27 Nov Attuazione del GDPR: il ruolo del Regolamento nell’agevolazione dell’accesso alla giustizia, nel contrasto alla discriminazione e nella promozione dell’uguaglianza tramite l’emissione sanzioni efficaci, proporzionate e dissuasive.

Authors: Kate Francis, Eleonora Margherita Auletta, Andrea Strippoli

Background: uno scenario applicativo particolarmente controverso

Negli ultimi anni, l’applicazione del Regolamento generale sulla protezione dei dati (di seguito “GDPR” o “Regolamento”)[1] è stata oggetto di forti controversie. Molteplici soggetti coinvolti hanno sostenuto come il GDPR non sia riuscito a tutelare adeguatamente i diritti e le libertà degli individui, come nobilmente si prefigge di fare[2].  Tali critiche risultano, in una certa misura, fondate. A titolo di esempio, il 3 ottobre 2023, l’Autorità per la protezione dei dati del Lussemburgo – che riveste il ruolo di Autorità capofila per alcune delle più grandi aziende del mondo – ha pubblicato la sua relazione annuale riportante le principali iniziative intraprese nel 2022. Dal report emerge, in modo evidente, l’emissione, da parte dell’Autorità, di sanzioni per un totale di soli 48.375 euro[3].

La Commissione europea – avendo potenzialmente individuato e riconosciuto lacune applicative – ha proposto nel luglio 2023 un nuovo regolamento volto a semplificare la cooperazione e il dialogo tra Autorità europee per la protezione dei dati (DPA), relativamente alla gestione di casi transfrontalieri[4]. Il regolamento proposto intende stabilire regole procedurali chiare che le Autorità per la protezione dei dati dovranno essere tenute ad osservare nell’applicare il GDPR e mira a “ridurre i disaccordi e incentivare la reciproca intesa tra le autorità sin dalle fasi iniziali del processo [di enforcement]“[5].

Nonostante le diffuse critiche e le casistiche sopracitate – sintomo di potenziali carenze attuative -, occorre specificare come, statisticamente, l’applicazione del GDPR sia progressivamente incrementata dal maggio 2018, data di effettiva applicazione del Regolamento. Ad oggi, il team di ricerca di ICTLC ha documentato oltre 2.120 interventi di enforcement. Molte delle sanzioni contenute nel rispettivo database forniscono chiari esempi giurisprudenziali di come il GDPR abbia agevolato l’accesso alla giustizia e contribuito alla salvaguardia dei diritti fondamentali, tra cui, oltre al diritto alla riservatezza e alla protezione dei dati, il diritto di uguaglianza e la tutela contro le discriminazioni.

Diverse strade per agevolare l’accesso alla giustizia

Il GDPR agevola l’accesso alla giustizia sotto molteplici aspetti, tre dei quali verranno discussi in questa sede.
In primo luogo, il GDPR offre protezioni specifiche in caso di trattamento di dati “a rischio”, autorizzandoli unicamente solo in casi eccezionali. In particolare, le categorie di dati particolari[6] – tra cui si annoverano le informazioni relative all’orientamento religioso, a quello sessuale, all’etnia e alla salute – possono essere trattate esclusivamente in un numero limitato di casi. In questo senso, il GDPR tutela dalla discriminazione e dall’uso improprio di tali dati, che potrebbero ostacolare l’uguaglianza. Infatti, non potendo essere raccolti, tali dati non potranno essere, successivamente, strumentalizzati a fini discriminatori[7].

In secondo luogo, il GDPR ha determinato la nascita di un significativo “attivismo” nel settore della protezione dei dati, che ha visto la partecipazione di soggetti come Max Schrems e la rispettiva organizzazione noyb, volta a promuovere un’applicazione effettiva del GDPR. Le loro iniziative hanno portato all’emanazione di provvedimenti sanzionatori da parte delle Autorità di protezione dei dati e all’instaurazione di procedimenti giudiziari. Infatti, tali organizzazioni attuano quanto prospettato nell’Articolo 80[8] e nel Considerando 142 del GDPR[9], “[…] pattugliando Internet per trovare prassi di trattamento dei dati potenzialmente illegali e segnalandole alle Autorità“[10].

