Trattamento dei Dati Personali e Responsabilità del Provider

INTERNET SERVICE PROVIDER

L’espressione anglosassone “internet service provider” (comunemente abbreviata in “ISP” o in “provider”) viene tradotta in italiano come “fornitore di servizi all’interno della società dell’informazione”. Si considerano ISP i soggetti che esercitano un’attività di prestatore di servizi della società dell’informazione, offrendo connessione, trasmissione e immagazzinamento dei dati, ovvero ospitando un sito sulle proprie apparecchiature o ancora una struttura commerciale o un’organizzazione che offre agli utenti, dietro la stipulazione di un contratto, la fornitura di prodotti inerenti Internet, i principali dei quali sono l’accesso alla rete e la posta elettronica.

TIPOLOGIE DI INTERNET SERVICE PROVIDER

A tal riguardo la disciplina contenuta tanto nella Direttiva 2000/31([1]) “relativa a taluni aspetti giuridici dei servizi della società dell’informazione, in particolare il commercio elettronico, nel mercato interno – Direttiva sul commercio elettronico” quanto nel D. Lgs. 70/2003([2]) “attuazione della direttiva 2000/31/CE relativa a taluni aspetti giuridici dei servizi della società dell’informazione, in particolare il commercio elettronico, nel mercato interno”, hanno individuato quattro attività tipiche del fornitore di servizi: “semplice trasporto – mere conduit”, “memorizzazione temporanea – caching” ed infine “hosting”.

Il legislatore ha sottolineato l’assenza di un obbligo generale di monitoraggio dei contenuti, affermando una responsabilità, nel caso di attività di hosting, qualora quest’ultimo “non sia effettivamente a conoscenza del fatto che l’attività o l’informazione è illecita e, per quanto attiene ad azioni risarcitorie, non sia al corrente di fatti o di circostanze che rendono manifesta l’illiceità dell’attività o dell’informazione; non appena a conoscenza di tali fatti, su comunicazione delle autorità competenti, agisca immediatamente per rimuovere le informazioni o per disabilitarne l’accesso”.

IL TRATTAMENTO DEI DATI PERSONALI

All’interprete del diritto viene spesso domandato come debba essere inquadrato un fornitore di servizi nell’ottica di un trattamento di dati personali anche alla luce delle recenti normative in ambito privacy: il GDPR (Regolamento europeo 679/2016)([3]) ed il “nuovo” Codice della privacy([4]). Nell’esercizio delle proprie mansioni, il fornitore di servizi, indipendentemente dal tipo di attività che ricopre (ovviamente il fornitore che esercita un’attività hosting provider, memorizzando i dati, potrebbe avere la possibilità di effettuare trattamenti più complessi per modalità e finalità rispetto a chi presta un servizio di mere conduit) si ritrova molto spesso a trattare dati raccolti dal soggetto che richiede la fornitura di tali servizi, ovvero di terzi.

Partendo quindi dalla definizione di trattamento di cui all’articolo 4 del Regolamento 679/2016 intesa come “qualsiasi operazione o insieme di operazioni, compiute con o senza l’ausilio di processi automatizzati e applicate a dati personali o insiemi di dati personali, come la raccolta, la registrazione, l’organizzazione, la strutturazione, la conservazione, l’adattamento o la modifica, l’estrazione, la consultazione, l’uso, la comunicazione mediante trasmissione, diffusione o qualsiasi altra forma di messa a disposizione, il raffronto o l’interconnessione, la limitazione, la cancellazione o la distruzione” risulta importante sottolineare che un fornitore di servizi, nell’ambito dell’esercizio delle proprie mansioni, oltre a trattare dati personali in qualità di titolare del trattamento (per tutti i trattamenti di cui definisce le finalità e modalità) potrà trovarsi, in un rapporto di responsabilità del trattamento, a trattare dati per conto del soggetto che gli commissiona la fornitura dei servizi.

