta o per il compimento di ricerche di mercato o di comunicazioni commerciali.
Per modificare le impostazioni, segui il procedimento indicato dai vari browser che trovi alle voci “Opzioni” o “Preferenze”.
Per saperne di più riguardo ai cookie leggi la normativa.
La tutela dela dato personale alla prova del Data Governace Act. Data sharing, reclamo e tutela giurisdizionale effettiva.
Di Cristiano Iurilli -
Sommario: 1. Data sharing e Data Governace Act. Il dato pubblico tra solidarismo ed operazione economica. 2. Condivisione, riutilizzo ed altruismo del dato. Nuovi protagonisti e rischi connessi. Uno sguardo al Data Act. 3. Il diritto al reclamo: relazione normativa e funzionale tra l’art 77 del G.D.P.R. e l’art 27 del D.G.A. 4. Interconnessioni tra G.D.P.R. e D.G.A. in funzione di tutela dei diritti. 5. L’effettività della tutela giurisdizionale. 6. Dalla tutela giurisdizionale al diritto ad un ricorso effettivo.
1.Data sharing e Data Governace Act. Il dato pubblico tra solidarismo ed operazione economica.
Se la nozione di dato personale accolta dal G.D.P.R. ha ad oggetto qualsiasi informazione riguardante una persona fisica identificata o identificabile, ed i cui elementi costitutivi sono riconducibili ai concetti di: informazione (ossia il contenuto del dato), da intendersi come una rappresentazione di cose, fatti, persone; persona fisica, ossia il soggetto a cui il contenuto viene collegato; collegamento, inteso come l’operazione logica di cui sopra, che dovrà riguardare solo i collegamenti che concernono l’interessato o che soddisfano una finalità del titolare del trattamento; identificazione ed identificabilità, da intendersi non come mero ed astratto collegamento con una persona, bensì come sua specifica individuazione o individuabilità, si comprende il motivo per il quale la più recente dottrina[1] che ha inteso approfondire le dinamiche afferenti la data protection, abbia voluto porre l’accento “sul riutilizzo delle informazioni e sulla loro condivisione, tanto che l’espressione chiave è ormai data sharing”, così evidenziando la rilevanza da attribuire alla “rete di relazioni che realizzano la circolazione delle informazioni e ne consentono lo sfruttamento e l’opportunità del loro governo”.
Orbene, a seguito di un lungo iter normativo che in un primo momento ha portato al formale riconoscimento del diritto alla protezione dei dati personali nell’ambito della Carta dei diritti fondamentali dell’UE (art. 8), per poi procedere ad una implementazione di più stringenti forme di tutela della privacy mediante una regolamentazione comunitaria volta ad omogeneizzare le singole legislazioni in funzione di una equiparazione delle normative transnazionali[2], stiamo oggi assistendo a quell’inesorabile ma egualmente delicato percorso, intrapreso a livello comunitario, chiaramente volto ad incoraggiare un mercato comune per la condivisione dei dati (non solo personali)[3] e delle informazioni ad essi collegate e del valore ad esse intrinseco: valore giuridico, a volte solidaristico ma specialmente economico e patrimoniale.
L’informazione dunque assume valore non solo ex se bensì quale oggetto di trasferimento, utilizzo e condivisione.
In una visione sempre più commerciale e concorrenziale della data protection ed in funzione di quelle nuove prassi di mercato che vedono nell’operazione di utilizzo del dato una sottesa componente sia imprenditoriale sia politica, ed ove vengono in rilievo le nuove relazioni di condivisione di dati business to government e business to business, risulta chiaro come dette operazioni, funzionali ad ottenere la titolarità di un variegato set di dati (personali, personali anonimizzati e non personali) e, dunque, di informazioni, abbiano l’effetto di allocare, in maniera potenzialmente preminente, imprese, Stati e più in generale pubbliche amministrazioni su un determinato mercato di riferimento: il dato diviene dunque strumento di forza economica e politica.
In tal senso già dal 25 maggio 2018 la Commissione europea aveva sentito l’esigenza di emanare la Comunicazione intitolata “Una strategia europea per i dati”[4], al fine di sfruttare i vantaggi connessi all’utilizzo dei dati, per migliorare la competitività e produttività del mercato comunitario ma anche per apportare miglioramenti in materia di salute e benessere, ambiente, amministrazione trasparente e servizi pubblici.
Nel citato contesto, il Regolamento (UE) 2022/868 del Parlamento Europeo e del Consiglio del 30 maggio 2022 relativo alla governance europea dei dati (Data Governance Act – D.G.A) ha lo scopo -così come testualmente si legge nel considerando numero 3- di migliorare le condizioni per la condivisione dei dati nel mercato interno, creando un quadro armonizzato per gli scambi di dati e stabilendo alcuni requisiti di base per la governance dei dati, prestando particolare attenzione a facilitare la cooperazione tra gli Stati membri e sviluppare ulteriormente il mercato interno digitale senza frontiere ed una società ed un’economia dei dati antropocentriche, affidabili e sicure.
Orbene, con il Data Governance Act vengono introdotte alcune disposizioni “dall’impatto fortemente innovativo che ampliano il concetto di «dato pubblico» e immettono nell’ordinamento nuovi strumenti volti a implementare le relazioni organizzative esterne (tra la Commissione Ue e gli Stati membri) e interne (tra le amministrazioni nazionali)”[5].
È tuttavia certo che sottesa alla richiamata normativa vi sia la necessità di realizzare un tendenziale equilibrio tra apertura di un determinato mercato ed esigenze di tutela dei singoli, per garantire uno sviluppo di quella che si potrebbe definire come datificazione della società mediante l’introduzione del concetto di dato pubblico[6], da intendersi come dato ad utilizzo “aperto” pur se riconducibile a terzi interessati.
Le nuove definizioni contenute nel D.G.A., quali il c.d. riutilizzo dei dati oggetto di diritti di terzi in possesso delle autorità pubbliche ed il data activism dei cittadini[7] (o altruismo dei dati) mediante la messa a disposizione, in modo volontario, dei propri dati ed il riutilizzo degli stessi, ci fanno comprendere come oggi si passi (o meglio si affianchi ad) da un sistema di tutela comunitario ad un mercato comunitario del dato e da un approccio difensivo e protezionistico ad un approccio altruistico, forse solidaristico, ma con una sottesa ed inevitabile base economico-commerciale nonché politica.
È oramai dato indiscutibile la possibilità di ricavare numerose informazioni dall’analisi, strutturazione o destrutturazione di dati personali, anche e specialmente se afferenti le c.d. “altre particolari categorie di dati” (ex sensibili e di cui all’art.9 del G.D.P.R.) come appunto individuate dal G.D.P.R., ed a cui sono connessi indiscutibili vantaggi sia in termini di potere e di controllo sia in termini economici: si pensi alla c.d. business intelligence[8], al FinTech o ancora si pensi all’impatto socio econmico ma anche politico relativo ad esempio alla disponibilità ed utilizzo o riutilizzo di dati pandemici (anche transfrontalieri) relativi ad un determinato Stato o continente[9] e dalla cui analisi far discendere possibili benefici, come detto valutabili sia a livello economico che politico.
L’indiscutibile valore economico e politico del dato personale, che a volte potrebbe indurre a considerarlo un semplice bene di scambio oggetto di commercializzazione al pari di ogni altro bene, senza assegnare la necessaria rilevanza alla componente personalistica del medesimo[10], induce dunque a dover riflettere su adeguate forme di tutela effettiva della privacy delle persone fisiche interessate al trattamento corretto e legittimo del dato, specialmente se personale.
In un contesto storico in cui già le Big Tech raccolgono e analizzano grandi quantità di dati spesso utilizzati per personalizzare l’offerta di prodotti o servizi o per determinare particolari forme di marketing, mediante il D.G.A. ed i nuovi concetti di condivisione, riutilizzo ed altruismo dei dati, oggi riferibili anche al settore pubblico, si potrebbero determinare ulteriori ambiti di illegittima circolazione degli stessi: alla statica visione del dato personale inteso come prodotto, si associa dunque il concetto del dato nella sua visione dinamica, come elemento di una operazione di scambio o di messa a disposizione, riconducibile anche al concetto di “data monetization”: più un bene giuridico diviene oggetto di scambio e fonte di ricchezza e potere, più sorge la necessità di implementare forme di tutela adeguate per l’esercizio dei diritti fondamentali alla dignità umana, al rispetto della vita privata e familiare, alla tutela dei dati personali.