In terzo luogo, sono state emesse numerose sanzioni, a livello europeo, che hanno contribuito al miglioramento delle condizioni di accesso alla giustizia.

Interventi attuativi: semplificazione dell’accesso alla giustizia e lotta alla discriminazione

Un esempio lampante del potenziale del GDPR nella lotta alla discriminazione è stato fornito in occasione della sanzione pecuniaria di 1,9 milioni di euro comminata dall’Autorità di Controllo dello Stato tedesco di Brema alla Brebau GmbH, impresa di edilizia abitativa[11].  In tal caso, era stato accertato come la società immobiliare avesse trattato i dati personali di oltre 9.500 potenziali inquilini in assenza di un’idonea base giuridica. Tra i dati trattati, figuravano, in particolare, informazioni sull’aspetto personale, come l’acconciatura e il colore della pelle, nonché informazioni relative allo stato di salute, all’origine etnica, alla religione e all’orientamento sessuale. L’Autorità di Controllo aveva, altresì, rilevato come l’azienda non avesse fornito alcun riscontro alle richieste avanzate dagli interessati coinvolti. Nonostante tali gravi violazioni in materia di protezione dei dati personali, l’azienda era stata condannata al pagamento di una somma inferiore a quella in cui sarebbe potuta incorrere; ciò grazie all’elevato livello di collaborazione con l’Autorità Garante e alle efficaci misure poste in essere a mitigazione dei danni causati dalle attività di trattamento illecite e discriminatorie.

Altri esempi molto rilevanti, sul tema, giungono dai Paesi Bassi e dall’Autorità di Controllo olandese, la quale ha sanzionato in più occasioni l’Amministrazione fiscale per aver trattato in modo illecito i dati personali di persone fisiche. Nel 2021, l’Autorità olandese per la protezione dei dati aveva inflitto, infatti, all’Amministrazione fiscale una sanzione di 2,75 milioni di euro alla luce del cosiddetto “scandalo degli assegni familiari”, che comportò l’ingiusta restituzione, da parte di innumerevoli famiglie, di tali sussidi[12]. L’Amministrazione fiscale aveva utilizzato il criterio della doppia nazionalità per combattere le frodi organizzate e aveva considerato il dato della nazionalità dei richiedenti (olandesi/non olandesi) “come indicatore all’interno di un sistema che designava automaticamente determinate richieste come rischiose“, nonostante tali dati non fossero strettamente necessari[13].  Pertanto, l’Autorità per la protezione dei dati aveva riscontrato come il trattamento illecito di tali informazioni relative ai richiedenti il sussidio per l’assistenza all’infanzia, in questo caso, “non solo violasse il GDPR, ma anche il diritto fondamentale a non essere discriminati. In altre parole, l’elaborazione illecita (tramite apposito algoritmo) della nazionalità di una persona violava il diritto all’uguaglianza e alla non discriminazione“[14].

Nell’aprile 2022, la medesima Autorità irrogava nuovamente una sanzione di 3,7 milioni di euro nei confronti dell’Amministrazione fiscale per aver, quest’ultima, trattato illegalmente – nell’arco di sei anni – i dati personali di 270.000 persone all’interno della propria lacklist “Fraud Identification Facility“[15].  Più specificamente, in questo caso, l’analisi del rischio di frode trovava parziale fondamento in fattori quali la nazionalità, l’aspetto fisico, le donazioni fatte in favore di moschee e gli elevati costi relativi alle spese mediche, senza che vi fosse alcun fondamento giuridico per giustificare un simile trattamento.

I tre esempi qui evidenziati dimostrano chiaramente come il GDPR possa e sia stato utilizzato come strumento di lotta alla discriminazione e persino al razzismo, talvolta, radicato nelle realtà istituzionali.