LA RESPONSABILITÀ DEL TRATTAMENTO DI DATI PERSONALI

Il fornitore di servizi, in qualità di responsabile, dovrà quindi trattare dati personali soltanto su istruzione documentata del titolare del trattamento, ossia del soggetto che richiede la fornitura di tali servizi. A tal riguardo, i trattamenti effettuati da parte di un responsabile del trattamento devono essere disciplinati da un contratto o da altro atto giuridico a norma del diritto dell’Unione o degli Stati membri, che vincoli il responsabile al titolare e che definisca la materia disciplinata e la durata del trattamento, la natura e la sua finalità, il tipo di dati personali e le categorie di interessati, gli obblighi e i diritti del titolare del trattamento. Il contratto o altro atto giuridico deve prevedere, in particolare, che il responsabile del trattamento:

  • tratti i dati personali soltanto su istruzione documentata del titolare del trattamento, anche in caso di trasferimento di dati personali verso un paese terzo o un’organizzazione internazionale, salvo che lo richiedano le norme dell’Unione o della nazionale cui è soggetto il responsabile del trattamento; in tal caso, il responsabile del trattamento informa il titolare circa tale obbligo giuridico prima del trattamento, a meno che il diritto vieti tale informazione per rilevanti motivi di interesse pubblico;
  • garantisca che le persone autorizzate al trattamento dei dati personali si siano impegnate alla riservatezza o abbiano un adeguato obbligo legale di riservatezza;
  • adotti tutte le misure richieste ai sensi dell’articolo 32 del GDPR;
  • rispetti le condizioni per ricorrere a un altro responsabile del trattamento;
  • tenendo conto della natura del trattamento, assista il titolare del trattamento con misure tecniche e organizzative adeguate, nella misura in cui ciò sia possibile, al fine di soddisfare l’obbligo del titolare del trattamento di dare seguito alle richieste per l’esercizio dei diritti dell’interessato;
  • assista il titolare del trattamento nel garantire il rispetto degli obblighi di cui agli articoli da 32 a 36 del GDPR, tenendo conto della natura del trattamento e delle informazioni a disposizione del responsabile del trattamento;
  • su scelta del titolare del trattamento, cancelli o gli restituisca tutti i dati personali dopo che è terminata la prestazione dei servizi relativi al trattamento e cancelli le copie esistenti, salvo che il diritto dell’Unione o degli Stati membri preveda la conservazione dei dati;
  • metta a disposizione del titolare del trattamento tutte le informazioni necessarie per dimostrare il rispetto degli obblighi e consenta e contribuisca alle attività di revisione, comprese le ispezioni, realizzati dal titolare del trattamento o da un altro soggetto da questi incaricato.

LA RESPONSABILITÀ (ESTERNA)

Come già anticipato, i trattamenti effettuati da parte di un responsabile del trattamento sono disciplinati da un contratto o da altro atto giuridico a norma del diritto dell’Unione o degli Stati membri.

Risulta quindi di fondamentale importanza sottolineare che l’atto volto a disciplinare il rapporto di responsabilità esterna tra soggetto che richiede la fornitura dei servizi ed il fornitore di questi, deve essere un contratto o comunque un atto giuridico che vincoli il responsabile.

Il contratto rientra nella fattispecie di negozio giuridico ossia un atto umano consapevole e volontario, consistente in una manifestazione di volontà e produttivo di effetti giuridici. Un contratto, secondo la dottrina prevalente, si particolareggia nello schema proposta accettazione.

Per proposta si intende un atto unilaterale recettizio che produce i suoi effetti dal momento in cui la controparte ne giunge a conoscenza. Anche l’accettazione è un atto unilaterale recettizio mediante il quale la controparte manifesta la volontà di aderire o meno all’altrui proposta.

Si assiste purtroppo molto spesso alla prassi di considerare il contratto di designazione a responsabile del trattamento come un atto unilaterale, di natura recettizia, tale per cui la nomina è redatta dal titolare ed imposta al responsabile. Questa impostazione è evidentemente del tutto errata.

In primo luogo bisogna considerare che parte della dottrina e della giurisprudenza afferma un principio di tipicità degli atti unilaterali, mentre in seconda istanza in tema di contratti con obbligazioni del solo proponente, la giurisprudenza ritiene che l’art. 1333 c.c. sia applicabile anche ai contratti con effetti traslativi da una sola parte, a condizione che si tratti di attribuzioni traslative che non comportino alcun onere od obbligo a carico del beneficiario; la presenza di un pregiudizio anche solo potenziale impone la necessaria accettazione del destinatario (cfr, inter alia, Cassazione civile sez. II, 18/06/2018, n.15997).

Nessun atto di nomina imposto dunque, ma un accordo tra le parti. Da chi deve essere redatto? Abbiamo assistito a varie prassi, ma nella realtà non esiste una regola scritta definita; potrà dunque essere proposto indifferentemente dal titolare o dal responsabile. Per quanto riguarda gli ISP, bisogna valutare caso per caso. Un hosting con un numero limitato di clienti di alto profilo, che effettuano un trattamento di dati particolari, potrebbero pacificamente negoziare ogni singolo contratto, ovvero richiedere ai propri clienti delle bozze da cui partire, mentre hosting con numerosi clienti di piccole dimensioni, senza trattamenti a rischio, ben potrebbero proporre uno o più testi standard, sui quali chiedere un’accettazione anche mediante flagbox.