2.Condivisione, riutilizzo ed altruismo del dato. Nuovi protagonisti e rischi connessi. Uno sguardo al Data Act.
Mediante il D.G.A. si è dunque inteso realizzare un quadro di governance a livello dell’Unione europea, con l’obiettivo di creare fiducia tra gli individui e le imprese per quanto riguarda l’accesso ai dati, la loro condivisione, il loro controllo, utilizzo o riutilizzo, in particolare stabilendo adeguati meccanismi per gli interessati affinché conoscano ed esercitino fattivamente i propri diritti.
A tal fine il Data Governance Act si sviluppa lungo quattro ben precise direttrici: il riutilizzo di determinati dati detenuti da soggetti pubblici (Capo II); l’attività di intermediazione dei dati (Capo III); la messa a disposizione dei dati per fini altruistici (Capo IV) e, non da ultimo, l’istituzione di un nuovo sistema di governance dei dati e di sanzioni (Capo V e Capo VI).
In particolare il Capo II contiene una serie di norme che disciplinano il riutilizzo di determinati dati in possesso di pubbliche amministrazioni ed enti pubblici, non certamente introducendo un obbligo generalizzato di riutilizzo dei dati bensì disponendo che ogni soggetto pubblico sia libero di decidere se consentire o negare l’accesso per il riutilizzo e, nel caso di valutazione positiva, rispettando specifiche condizioni[11] (articolo 5) che non siano discriminatorie, siano trasparenti, proporzionate ed oggettivamente giustificate in relazione alle categorie di dati ed alle finalità di riutilizzo, nonché in relazione alla natura dei dati per i quali è consentito il riutilizzo.
Il successivo Capo IV disciplina la seconda e rilevante direttrice operativa del Regolamento, ossia la circolazione dei dati per fini altruistici.
Si tratta di dati personali messi a disposizione dagli interessati su base volontaria (e comunque previo il rilascio del consenso al trattamento) oppure di dati non personali messi a disposizione dai titolari dei dati. I dati messi a disposizione devono essere utilizzati per scopi di interesse generale, come ad esempio la tutela della sanità pubblica, il miglioramento della mobilità e della fornitura dei servizi pubblici, la lotta al cambiamento climatico, il sostegno alla ricerca scientifica[12].
A tal fine è rimessa agli Stati l’adozione di politiche nazionali (per esempio campagne di sensibilizzazione) per incentivare la raccolta dei dati da utilizzare per fini altruistici[13].
L’articolo 18 delinea poi le condizioni necessarie per aumentare la fiducia degli interessati nel mettere a disposizione i loro dati. Pertanto i soggetti che gestiranno i dati per fini altruistici dovranno possedere specifici requisiti a garanzia della loro indipendenza.
Ad esempio, essi dovranno operare senza scopo di lucro (almeno apparente), essere giuridicamente indipendenti da altri soggetti che operino a scopo di lucro e svolgere l’attività di altruismo mediante una struttura funzionalmente separata dalle altre attività.
Il controllo sull’attività delle organizzazioni per l’altruismo dei dati è poi garantito da un sistema di registrazione (articolo 19) e da una serie di obblighi di trasparenza (articolo 20).
Ed è proprio il concetto dell’altruismo del dato (ed il connesso riutilizzo), da intendersi come espressione volta a sottolineare l’utilizzo da parte di soggetti pubblici di dati messi volontariamente a disposizione da persone fisiche o giuridiche per dichiarate finalità di interesse generale, che dovrebbe far riflettere su quel delicato equilibrio tra principio solidaristico, ricerca scientifica, tutela della salute (in stretta connessione) e bilanciamento con l’interesse del singolo interessato al corretto trattamento del dato ad egli riferibile.
Dunque, a parere di chi scrive, solidarietà, interesse pubblico alla condivisione e libertà economica non possono essere principi che, pur se sottesi al nuovo testo comunitario, vadano a minare quel delicato equilibrio tra tutela di interessi economici pubblici e privati.
Ambito filantropico, interesse pubblico e business (rectius, interesse commerciale) non possono essere considerati in maniera distaccata in relazione all’interesse alla tutela del dato che ne caratterizza l’operatività.
Ma i concetti di utilizzo, riutilizzo ed altruismo, debbono essere approfonditi non solo da un punto di vista meramente oggettivo (e cioè in relazione all’operazione) bensì anche soggettivo, ovvero in relazione alle parti (plurime) di una eventuale condivisione e messa a disposizione.
Ove infatti si analizzasse il D.G.A. in visione soggettiva, dovrebbe necessariamente sottolinerasi la previsione circa la possibilità di creare delle organizzazioni non lucrative, appunto denominate organizzazioni per l’altruismo dei dati in funzione di garantire l’accesso a rilevanti quantità di dati da parte di imprese, lavoratori autonomi e liberi professionisti, sulla base di un approccio cooperativo[14] volto a facilitare l’intermediazione di dati ed informazioni, promuovendo una governance partecipata e condivisa.
Ed ancora, sempre in detta visione, è stato correttamente evidenziato in dottrina[15] come “accanto al data subject (che è l’interessato come definito dal GDPR) si collocano i nuovi data holders (i “titolari dei dati”), ossia le persone giuridiche, compresi gli enti pubblici e le organizzazioni internazionali, o le persone fisiche diverse dagli interessati rispetto agli specifici dati in questione, che hanno il diritto di concedere l’accesso o di condividere dati personali e non personali”, nonché i data users identificabili come le persone fisiche o giuridiche che hanno accesso legittimo a determinati dati personali o non personali e che hanno diritto, anche a norma del G.D.P.R. in caso di dati personali, a utilizzare tali dati a fini commerciali o non commerciali.
Altresì si pensi ancora, ed in termini generali, al fenomeno della c.d. infomediation, ove data companies si propongono di agire (probabilmente mediante un’apposita delega o del titolare o dell’interessato al trattamento del dato) in favore e per conto degli interessati “di cui acquisiscono una mole impressionante di dati, al fine di ottenere, presso fornitori terzi, la produzione di valore economico-monetario, che viene trasferito agli stessi previa decurtazione di una quota, destinata a remunerare i servizi resi dalla data company infomediaria”[16], offrendo anche tra i loro servizi strumenti di protezione dei dati[17], mediante una dinamica riconducibile all’esercizio del diritto alla portabilità dei dati, già previsto dall’art. 20 del Reg. (UE) n. 679/2016, che molto ricorda il concetto dell’altruismo del dato e i principi sottesi al D.G.A.
Dunque il D.G.A. apporta, in ambito privacy, più protagonisti, più passaggi, più attività traslativa di dati ed informazioni e dunque maggiore necessità di gestione (anche comune) del rischio.
Governace partecipata significa infatti gestione comune del rischio, frammentazione delle connesse responsabilità, e che a sua volta pone il problema sia della gestione del reclamo presentato dall’interessato o da un proprio delegato sia della tutela effettiva da garantire all’interessato, anche in funzione della rilevanza che avranno le autorità di controllo[18].
La necessità dunque di un adeguato bilanciamento degli interessi in gioco emerge proprio dal concetto del risk approach inteso, in senso comunitario, come tentativo di non “ostacolare l’innovazione tecnologica attraverso restrizioni eccessive, ma di governarla con obblighi e responsabilità proporzionali al grado di rischio introdotto nel sistema … (con) l’obiettivo (di) delineare un quadro giuridico adeguato dinamicamente all’evoluzione tecnologica e all’emergere di nuove situazioni di preoccupazione nel rispetto dei diritti fondamentali e dei valori dell’Unione”[19].