Conclusioni

Sulla base di quanto esposto sopra è evidente come il GDPR abbia un potenziale significativo in termini di tutela dei diritti e delle libertà fondamentali, di accesso alla giustizia, di lotta contro la discriminazione e di promozione del principio di uguaglianza. Come esemplificato nei tre casi che precedono, l’applicazione del GDPR e l’irrogazione di sanzioni efficaci, proporzionate e dissuasive hanno contribuito positivamente al contrasto della discriminazione derivante da illecite attività di trattamento dei dati personali. Con l’accelerazione dell’attuazione del Regolamento e la crescente consapevolezza da parte dell’opinione pubblica circa i rischi derivanti dal trattamento dei dati, è ragionevole presumere che il numero di sanzioni inflitte in relazione ad attività di trattamento aventi esiti discriminatori aumenterà in futuro. Allo stesso tempo, gli attivisti impegnati nella tutela della protezione dei dati personali hanno contribuito significativamente all’attuazione del GDPR e, probabilmente, continueranno a svolgere un ruolo di rilievo nella salvaguardia dei diritti e delle libertà dei singoli e nell’incentivazione di provvedimenti esecutivi da parte delle Autorità di Controllo competenti. Dal canto loro, le aziende dovrebbero non solo valutare attentamente le proprie attività di trattamento per garantire la liceità del trattamento e la conformità dello stesso al GDPR, in modo da evitare di incorrere in sanzioni economiche in relazione a trattamenti discriminatori, ma altresì adottare un approccio etico al trattamento dei dati – come quello promosso dal Maastricht University Data Protection as a Corporate Social Responsibility Framework (UM-DPCSR Framework)[16] – che vada oltre la mera compliance normativa. In questo modo, le organizzazioni contribuirebbero efficacemente al miglioramento di una società data-driven.

[1] Regolamento (UE) 2016/679 del Parlamento europeo e del Consiglio del 27 aprile 2016  relativo alla Protezione delle persone fisiche con riguardo al trattamento dei dati personali, nonché alla libera circolazione di tali dati e che abroga la direttiva 95/46/CE (Regolamento Generale sulla Protezione dei Dati).

[2] Cfr., ex multis, Consiglio irlandese per le libertà civili, “5 anni: Il punto di crisi del GDPR”, maggio 2023, https://www.iccl.ie/wp-content/uploads/2023/05/5-years-GDPR-crisis.pdf e noyb, “5 anni di GDPR: le autorità nazionali deludono il legislatore europeo. L’85% dei casi presentati da noyb non è stato oggetto di decisione”, 23 maggio 2023, https://noyb.eu/en/5-years-gdpr-national-authorities-let-down-european-legislator

[3] Commissione nazionale per la protezione dei dati del Granducato di Lussemburgo, “La CNPD apre la strada alla certificazione GDPR, si impegna nella cooperazione europea e si prepara al Pacchetto Digitale”, 3 ottobre 2023, https://cnpd.public.lu/en/actualites/national/2023/10/rapport-annuel-2022.html. Va notato, tuttavia, che queste sanzioni sono state comminate a livello nazionale per lo più in relazione a violazioni del Regolamento in materia di trasparenza, geolocalizzazione e videosorveglianza. Poiché il Lussemburgo ha regole molto severe in materia di riservatezza, l’Autorità di Controllo non ha il potere di rendere pubblici i nomi delle società sanzionate se non dopo il grado di appello.

[4] Proposta di Regolamento del Parlamento europeo e del Consiglio che stabilisce norme procedurali supplementari relative all’applicazione del regolamento (UE) 2016/679 (COM/2023/348 final)

[5] Commissione europea, “Protezione dei dati personali: La Commissione adotta nuove norme per garantire un’applicazione più rigorosa del GDPR nei casi transfrontalieri”, 4 luglio 2023, Comunicato Stampa, https://ec.europa.eu/commission/presscorner/detail/en/ip_23_3609

[6] L’Articolo 9, par. 1 del GDPR vieta “[il trattamento di] dati personali che rivelino l’origine razziale o etnica, le opinioni politiche, le convinzioni religiose o filosofiche, o l’appartenenza sindacale, nonché trattare dati genetici, dati biometrici intesi a identificare in modo univoco una persona fisica, dati relativi alla salute o alla vita sessuale o all’orientamento sessuale della persona” a meno che non trovi applicazione una delle eccezioni previste.