RIFLESSIONI FINALI

Ciascun fornitore di servizi dovrà quindi prestare estrema attenzione all’atto con cui viene disciplinato il rapporto di responsabilità esterna in modo da poter definire i limiti del perimetro di un trattamento lecito, nonché tutti gli aspetti legati all’ambito di responsabilità legale connessa a tale accordo.

Appare altresì consigliabile la revisione del contratto che istituisce il rapporto che sta alla base della nomina, in modo che vi sia una armonizzazione tra entrambi.

Note

[1] Il testo integrale della Direttiva 2000/31/CE del Parlamento europeo e del Consiglio dell’8 giugno 2000 relativa a taluni aspetti giuridici dei servizi della società dell’informazione, in particolare il commercio elettronico, nel mercato interno («Direttiva sul commercio elettronico»).

[2] Il testo integrale del decreto legislativo in attuazione della direttiva 2000/31/CE relativa a taluni aspetti giuridici dei servizi della società dell’informazione nel mercato interno, con particolare riferimento al commercio elettronico è disponibile online all’indirizzo http://www.camera.it/parlam/leggi/deleghe/03070dl.htm, sito web consultato in data 8 novembre 2018.

[3] Il testo integrale del Regolamento europeo relativo alla protezione delle persone fisiche con riguardo al trattamento dei dati personali, nonché alla libera circolazione di tali dati e che abroga la direttiva 95/46/CE (regolamento generale sulla protezione dei dati) è disponibile in Internet all’indirizzo https://eur-lex.europa.eu/legal-content/IT/TXT/?uri=celex%3A32016R0679, sito web consultato in data 8 ottobre 2018.

[4] Il testo integrale del nuovo codice della privacy è disponibile in Internet all’indirizzo http://www.gazzettaufficiale.it/eli/id/2018/09/04/18G00129/sg sito web consultato in data 17 settembre 2018.

 

Articolo a cura di Simone Bonavita e Andrea d’Anna

Profilo Autore

Simone Bonavita è research presso l’ISLC - Information Society Law Center Centro di Ricerca Coordinato in "Information Society Law" dell'Università degli Studi di Milano - Si è formato prima presso l’Università degli Studi di Milano, laureandosi in scienze giuridiche ed in giurisprudenza con tesi specialistiche in materia di privacy e nuove tecnologie e perfezionandosi in indagini digitali. Successivamente presso l’ALMA Mater - Università di Bologna ha conseguito il Master in Diritto delle nuove tecnologie ed Informatica Giuridica ed il Dottorato di ricerca in Diritto delle nuove tecnologie ed Informatica Giuridica (CIRSFID) sotto la guida del prof. G. Sartor. Nel corso del 2017 è stato Visiting Fellow all’European University Institute (EUI) di Firenze e docente del corso di perfezionamento in privacy & computer forensics dell’Università di Milano.. Svolge la propria attività professionale quale Avvocato del foro di Milano presso lo studio Perani Pozzi Associati. La sua attività professionale, principalmente stragiudiziale, si concentra essenzialmente nel settore del diritto delle nuove tecnologie ed in particolare nella data governance. Presente come relatore a convegni e seminari, è autore di numerose pubblicazioni aventi ad oggetto il diritto delle nuove tecnologie, il trattamento dei dati personali e la responsabilità degli ISP.

Profilo Autore

Andrea d'Anna è fellow presso l’ISLC - Information Society Law Center Centro di Ricerca Coordinato in "Information Society Law" dell'Università degli Studi di Milano
Collabora con lo Studio Legale Perani Pozzi Associati per quanto concerne il diritto delle nuove tecnologie, con particolare riferimento ai settori connessi alla privacy e alla tutela dei dati personali, alla lotta alla contraffazione online, al diritto della comunicazione digitale, alla responsabilità del provider ed alla contrattualistica ad oggetto informatico, in prospettiva internazionale.
Andrea si è formato presso l’Università degli Studi di Milano, dove ha conseguito una laurea magistrale in Giurisprudenza. Ha frequentato i corsi di Intellectual Property Rights ed Innovation Technology presso il Law Institute della Peking University School of Government.
Ricopre la carica di data protection officer presso numerose strutture ed ha collaborato in qualità di intern all’interno di uno degli studi legali più prestigiosi del sud-est asiatico, in ambito IT ed IP.

Condividi sui Social Network:

Ultimi Articoli