Ed in tema, non può non essere citato, a completamente dell’analisi del contensto normativo di riferimento, il Regolamento (UE) 2023/2854 del Parlamento europeo e del Consiglio, del 13 dicembre 2023 (cd. “Data Act”), riguardante norme armonizzate sull’accesso equo ai dati e sul loro utilizzo[20], con lo scopo di regolamentare, a completamento delle previsioni contentute nel D.G.A., la condivisione dei dati generati dall’uso di prodotti connessi o di servizi correlati, nonché l’accesso degli utenti ai dati da essi generati, prevedendosi esplicitamente indicazioni chiare in merito alla compensazione equa per la messa a disposizione dei dati, alla prevenzione di abusi provenienti da squilibri contrattuali ed ai meccanismi di risoluzione delle controversie.
Con il Data Act dunque, mediante la previsione di disposizioni che consentono anche agli enti pubblici di accedere e utilizzare i dati detenuti dal settore privato necessari per scopi specifici di interesse pubblico, mediante il riconoscimento (in circostanze eccezionali o di emergenza, anche e specialmente in ambito sanitario) del diritto, in capo a questi, di accedere ed utilizzare dati in possesso del settore privato, assume ancor più rilievo il concetto di dato pubblico.
Ancora una volta emerge il binomio tra solidarismo e valore economico del dato, tra i concetti di esigenza pubblica, emergenza pubblica[21], compenso, margine (economico) e prezzo di scambio[22], da cui far discendere adeguate regole di tutela anche in virtù della chiara evoluzione del contesto normativo ivi richiamato, caratterizzato da norme che si spingono oltre quanto ad esempio già previsto dell’articolo 110 bis del Codice della Privacy in tema di trattamento ulteriore dei dati personali (compresi quelli dei trattamenti speciali di cui all’articolo 9 del G.D.P.R.), ed ove si prevede una espressa autorizzazione da parte del Garante della Privacy proprio per il trattamento ulteriore a fini di ricerca scientifica o a fini statistici da parte di soggetti terzi che svolgano principalmente tali attività quando, a causa di particolari ragioni, informare gli interessati risulta impossibile o implica uno sforzo sproporzionato, oppure rischia di rendere impossibile o di pregiudicare gravemente il conseguimento delle finalità della ricerca, a condizione che siano adottate misure appropriate per tutelare i diritti, le libertà e i legittimi interessi dell’interessato[23].
Dunque l’attuale contesto normativo italiano viene diremo quasi “fagocitato” o “assorbito” dalle nuove disposizioni di stampo comunitario.
3.Il diritto al reclamo: relazione normativa e funzionale tra l’art 77 del G.D.P.R. e l’art 27 del D.G.A.
Alla luce delle considerazioni svolte è chiara la necessità di apprestare un complessivo sistema di tutele a fovore dell’interessato mediante la messa a disposizione di strumenti, tendenzialmente dotati di efficacia, volti a gestire e risolvere eventuali aspetti patologici connessi alle nuove dinamiche riconducibili al D.G.A., dovendosi procedere ad una lettura delle nuove disposizioni che tenga conto di quanto già contenuto nella disciplina del G.D.P.R., che dunque ad oggi diviene disciplina di confronto e di interpretazione attuativa del D.G.A.
Il primo strumento di tutela è riconducibile al riconoscimento del diritto di presentare un reclamo individuale o se del caso collettivo.
In materia, già l’art. 77 del G.D.P.R.[24] prevede una tutela amministrativa azionabile dinanzi all’Autorità Garante per la protezione dei dati personali, la quale può dispiegarsi avverso i trattamenti che non rispettino la disciplina sulla Data protection. L’individuazione dell’autorità di controllo competente è rimessa all’interessato, il quale può liberamente scegliere fra quella dello Stato membro in cui egli risiede abitualmente o lavora oppure quella del luogo ove si è verificata la presunta violazione[25].
A fronte di detta previsione, l’art 27 del D.G.A prevede che alle persone fisiche e giuridiche sia riconosciuto il diritto di presentare un reclamo individuale o, se del caso, collettivo alla pertinente autorità nazionale per i servizi di intermediazione dei dati competente nei confronti di un fornitore di servizi di intermediazione dei dati o all’autorità competente per la registrazione delle organizzazioni per l’altruismo dei dati nei confronti di un’organizzazioni per l’altruismo dei dati riconosciuta[26].
In ogni caso, la proposizione del reclamo pone in capo all’autorità adita l’obbligo di informare il reclamante dello stato o dell’esito del procedimento, oltre che della possibilità di avvalersi del ricorso giurisdizionale di cui all’art. 28, e ciò mediante una previsione analoga a quanto previsto dall’art. 78 del G.D.P.R.
Il diritto al reclamo “efficace” diviene dunque un mezzo per gestire il rischio per eventuali effetti negativi inerenti l’esercizio dei diritti fondamentali alla dignità umana, al rispetto della vita privata e familiare, alla tutela dei dati personali, assegnando rilevanza non solo morale bensì anche “valoriale” al semplice utilizzo o riutilizzo del dato, anche se per fini pubblici o solidaristici.
In via di interpretazione analogica con la previsione del G.D.P.R. e la connessa prassi applicativa, si ritiene che, da un punto di vista eminentemente contenutistico, il reclamo di cui al D.G.A. dovrà anch’esso includere l’indicazione, per quanto possibile dettagliata, dei fatti e delle circostanze su cui si fonda, delle disposizioni che si presumono violate, delle misure richieste e degli estremi identificativi del titolare o del responsabile del trattamento, ove conosciuto, anche se, nella visione dell’utilizzo o del riutilizzo dei dati, ci si dovrà attendere una implementazione, anche solo numerica, dei soggetti possibili destinatari del reclamo, la cui individuazione tuttavia si auspica non sia posta unicamente a carico del reclamante bensì integrata, anche da parte dell’Autorità competente alla gestione del reclamo stesso, vista la possibile difficoltà di intercettare tutti i nuovi e plurimi soggetti “possibili” legittimati passivi della procedura e dunque, eventuali responsabili per i fatti contestati mediante la procedura di reclamo.
Esso dovrà altresì provenire (mediante sottoscrizione) dall’interessato o, su suo mandato, da altro soggetto, unitamente alla documentazione utile ai fini della sua valutazione, l’eventuale procura e l’indicazione di un recapito per l’invio delle comunicazioni ad esso relative.
Ed è proprio sulla legittimazione attiva e passiva inerente il reclamo che risulta necessario un ulteriore passaggio interpretativo: se infatti nell’analisi del G.D.P.R. alcun dubbio poteva manifestarsi in relazione alla necessità di individuazione, in capo al reclamante, della condizione di interessato, parallelamente individuando nel titolare, o negli eventuali contitolari o ancora responsabili esterni del trattamento, i soggetti legittimati passivi, le dinamiche traslative del dato sottese al D.G.A, porteranno certamente ad un ampliamento dei legittimati attivi al reclamo, anche in capo ad “entità di intermediazione” del dato, sia in relazione ad ipotesi di richieste di tutela di posizioni giuridiche direttamente ad esse riconducibili sia in relazione ad eventuali mandati alla presentazione del reclamo in nome e per conto dei singoli interessati, peraltro mediante una medesima dinamica rappresentativa già presente nel G.D.P.R. all’articolo 80, ove già si prevede la possibilità per l’interessato di dare mandato a un organismo, un’organizzazione o un’associazione senza scopo di lucro (i cui obiettivi statutari siano di pubblico interesse e che siano attivi nel settore della protezione dei diritti e delle libertà degli interessati con riguardo alla protezione dei dati personali), di proporre il reclamo per suo conto e di esercitare per suo conto i diritti di cui agli articoli 77, 78 e 79.