[7] Ciò è confermato anche dal Garante per la protezione dei dati personali di Brema, il quale ha dichiarato che “[…] il GDPR garantisce che, nella stragrande maggioranza dei casi, questi dati particolarmente protetti non possano essere raccolti e conservati in prima battuta. I dati che non sono stati raccolti non possono essere utilizzati in modo improprio. In questo senso, il GDPR protegge anche dalla discriminazione“. Cfr., Die Landesbeauftragte für Datenschutz und Informationsfreiheit, Freie Hansestadt Bremen, ‘LfDI verhängt gegen die BREBAU GmbH Geldbuße nach DSGVO’, 3 marzo 2022, https://www.datenschutz.bremen.de/sixcms/media.php/13/Pressemitteilung%20LfDI%20Bremen.pdf

[8] L’Articolo 80 del GDPR, relative alla “Rappresentanza degli interessati” prevede che “[l]’interessato ha il diritto di dare mandato a un organismo, un’organizzazione o un’associazione senza scopo di lucro, che siano debitamente costituiti secondo il diritto di uno Stato membro, i cui obiettivi statutari siano di pubblico interesse e che siano attivi nel settore della protezione dei diritti e delle libertà degli interessati con riguardo alla protezione dei dati personali, di proporre il reclamo per suo conto e di esercitare per suo conto i diritti di cui agli articoli 77, 78 e 79 nonché, se previsto dal diritto degli Stati membri, il diritto di ottenere il risarcimento di cui all’articolo 82”.

[9] Il Considerando 142 del GDPR prevede quanto segue: “Qualora l’interessato ritenga che siano stati violati i diritti di cui gode a norma del presente regolamento, dovrebbe avere il diritto di dare mandato a un organismo, un’organizzazione o un’associazione che non abbiano scopo di lucro, costituiti in conformità del diritto di uno Stato membro, con obiettivi statutari di pubblico interesse, e che siano attivi nel settore della protezione dei dati personali, per proporre reclamo per suo conto a un’autorità di controllo, esercitare il diritto a un ricorso giurisdizionale per conto degli interessati o esercitare il diritto di ottenere il risarcimento del danno per conto degli interessati se quest’ultimo è previsto dal diritto degli Stati membri.
Gli Stati membri possono prescrivere che tale organismo, organizzazione o associazione abbia il diritto di proporre reclamo in tale Stato membro, indipendentemente dall’eventuale mandato dell’interessato, e il diritto di proporre un ricorso giurisdizionale effettivo qualora abbia motivo di ritenere che i diritti di un interessato siano stati violati in conseguenza di un trattamento dei dati personali che violi il presente regolamento.
Tale organismo, organizzazione o associazione può non essere autorizzato a chiedere il risarcimento del danno per conto di un interessato indipendentemente dal mandato dell’interessato”.

[10] Paolo Balboni, “Two-sided control”, 11 agosto 2021 [Paolo Balboni Personal Blog]

[11] Die Landesbeauftragte für Datenschutz und Informationsfreiheit, Freie Hansestadt Bremen, ‘LfDI verhängt gegen die BREBAU GmbH Geldbuße nach DSGVO’, 3 marzo 2022, https://www.datenschutz.bremen.de/sixcms/media.php/13/Pressemitteilung%20LfDI%20Bremen.pdf

[12] Autorità olandese per la protezione dei dati, Amministrazione fiscale sanzionata per trattamento discriminatorio e illecito di dati personali, 7 dicembre 2021, https://autoriteitpersoonsgegevens.nl/en/current/tax-administration-fined-for-discriminatory-and-unlawful-data-processing

[13] Ibid.

[14] Ibid.

[15] Autorità olandese per la protezione dei dati, Amministrazione fiscale sanzionata in merito alla blacklist delle frodi, 12 aprile 2022, https://autoriteitpersoonsgegevens.nl/en/current/tax-administration-fined-for-fraud-blacklist

[16] Paolo Balboni e Kate Francis, “Data Protection as a Corporate Social Responsibility”, 16 marzo 2022, https://www.maastrichtuniversity.nl/file/20220316um-dpcsrframeworkv33balbonifrancis0pdf