E sul punto, vieni da sé il necessario richiamo ad una nota sentenza della Corte di Giustizia dell’Unione europea[27] la quale si è pronunciata, in seguito a rinvio pregiudiziale, sull’interpretazione dell’art. 80, paragrafo 2, del Regolamento UE 679/2016 in materia di ricorsi, concludendo che l’articolo 80, paragrafo 2 deve essere interpretato nel senso che esso non osta ad una normativa nazionale che consente ad un’associazione di tutela degli interessi dei consumatori di agire in giudizio, in assenza di un mandato che le sia stato conferito a tale scopo e indipendentemente dalla violazione di specifici diritti degli interessati, contro il presunto autore di un atto pregiudizievole per la protezione dei dati personali, facendo valere la violazione del divieto di pratiche commerciali sleali, la violazione di una legge in materia di tutela dei consumatori o la violazione del divieto di utilizzazione di condizioni generali di contratto nulle, qualora il trattamento di dati in questione sia idoneo a pregiudicare i diritti riconosciuti da tale regolamento a persone fisiche identificate o identificabili[28].
Da ultimo, a livello meramente procedurale, non esiste ad oggi uno specifico iter di reclamo per i diritti inerenti il D.G.A. presumendosi, in via analogica, l’utilizzo della procedura già vigente per il G.D.P.R. e di cui agli artt. 140 bis a 143 del codice privacy, con cui si disciplina il procedimento innanzi al Garante per la protezione dei dati Personali.
Anche in sede di futura applicazione della procedura di reclamo di cui al D.G.A., a seguito di sua presentazione, si instaurerà un procedimento amministrativo presuntivamente caratterizzato da una fase istruttoria con conseguente emissione di un provvedimento che potrà essere oggetto di impugnazione mediante la proposizione di un ricorso giurisdizionale che sembra rientrare nell’ambito del successivo art. 28 del D.G.A., ed il cui referente normativo attualmente vigente in tema di privacy si può ricercare nell’art. 78 del G.D.P.R. che disciplina il rimedio del ricorso giurisdizionale contro i provvedimenti del Garante per la protezione dei dati personali[29].
Si tratta pertanto di uno strumento di difesa che tanto le persone fisiche quanto quelle giuridiche potranno esperire avverso le decisioni giuridicamente vincolanti formulate nei loro confronti dall’autorità competente.
4.Interconnessioni tra G.D.P.R. e D.G.A. in funzione di tutela dei diritti.
Sin dalla pubblicazione del G.D.P.R., uno degli argomenti maggiormente dibattuti è stato quello relativo ai mezzi di tutela amministrativi e giurisdizionali posti a presidio del diritto alla protezione dei dati personali, focalizzando l’attenzione sia sui contenuti normativi sia sull’effettività dei rimedi[30], in un contesto in cui la protezione dei dati personali deve considerarsi strumento fondamentale anche per consentire il libero sviluppo della personalità individuale mediante l’esercizio incondizionato dei propri diritti, sia a livello nazionale sia, in virtù della globalizzazione dei mercati, a livello comunitario[31].
È dunque il concetto di rimedio, specialmente nella sua spiccata visione giurisdizionale, che diviene discrimen, in materia di dati personali, per garantire effettività ad una disciplina riconducibile sia al G.D.P.R. sia al D.G.A. in funzione di garanzia dell’uniformità della disciplina europea di data protection in tutto il territorio dell’Unione.
Più specificamente i tre principali rimedi invocabili in caso di violazione del diritto sono, come detto, il reclamo all’autorità di controllo (di cui all’art.27 del D.G.A.), il ricorso innanzi a un giudice avverso le decisioni di tale autorità, e il ricorso diretto all’autorità giurisdizionale ordinaria: e ciò sia in sede di disciplina D.G.A che in sede di G.D.P.R[32].
In entrambi gli ambiti si deve evidenziare come i rimedi amministrativi e giurisdizionali previsti si trovino al centro di una rete di interazioni fra i livelli statale ed europeo: si pensi per quanto concerne il G.D.P.R all’istituto dell’autorità di controllo capofila, ai meccanismi di cooperazione (artt. 60, 61 e 62 G.D.P.R.) e quelli di coerenza (artt. 63, 64, 65, 66 e 70 G.D.P.R.) e, sul piano giurisdizionale, al rinvio pregiudiziale alla Corte di Giustizia di cui all’art. 267 TFUE ed ancora al considerando n. 144 G.D.P.R. secondo cui qualora un’autorità giurisdizionale adita per un’azione contro una decisione di un’autorità di controllo abbia motivo di ritenere che le azioni riguardanti lo stesso trattamento, quale lo stesso oggetto relativamente al trattamento da parte dello stesso titolare del trattamento o dello stesso responsabile del trattamento, o lo stesso titolo, siano sottoposte a un’autorità giurisdizionale competente in un altro Stato membro, l’autorità giurisdizionale adita dovrebbe contattare tale autorità giurisdizionale al fine di confermare l’esistenza di tali azioni connesse.
In particolare poi per quanto afferisce al D.G.A., si pensi al considerando 21 ove si evidenzia la necessità di applicazione di tutele adeguate se, nel paese terzo verso il quale vengono trasferiti i dati personali, siano in vigore misure equivalenti che garantiscano che i dati beneficino di un livello di protezione analogo a quello applicabile mediante il diritto dell’Unione, in particolare per quanto riguarda la protezione dei segreti commerciali e dei diritti di proprietà intellettuale; o si pensi ancora al successivo considerando 22, secondo cui “Le decisioni e le sentenze di autorità giurisdizionali o le decisioni di autorità amministrative di paesi terzi che dispongono un tale trasferimento di dati non personali o l’accesso agli stessi dovrebbero avere carattere esecutivo quando sono basate su un accordo internazionale in vigore tra il paese terzo richiedente e l’Unione o un suo Stato membro, ad esempio un trattato di mutua assistenza giudiziaria. Possono in alcuni casi presentarsi situazioni in cui l’obbligo di trasferire i dati non personali, o di fornirvi accesso, derivante dalla normativa di un paese terzo, sia in conflitto con un obbligo concorrente di proteggere tali dati a norma del diritto dell’Unione o nazionale, in particolare per quanto riguarda la protezione dei diritti fondamentali della persona o degli interessi fondamentali di uno Stato membro connessi alla sicurezza nazionale o alla difesa, nonché la protezione dei dati commerciali sensibili e dei diritti di proprietà intellettuale, compresi anche gli obblighi contrattuali in materia di riservatezza conformemente a tale normativa”; ed ancora, alle funzioni assegnate al Comitato europeo per l’innovazione in materia di dati di cui all’art. 29, norme che indubbiamente evidenziano la rilevanza da assegnare al rapporto fra la protezione dei dati personali e il processo di integrazione europea[33].
5.L’effettività della tutela giurisdizionale.
Come già rilevato, ai sensi del considerando 21 del D.G.A, ed in relazione al Paese terzo in cui possano essere trasferiti i dati personali, si evidenzia la necessità di considerare l’applicazione ed esistenza di misure adeguate ed equivalenti che “…garantiscano che i dati beneficino di un livello di protezione analogo a quello applicabile mediante il diritto dell’Unione”, per poi ancora evidenziare la necessità di realizzare un sistema di tutele comprendenti la disponibilità di diritti azionabili e mezzi di ricorso effettivi.
Si è inteso citare il considerando 21 in relazione ai contenuti precettivi di cui all’art. 28 in tema di diritto ad un ricorso giurisdizionale effettivo[34], al fine di rilevare come il diritto degli individui di avvalersi di rimedi giurisdizionali effettivi per la tutela dei propri interessi è, come oramai noto, annoverato tra i diritti inviolabili dell’uomo e sancito dalla maggior parte degli ordinamenti giuridici degli Stati fin dal XIX secolo, trovando trasversalmente esplicito riconoscimento nelle moderne carte costituzionali sia a livello comunitario che internazionale[35], essendo espressione del principio della rule of law e della separazione dei poteri.
Il diritto alla tutela giurisdizionale effettiva[36] deve dunque strettamente collegarsi al monopolio della giurisdizione da parte dell’ordinamento ed al divieto dell’autotutela, divenendo strumento di protezione per l’individuo anche verso forme di abuso di statuale.
Come infatti correttamente rilevato in dottrina[37], il diritto al procedimento giudiziale appare essenzialmente un diritto alla tutela giurisdizionale effettiva: condizione di effettività della tutela è che il risultato del procedimento azionabile da parte del soggetto garantisca l’azionabilità dei diritti materiali di cui questi gode nell’ordinamento.
Dunque la effettività della tutela giurisdizionale viene intesa quale espressione di un diritto del singolo, modellato anche in ragione dell’art. 47 della Carta dei diritti fondamentali e dell’art. 6 e 13 CEDU, suscettibile di produrre conseguenze strutturali sui mezzi di ricorso europei e nazionali proprio in funzione dell’esigenza di garantire al privato un processo “effettivo” ed “equo”.
Oggi tale diritto deve essere analizzato anche a fronte delle disposizioni contenute nel D.G.A., in una dinamica “accentramento-decentramento” del sistema giurisdizionale: il complesso di norme sulla base delle quali si fonda l’ordinamento dell’Unione Europea costituisce un corpus completo ed indipendente rispetto agli ordinamenti giuridici nazionali degli Stati membri, rivolto tanto alle istituzioni ed agli Stati membri quanto, a certe condizioni, ai singoli, tutti titolari, secondo modelli differenti, di obblighi e di posizioni meritevoli di tutela in virtù dell’applicazione di norme di diritto dell’Unione stessa[38].
L’Unione Europea mantiene quindi da un lato una dimensione pubblicistica in cui essa, attraverso le proprie istituzioni, può contrapporsi agli Stati membri nell’ambito di procedure di tipo internazionalistico, ma allo stesso tempo -ed in diversa visione- può operare su un differente livello, incidendo in vario modo sulle posizioni giuridiche soggettive dei privati i quali, nel contesto dell’applicazione delle norme di diritto dell’Unione, si pongono in relazione ora con le istituzioni ora con le autorità pubbliche nazionali ora con altri soggetti privati.
Dunque l’ordinamento comunitario si è dotato a tal fine di un sistema di tutela giurisdizionale[39] costruito secondo un modello di tutela decentrata, che attribuisce l’esercizio del potere giurisdizionale in parte al giudice dell’Unione ed in parte agli Stati membri: tale sistema è così caratterizzato da meccanismi in parte di natura diretta, con riferimento al controllo di tipo accentrato esercitato direttamente dalle istanze giurisdizionali europee, attivato o dai singoli o dalle istituzioni o dagli Stati membri, ed in parte di natura indiretta, con riferimento invece ai procedimenti instaurati dinanzi ai giudici nazionali, cui spetta la soluzione della fattispecie, e nell’ambito dei quali può essere attivato, mediante il ricorso in via pregiudiziale, un controllo indiretto (appunto della Corte di giustizia) che sia d’ausilio al giudice relativamente a questioni di interpretazione o di validità del diritto dell’Unione applicabile.
Orbene, e per i fini che qui interessano, dal punto di vista della posizione del singolo, tale sistema delle competenze dirette si articola su un doppio binario: in primo luogo vi è un controllo esercitato dalla Corte sulla condotta degli Stati membri, che siano eventualmente accusati della violazione di uno degli obblighi su di essi incombenti in forza di una disposizione di diritto dell’Unione, a ciò poi aggiungendosi -in secondo luogo- la competenza giurisdizionale affidata in via esclusiva alla Corte di giustizia, sul controllo sulla legittimità degli atti (o delle condotte omissive) delle istituzioni[40].
Inoltre, a tali azioni dirette ad attivare la competenza della Corte quanto al controllo della legalità degli atti delle istituzioni, si aggiunge anche il diritto del singolo a presentare ricorso per il risarcimento dei danni, nell’ipotesi in cui l’azione di un’istituzione o di uno dei suoi agenti nell’esercizio delle funzioni ad essi attribuite determini un grave pregiudizio[41].
In conclusione, al di fuori delle azioni direttamente proponibili dinanzi al giudice europeo, i soggetti interessati all’applicazione di una norma di diritto dell’Unione potranno rivolgersi ai giudici nazionali, qualificati come giudici comuni di diritto dell’Unione, invocando direttamente o indirettamente la tutela giurisdizionale della posizione giuridica di cui essi siano titolari in forza dell’applicazione di quella norma.
È altrettanto chiaro che la maggior parte delle situazioni giuridiche soggettive create dal diritto dell’Unione e, dunque, anche dal D.G.A., trovino rilevanza sul piano interno mediante il riconoscimento di una tutela giurisdizionale da invocare innanzitutto dinanzi al giudice nazionale, avente l’obbligo di assicurare un’applicazione corretta delle norme di diritto dell’Unione, essendo questi (ai sensi della Risoluzione del Parlamento europeo del 9 luglio 2008, Ruolo del giudice nazionale nel sistema giudiziario europeo (2007/2027(INI))[42] “…l’elemento centrale del sistema giudiziario dell’Unione europea e svolgono un ruolo fondamentale e imprescindibile per la creazione di un ordinamento giuridico unico europeo…”, anche nel senso di un maggiore coinvolgimento e di una maggiore responsabilizzazione dei giudici nazionali nell’attuazione del diritto dell’Unione.
Va da sé che il principio di effettività porta a due conseguenze: da un lato le regole processuali nazionali devono garantire alle posizioni giuridiche attribuite dal diritto dell’Unione gli stessi rimedi giurisdizionali offerti per la tutela delle posizioni analoghe conferite dal diritto interno, ma (seconda conseguenza) dovranno anche essere tali da non rendere praticamente impossibile o eccessivamente difficile l’esercizio dei diritti conferiti dall’ordinamento dell’Unione essendo espressione, secondo alcuni autori, di un meccanismo denominato “effetto utile dell’effetto diretto” poiché l’autonomia procedurale degli Stati membri “trova un limite esterno nell’esigenza di garantire l’effettività delle norme del diritto comunitario sostanziale”[43].
6.Dalla tutela giurisdizionale al diritto ad un ricorso effettivo.
Al fine di approfondire la tematica inerente il riconoscimento del diritto ad un ricorso effettivo, non può non ricordarsi la rilevanza della Carta dei diritti fondamentali dell’Unione europea (Carta di Nizza), ora posta sullo stesso piano delle altre fonti di diritto primario ed ove le relative sue disposizioni hanno acquisito carattere cogente al pari delle norme dei Trattati.
Vi è così una chiara correlazione di contenuti precettivi tra l’art.19 del TUE, secondo cui “Gli stati membri stabiliscono i rimedi giurisdizionali necessari per assicurare una tutela giurisdizionale effettiva bei settori disciplinati dal diritto dell’Unione” (ed utilizzato come mezzo per integrare il sistema dei rimedi giurisdizionali previsti nei Trattati[44]), e l’articolo 47 della Carta ove si afferma con chiarezza il diritto ad un ricorso effettivo dinanzi ad un giudice: esso diviene espressione dell’efficacia giuridica vincolante della medesima Carta e dunque consente di ricondurre direttamente alle previsioni di tale norme i contenuti e la portata del principio di tutela giurisdizionale effettiva, offrendo altresì ai singoli la possibilità di invocare direttamente la violazione di tale norma quale motivo di ricorso dinanzi al giudice nazionale come dinanzi al giudice dell’Unione, qualora si ritengano lesi nei diritti in essa contenuti per l’effetto dell’applicazione di una norma o una misura di un’autorità nazionale oppure europea che rientri nell’ambito di applicazione del diritto dell’Unione.
Orbene, il diritto a un ricorso effettivo e ad un giudice imparziale di cui all’art. 47 Carta di Nizza è già stato attuato dall’art. 152 decreto legislativo 30 giugno 2003 n. 196 con l’attribuzione all’autorità giudiziaria ordinaria delle controversie concernenti la data protection.
E non a caso poniamo in collegamento la normativa in tema di tutela della privacy e Carta di Nizza in quanto in essa vengono recepiti alcuni principi che erano stati in precedenza sanciti dalla Direttiva 95/46/CE e dagli artt. 7 e 8 della Carta, dimostrando come la tutela dei dati personali sia un diritto fondamentale ed autonomo, non riconducibile ad un mero aspetto della vita privata[45].
Anche in tema di tutela giurisdizionale e di sua effettività, si evidenzia ancora una volta lo stridente parallelismo tra il G.D.P.R. ed il D.G.A.[46], caratterizzati da norme analoghe: si pensi infatti ai contenuti dell’art. 79 del regolamento (UE) 2016/679, ove si prevede che l’interessato possa proporre un ricorso giurisdizionale qualora reputi di avere subito, a seguito dell’attività di trattamento, una lesione del diritto alla protezione dei dati personali, mediante l’introduzione di una ordinaria azione civile.
Ed ancora si pensi all’art. 82 G.D.P.R., secondo cui chi ha subito un danno materiale o immateriale cagionato da una violazione del regolamento ha diritto al risarcimento da parte del titolare o del responsabile del trattamento, spettando tuttavia all’interessato di provare l’evento dannoso, il pregiudizio
subìto per effetto del trattamento dei suoi dati personali e il nesso causale con l’attività di trattamento.
Ecco dunque che il G.D.P.R. può divenire il parametro normativo più vicino al D.G.A. in funzione di una sua futura interpretazione ed applicazione.
[1] POLETTI D., Gli intermediari dei dati, Data Intermediaries, in EJPLT, 2022, 46.
[2] Il riferimento è chiaramente al noto Regolamento Europeo UE 2016/679 (c.d. G.D.P.R.), con cui si sono poste le basi di una nuova digital economy, e la cui applicazione territoriale a livello comunitario è dipesa dall’applicazione congiunta “…di una serie di criteri non solo geografici, ma anche logici e di destinazione delle attività svolte dal titolare o dal responsabile del trattamento… L’applicazione territoriale varia in base alla tipologia del trattamento considerata nel caso specifico … Pertanto, rispetto al medesimo titolare oresponsabile, diverse tipologie di trattamento possono determinare esiti diversi in merito all’applicazione territolriale del Regolamento” (in tal senso in dottrina, Bolognini – Pellino, Ambito di applicazione del Regolamento, in Il Regolamento privacy europeo, Commentario alla nuova disciplina dei dati personali, Milano, 2016, 2 e ss.).
[3] Zeno Zencovich V., Do “data markets” exist?, in Media Laws, 2019, 2, 22 ss. sul tema delle relazioni tra G.D.P.R. e D.G.A., Bravo F., Intermediazione di dati personali e servizi di data sharing dal GDPR al Data Governance Act, in Contratto e impresa Europa, 1/2021 199 e ss.
[4] Comunicazione della Commissione europea del 19 febbraio 2020, intitolata «Una strategia europea per i dati» [COM(2020)86 final].
[5] Tranquilli S., Il nuovo citoyen européen nell’epoca del Data governance act, in Rivista di Digital Politics, 1-2, 2022, 180.
[6] Nella dotrtrina d’oltralpe, sul tema si richiama CASSAR B., Gouvernance des données, répertoire IP/IT et Communication, Dalloz, mars 2022. Sul tema cfr. altresì MOUSSIER P., Les conséquences pour les personnes publiques du Data Governance Act.International Journal of Digital and Data Law/Revue internationale de droit des données et du numérique, 2023, 9, 57-72.
[7] MUSELLA F., Amministrazione 5.0, in Rivista di Digital Politics, 2021, 95 e ss.
[8] BRAVO F., Intermediazione di dati personali e servizi di data sharing dal GDPR al Data Governance Act, in Contratto e Impresa Europa, 1/2021 208.
[9] Sul punto, ed anticipando successivi richiami, risulta opportuno citare il consdeirando 77 del Regolamento (UE) 2023/2854 del Parlamento europeo e del Consiglio, del 13 dicembre 2023 (cd. “Data Act) ove, mediante un richiamo esplicito agli esempi citati, viene disposto che “Per gestire un’emergenza pubblica transfrontaliera o a un’altra necessità eccezionale, le richieste di dati possono essere rivolte ai titolari dei dati in Stati membri diversi da quello dell’ente pubblico richiedente. In tal caso, l’ente pubblico richiedente dovrebbe notificare l’autorità competente dello Stato membro in cui il titolare dei dati è stabilito al fine di consentirle di esaminare la richiesta alla luce dei criteri stabiliti nel presente regolamento”.
[10] Ci permettiamo di citare il nostro ultimo contributo sul tema: Il manierismo consumerista nell’era digitale. L’identità digitale, la sua patrimonializzazione ed il possibile abbandono della figura del consumatore, in Judicium, 2023/07. Altresì, ex multis sul tema, Zeno Zencovich V., (voce) Cosa, in Dig. IV, disc. priv., sez. civ., 1990, spc. par. 13; Id., Sull’informazione come bene (e sul metodo del dibattito giuridico), in Riv. crit. dir. priv., 1999, 485 ss.; Messinetti R., Circolazione dei dati personali e dispositivi di regolazione dei poteri individuali, in Riv. crit. dir. priv., 1998, 339 ss.; Resta G., L’appropriazione dell´ immateriale. Quali limiti?, in Dir. inf., 2004, 1, 21-48; Bravo F., Lo “scambio di dati personali” nella fornitura di servizi digitali ed il consenso dell’interessato tra autorizzazione e contratto, in Contratto e impresa, 2019, 257.
[11] Ai sensi dell’articolo 5 del Regolamento (Condizioni per il riutilizzo) “1.Gli enti pubblici che, a norma del diritto nazionale, hanno facoltà di concedere o negare l’accesso per il riutilizzo di una o più delle categorie di dati di cui all’articolo 3, paragrafo 1, rendono pubbliche le condizioni per consentire tale riutilizzo nonché la procedura di richiesta del riutilizzo attraverso lo sportello unico di cui all’articolo 8. Qualora concedano o neghino l’accesso per il riutilizzo, possono essere assistiti dagli organismi competenti di cui all’articolo 7, paragrafo 1.Gli Stati membri garantiscono che gli enti pubblici siano dotati delle necessarie risorse per conformarsi al presente articolo. 2. Le condizioni per il riutilizzo sono non discriminatorie, trasparenti, proporzionate e oggettivamente giustificate in relazione alle categorie di dati e alle finalità del riutilizzo e alla natura dei dati per i quali è consentito il riutilizzo. Tali condizioni non sono utilizzate per limitare la concorrenza”.
[12] In questo caso, la dottrina ha parlato di “corporate philantropy”, con il quale si indica anche la condivisione di competenze e risorse per condurre analisi e divulgare i risultati per un uso più ampio. In tal senso, CALOPRISCO F., Data Governance Act. Condivisione e “altruismo” dei dati, in Post di AISDUE, III, aisdue.eu Focus “Servizi e piattaforme digitali”, n. 3, 2021, 60, ed invi più ampi richiami.
[13] Il data altruism è definito dall’articolo 2 quale “il consenso accordato dagli interessati al trattamento dei dati personali che li riguardano, o le autorizzazioni di altri titolari dei dati volte a consentire l’uso dei loro dati non personali senza la richiesta di un compenso, per finalità di interesse generale, quali la ricerca scientifica o il miglioramento dei servizi pubblici”. Per contribuire allo sviluppo di pool di dati messi a disposizione su base altruistica, il D.G.A. prevede misure per facilitare la circolazione dei dati per fini altruistici ed istituisce un registro per le organizzazioni che si dedicano a tali utilizzi altruistici, corredato da misure per il monitoraggio e la vigilanza. Inoltre, prevede l’introduzione di un modulo di consenso europeo per l’altruismo dei dati per la concessione e la revoca del consenso.
[17] Si pensi al caso Lumeria o al caso Weople (entrambi richiamati da Bravo, op. cit., 215 e ss.), ove nella prima ipotesi l’azienda forniva tra i propri servizi alle persone fisiche strumenti per proteggere e condividere i propri dati personali, agendo in nome e per conto dei singoli interessati, quale loro rappresentante, al fine di proteggere i loro dati personali ed estrarre valore da tali dati, che venivano memorizzati in appositi database, creando dei “superprofili” con grandi quantità di dati (big data), appetibili per le società interessate ad attingervi per finalità di marketing e, nella seconda ipotesi, l’azienda si propone di costituire la prima Banca per investire e recuperare valore dai dati, proteggerli ed azionare i diritti connessi alla privacy.
[18] Caloprisco F., Data Governance Act. Condivisione e “altruismo” dei dati, cit., 73, rileva infatti che “Le autorità competenti incaricate del monitoraggio e dell’attuazione del quadro di notifica per i fornitori di servizi di condivisione dei dati e per gli enti che praticano l’altruismo dei dati sono nominate dagli Stati membri (Capo V della proposta). Le autorità avranno il potere di monitorare il rispetto del regolamento stesso, di imporre sanzioni finanziarie “dissuasive” e di “richiedere la cessazione o il rinvio” della fornitura del servizio. I titolari dei diritti in questione possono presentare un reclamo all’autorità nazionale competente nei confronti di un fornitore di servizi di condivisione dei dati o di un’entità iscritta nel registro in parola. Peraltro, gli intermediari saranno sottoposti a un obbligo di notifica per accrescere la fiducia consentendo un monitoraggio sui requisiti per l’esercizio delle funzioni condotto delle autorità nazionali competenti. Relativamente alla sicurezza, la proposta indica di implementare tutte le misure, inclusa la cifratura, per impedire l’accesso ai sistemi in cui sono conservati i dati”.
[19] In tal senso Tommasi S., Digital Services act e Artificial Intelligence act: tentativi di futuro da armonizzare, in Persona e Mercato, 2023/2, 280.
[20] Il Data Act modifica il Regolamento (UE) 2017/2394 e la Direttiva (UE) 2020/1828, con l’obbiettivo di dare più potere ai consumatorie alle aziende, permettendo loro di influenzare l’uso dei dati generati dai prodotti realizzati dalle imprese e utilizzati dai consumatori stessi.
[21] Ai sensi dell’articolo 20 del Data Act “I titolari dei dati diversi dalle microimprese e piccole imprese mettono a disposizione a titolo gratuito i dati necessari per rispondere a un’emergenza pubblica … Il titolare dei dati ha diritto a un compenso equo per la messa a disposizione dei dati al fine di soddisfare una richiesta presentata a norma dell’articolo 15, paragrafo 1, lettera b). Tale compenso copre i costi tecnici e organizzativi sostenuti per soddisfare la richiesta, compresi, se del caso, i costi di anonimizzazione, pseudonimizzazione, aggregazione e di adattamento tecnico, e un margine ragionevole”.
[22] Non può non ricordarsi, a titolo di esempio, che ai sensi del considerando 75 del Data Act “Quando è in gioco la salvaguardia di un bene pubblico significativo, come la risposta a emergenze pubbliche, l’ente pubblico, la Commissione, la Banca centrale europea o l’organismo dell’Unione interessato non dovrebbe essere tenuto a versare un compenso alle imprese per i dati ottenuti. Le emergenze pubbliche sono eventi rari e non tutte richiedono l’utilizzo di dati in possesso delle imprese. Allo stesso tempo, l’obbligo di fornire dati potrebbe costituire un onere considerevole per le microimprese e le piccole imprese, che dovrebbero pertanto poter chiedere un compenso anche nel contesto di una risposta a un’emergenza pubblica … Il compenso non dovrebbe intendersi come un pagamento per i dati stessi o come obbligatorio. I titolari dei dati non dovrebbero poter chiedere un compenso qualora il diritto nazionale impedisca agli istituti nazionali di statistica o ad altre autorità nazionali responsabili della produzione di statistiche di compensare i titolari dei dati per la messa a disposizione dei dati”. Mentre ai sensi dell’articolo 9, “Il compenso concordato tra il titolare dei dati e il destinatario dei dati per la messa a disposizione dei dati nelle relazioni tra imprese è non discriminatorio e ragionevole e può includere un margine”.
[23] Con il “Parere ai sensi del ai sensi dell’art. 110 del Codice e dell’art. 36 del Regolamento – 30 giugno 2022”, Registro dei provvedimenti n. 238, il Garante è intervenuto sul tema del trattamento anche ulteriore dei dati a scopo di ricerca su istanza dell’Azienda Ospedaliera Universitaria Integrata di Verona in relazione ad uno studio osservazionale, sia prospettico che retrospettivo, di tipo non farmacologico – già oggetto di valutazione di impatto ai sensi dell’art. 35 del GDPR e di parere favore del competente comitato etico – volto alla creazione di una banca dati per la conduzione di futuri studi nel settore delle patologie del distretto toracico. In particolare, oltre ad una prima e ben definita finalità relativa alla creazione della banca dati, lo studio prevedeva la realizzazione di nove futuri “ambiti di indagine”, progetti di ricerca allo stato non ancora definiti e privi di un protocollo di riferimento. I relativi trattamenti, anche quelli che sarebbero realizzati nell’ambito dei futuri studi di ricerca, venivano legittimati dall’istante sulla base del consenso raccolto nella fase iniziale dello studio – salvo ciò risultasse impossibile o eccessivamente difficoltoso – ritenendo l’Azienda ospedaliera che il trattamento futuro fosse in ogni caso compatibile con la finalità della prima raccolta (la costituzione della banca dati) e dunque lecito in presenza della sola e successiva approvazione del protocollo da parte del competente comitato etico. Con specifico riferimento alla raccolta retrospettiva dei dati, l’istante rappresentava che la quasi totalità dei pazienti (90%) era deceduta o comunque risultava essere irreperibile, con conseguente impossibilità di informativa individuale e raccolta del relativo consenso al trattamento dei dati. Su questo punto il Garante ha rilasciato parere favore ai sensi dell’articolo 110 del Codice Privacy ai fini della costituzione della banca dati. Con riferimento invece all’utilizzo dei dati raccolti nell’ambito dei futuri studi di ricerca, ancora privi di un protocollo, il Garante ha in primo luogo escluso la compatibilità di tale finalità con quelle originarie di raccolta dei dati. Inoltre, ha precisato che sebbene il GDPR, Considerando n. 33, riconosca che “in molti casi non è possibile individuare pienamente la finalità del trattamento dei dati personali a fini di ricerca scientifica al momento della raccolta dei dati” e che dunque “gli interessati dovrebbero avere la possibilità di prestare il proprio consenso soltanto a determinati settori di ricerca o parti di progetti di ricerca nella misura consentita dalla finalità prevista”, ciò non permette in ogni caso di derogare ai ben noti principi di specificità e granularità del consenso.
[24] Art. 77: “1. Fatto salvo ogni altro ricorso amministrativo o giurisdizionale, l’interessato che ritenga che il trattamento che lo riguarda violi il presente regolamento ha il diritto di proporre reclamo a un’autorità di controllo, segnatamente nello Stato membro in cui risiede abitualmente, lavora oppure del luogo ove si è verificata la presunta violazione. 2. L’autorità di controllo a cui è stato proposto il reclamo informa il reclamante dello stato o dell’esito del reclamo, compresa la possibilità di un ricorso giurisdizionale ai sensi dell’articolo78”.
[25] In dottrina, cfr., GIORDANO R., La tutela amministrativa e giurisdizionale dei dati personali, in Cuffaro V., D’Orazio R. e Ricciuto V., I dati personali nel diritto europeo, Torino, 1001–1016.
[26] Omologa disposizione si rinviene altresì nell’articolo 38 del Data Act ai sensi del quale “Fatto salvo ogni altro ricorso amministrativo o giudiziario, le persone fisiche e giuridiche che ritengano che i loro diritti a norma del presente regolamento siano stati violati hanno il diritto di presentare un reclamo individuale o, se opportuno, collettivo alla pertinente autorità competente dello Stato membro in cui risiedono abitualmente, lavorano o sono stabilite. Su richiesta, il coordinatore dei dati fornisce tutte le informazioni necessarie alle persone fisiche e giuridiche per presentare i loro reclami all’autorità competente appropriata”.
[27] Sentenza della Corte (Terza Sezione) del 28 aprile 2022, domanda di pronuncia pregiudiziale proposta dal Bundesgerichtshof – Germania) – Meta Platforms Ireland Limited, già Facebook Ireland Limited/Bundesverband der Verbraucherzentralen und Verbraucherverbände -Verbraucherzentrale Bundesverband e.V., in eur-lex.europa.eu/legal-content/IT/TXT/PDF/?uri=CELEX:62020CA0319&from=EN.
[28] La vicenda sottoposta alla CGUE ha avuto origine dalla creazione di un’applicazione denominata “App-Zentrum” da parte della società Meta Platforms Ireland (“Società”), finalizzata ad offrire giochi gratuiti agli utenti di social network. La suddetta App consentiva l’acquisizione di dati personali e, non solo, di procedere alla pubblicazione degli stessi a seconda delle vincite e dei punteggi totalizzati da parte degli utenti. Sul punto, l’Unione federale (“Unione”) – associazione dei consumatori tedesca – ravvisava che le informazioni fornite agli utenti non fossero in conformità con quanto disciplinato dalla normativa sulla protezione dei dati e su quella a tutela del consumatore. In particolare, l’Unione sosteneva che il consenso non fosse validamente acquisito, oltre che le informazioni fossero da ritenersi sleali nei confronti dei consumatori. Pertanto, l’Unione federale proponeva azione inibitoria di fronte al Tribunale del Land di Berlino contro la Società, pur in assenza di una violazione concreta del diritto alla tutela dei dati di un interessato e di un mandato a lui conferito. Sul punto, il giudice del rinvio in Cassazione, di fronte al quale è stato proposto ricorso contro la sentenza di accoglimento dell’azione, dubitava circa la ricevibilità dell’azione dell’Unione, nei termini di legittimazione attiva ad agire, alla luce dell’applicazione degli artt. 80, paragrafi 1 e 2, nonché dell’art. 84, paragrafo 1 del GDPR, e, pertanto, agiva di fronte alla CGUE su rinvio pregiudiziale.
[29] Sorrentino, Il controllo del garante per la protezione dei dati personali e l’autorità giudiziaria secondo le più recenti norme eurounitarie, in QuestioneGiustizia.it, 15 febbraio 2018. In generale sui rimedi giurisdizionali esperibili avverso gli atti delle Authorities vedi: Sanino, La tutela giurisdizionale nei confronti degli atti delle autorità indipendenti, Padova, 2019; Manfrellotti R., Autorità indipendenti e giurisdizione esclusiva del giudice ordinario, in Rassegna di diritto pubblico europeo. Autorità indipendenti e tutela giurisdizionale nella crisi dello Stato, n. 1- 2/2015, 155 e ss.
[30] CALZOLAIO S., FEROLA L., FIORILLO V., ROSSI E.A., TIMIANI M., La responsabilità e la sicurezza del trattamento, in Innovazione tecnologica e valore della persona. Il diritto alla protezione dei dati personali nel Regolamento UE 2016/679, Califano L., Colapietro C. (a cura di), Napoli, 2017, 137.
[31] PARODO F., La tutela del diritto alla protezione dei dati personali: l’effettività dei rimedi e il ruolo nomofilattico del Comitato europeo per la protezione dei dati personali, in Federalismi.it, 2021, 109.
[32] GIORDANO R., La tutela amministrativa e giurisdizionale dei dati personali, in I dati personali nel diritto europeo, Cuffaro V., D’Orazio R., Ricciuto V. (a cura di), Torino, 2019, 1001 e 1011. Si veda anche CANDINI A., Gli strumenti di tutela, in Il nuovo regolamento europeo sulla privacy e sulla protezione dei dati personali, Finocchiaro G. (a cura di), Torino, 2017, 570.
[34] Articolo 28 “1.Fatti salvi eventuali ricorsi amministrativi o altri ricorsi extragiudiziali, le persone fisiche e giuridiche interessate hanno diritto a un ricorso giurisdizionale effettivo per quanto riguarda le decisioni giuridicamente vincolanti di cui all’articolo 14 adottate dalle autorità competenti per i servizi di intermediazione dei dati nell’ambito della gestione, del controllo e dell’applicazione del regime di notifica per i fornitori di servizi di intermediazione dei dati e le decisioni giuridicamente vincolanti di cui agli articoli 19 e 24 adottate dalle autorità competenti per la registrazione delle organizzazioni per l’altruismo dei dati nell’ambito del monitoraggio delle organizzazioni per l’altruismo dei dati riconosciute. 2. I procedimenti a norma del presente articolo sono presentati dinanzi agli organi giurisdizionali dello Stato membro dell’autorità competente per i servizi di intermediazione dei dati o l’autorità competente per la registrazione delle organizzazioni per l’altruismo dei dati contro cui è mosso il ricorso giurisdizionale individualmente o, se del caso, collettivamente dai rappresentanti di una o più persone fisiche o giuridiche. 3. Se un’autorità competente per i servizi di intermediazione dei dati o l’autorità competente per la registrazione delle organizzazioni per l’altruismo dei dati non dà seguito a un reclamo, le persone fisiche e giuridiche interessate, conformemente al diritto nazionale, hanno diritto a un ricorso giurisdizionale effettivo o hanno accesso al riesame da parte di un organo imparziale dotato delle competenze adeguate.” Norma omologa risulta essere contenuta nel Data Act, all’articolo 39.
[35]Ex multis sul tema, nella letteratura internazionale, cfr. BYRNES A. (a cura di), The right to fair trial in international and comparative perspective, Hong Kong, 1997.
[36] CAPPELLETTI M., GARTH B., Access to justice. A world survey, Milano, 1978, vol. I, 6 ss.
[37] ALEXY R., A theory of consitutional rights, Oxford, 2002, 315 ss.
[38] Sul tema, amplius, MASTROIANNI R., Il Trattato di Nizza ed il riparto di competenze tra le istituzioni giudiziarie comunitarie, in Dir. Unione eur., 2001, 774, TIZZANO A., La Cour de Justice après Nice: le transfert de compétences du Tribunal de priemière instance, in Dir. Unione eur., 2002, 597 e CONDINANZI M., Commento art. 225, in TIZZANO A. (a cura di), Trattato sull’Unione europea e della Comunità europea, Milano, 2004, 1034.
[39] Sul tema, nella letteratura internazionale cfr. DE BÙRCA G., WEILER JHH (a cura di), The European Court of Justice, Oxford, 2001; JOHNSTON A., Judicial reform and the Treaty of Nice, in Com. mark. law rev., 2001, 499; KAPTEYN P.J.G., Reflections on the future of the judicial system of the European Union after Nice, in Year. eur. law, 2001, 173.
[40] In relazione a tale competenza, il singolo beneficia della possibilità di ottenere, a certe condizioni, la tutela della propria posizione giuridica, che egli consideri pregiudicata in ragione della condotta di un’istituzione che abbia adottato un atto ovvero abbia mancato di adottare un atto che avrebbe avuto l’obbligo di adottare, che appaia incompatibile con il diritto dell’Unione.
[41] L’obbligo dell’Unione di risarcire i danni cagionati dalle sue istituzioni o dai suoi agenti è espressamente sancito dal trattato, rappresenta la manifestazione della responsabilità extracontrattuale dell’Unione e costituisce espressione di un principio generale comune agli Stati membri.
[43] Così GALETTA D.U., L’autonomia procedurale degli Stati membri dell’Unione europea: paradise lost, Torino, 2009, 21.
[44] In tal senso, BARTOLINI M.E., La natura poliedrica del principio di tutela giurisdizionale effettiva ai sensi dell’art. 19, par.1 del TUE, in Il Diritto dell’Unione Europea, 2, 2019, 245 e ss.
[45] BATTAGLIA E., DI FEDERICO G., La Carta dei diritti e la tutela della riservatezza, in Carta dei diritti fondamentali e Costituzione dell’Unione europea, a cura di Rossi L.S., Milano, 2002, 220 e 221.
[46] Sul tema cfr. CANDINI A., Gli strumenti di tutela, in Il nuovo regolamento europeo sulla privacy e sulla protezione dei dati personali, G. Finocchiaro (a cura di), Torino, 2017, 570; GIORDANO R., La tutela amministrativa e giurisdizionale dei dati personali, in I dati personali nel diritto europeo, V. Cuffaro, R. D’Orazio, V. Ricciuto (a cura di), Torino, 2019, 1001 e 1011.
