Pacchetto protezione dati UE 2016: la tutela degli interessati (parte II)

in Giuricivile, 2017, 5, (ISSN 2532-201X)

Di
Paola Pagliarusco
-
pacchetto protezione dati personali UE 2016, trattamento dati personali, privacy, protezione dati personali, titolare del trattamento, data protection officer, riservatezza, identità digitale, gdpr amministratore di condominio, consenso newsletter servizio condizionato al rilascio del consenso, come adeguare un sito web al gdpr, portabilità dei dati, newsletter gdpr, dpo requisiti

Sommario: 1. Cosa intende il Legislatore UE per “dati personali”?  – 2. Il consenso al trattamento dei dati – 3. L’informativa di trattamento – 4. I diritti garantiti agli interessati – 4.a Diritto di rettifica (art. 16) – 4.b Diritto all’oblio (art. 17) – 4.c Diritto di limitazione di trattamento (art. 18) – 4.d Diritto alla portabilità dei dati (art. 20) – 4.e Il diritto di opposizione e processo decisionale automatizzato relativo alle persone fisiche – 5. La Profilazione e i trattamenti automatizzati – 6. Strumenti a tutela delle Persone Fisiche: reclamo, ricorso giurisdizionale e risarcimento del danno

Per la guida completa alle novità in materia di protezione, circolazione e trattamento dei dati personali vedi anche:

Scarica l’articolo in versione PDF

Dopo il primo contributo in materia di protezione dati[1] nel quale si delineava il quadro normativo, istituzionale e sanzionatorio introdotto dal Regolamento UE 2016/679, in questa sede si propone la disamina delle principali novità che interessano, più da vicino, la tutela dei singoli cittadini, anche alla luce della prima Guida applicativa emanata dal Garante della Privacy, con comunicato stampa del 28 Aprile 2017[2].

La suddetta Guida all’applicazione del Regolamento europeo in materia di protezione dei dati personali[3] traccia un quadro generale delle principali innovazioni introdotte dalla normativa e fornisce indicazioni utili sulle prassi da seguire e sugli adempimenti da attuare per dare corretta applicazione alla normativa che, lo si ribadisce, è già in vigore dal 24 maggio 2016 e sarà pienamente efficace dal 25 maggio 2018.

Va primariamente sottolineato come il Legislatore europeo si sia preoccupato di dettare esplicitamente norme a tutela dei minori, in coerenza con la finalità stessa del testo normativo in esame che è quella di fornire una più ampia e uniforme tutela agli Interessati all’interno del Mercato Unico Digitale.

1. Cosa intende il Legislatore UE per “dati personali”?

Il Regolamento definisce dato personalequalsiasi informazione riguardante una persona fisica identificata o identificabile («interessato»).

Specificando che “si considera identificabile la persona fisica che può essere identificata, direttamente o indirettamente, con particolare riferimento a un identificativo come il nome, un numero di identificazione, dati relativi all’ubicazione, un identificativo online o a uno o più elementi caratteristici della sua identità fisica, fisiologica, genetica, psichica, economica, culturale o sociale” (art. 4, n. 1).

Non esiste più una specifica definizione di dati personali “sensibili” o di dati personali “giudiziari”, tuttavia, la normativa in esame pone un espresso divieto a trattare quelle “particolari categorie di dati personali” (art. 9) che rivelino “l’origine razziale o etnica, le opinioni politiche, le convinzioni religiose o filosofiche, o l’appartenenza sindacale, nonché trattare dati genetici, dati biometrici intesi a identificare in modo univoco una persona fisica, dati relativi alla salute o alla vita sessuale o all’orientamento sessuale della persona”; sono fatte salve tutte le deroghe espressamente previste al paragrafo 2 del medesimo articolo[4].

Il successivo art. 10 del Regolamento disciplina il trattamento dei “dati personali relativi alle condanne penali e ai reati o a connesse misure di sicurezza”.

Il Legislatore europeo introduce la tripartizione dei dati personali distinguendoli in dati genetici, biometrici e dati relativi alla salute (art. 4, ai nn. 13-14-15), per i quali ciascun Stato membro può, eventualmente, prevedere condizioni più restrittive.

Il Regolamento detta espressamente i principi che ogni trattamento di dati personali deve rispettare (art. 5); essi sono:

  • Liceità, correttezza e trasparenza: il Regolamento fissa le condizioni affinché il trattamento possa considerarsi lecito (consenso espresso al trattamento e il trattamento deve essere necessario ai sensi dell’art. 6).
    La Guida all’applicazione[5] rammenta, infatti, che il “regolamento conferma che ogni trattamento deve trovare fondamento in un’idonea base giuridica”.
    I fondamenti di liceità del trattamento, indicati all’art. 6, coincidono, in linea di massima, con quelli previsti attualmente dal Codice.
  • Limitazione della finalità, nel senso che il trattamento non può spingersi oltre la finalità per cui è stato consentito o sia con la stessa incompatibile;
  • Minimizzazione dei dati, ossia i dati personali devono essere quelli sufficienti e necessari per la finalità per la quale sono trattati;
  • Esattezza (ed eventuale necessario aggiornamento);
  • Limitazione della conservazione, in quanto i dati devono consentire l’identificazione dell’interessato solo per l’arco di tempo necessario all’espletamento della finalità, fermo restando la possibilità della conservazione per periodi più lunghi a condizione che siano trattati solo ai fini di archiviazione nel pubblico interesse ai sensi dell’art. 89, par. 1 secondo le garanzie adeguate al rispetto de principio di minimizzazione;
  • Integrità e riservatezza.

Inoltre, viene introdotto il principio di responsabilizzazione del titolare del trattamento che deve essere in grado di provare il rispetto dei suddetti dettami.

2. Il consenso al trattamento dei dati

Requisito essenziale affinché il trattamento dei dati personali sia considerato lecito è il consenso dell’interessato, che viene definito come “qualsiasi manifestazione di volontà libera, specifica, informata e inequivocabile dell’interessato, con la quale lo stesso manifesta il proprio assenso, mediante dichiarazione o azione positiva inequivocabile, che i dati personali che lo riguardano siano oggetto di trattamento” (Art. 4 n. 13).

Sul punto, il Legislatore europeo prescrive che il titolare del trattamento deve essere sempre in grado di dimostrare l’esistenza del consenso dell’interessato al trattamento dei dati personali (art. 7); il consenso, dunque, deve essere espresso.

Va da sé che esso non può più manifestarsi in un mero silenzio-assenso e la forma scritta, pur non essendo esplicitamente richiesta, diviene lo strumento più efficace per documentare la corretta espressione del consenso dell’interessato.

Lo stesso vale – come si dirà nel prosieguo – per il consenso a decisioni basate su trattamenti automatizzati (compresa la profilazione – vd. par. 5).

La Guida all’applicazione evidenzia che il consenso dei minori è valido a partire dai 16 anni; prima di tale età occorre raccogliere il consenso dei genitori o di chi ne fa le veci.

Importante innovazione introdotta dall’art. 7 è il diritto di revoca: in qualsiasi momento l’interessato può revocare il proprio consenso, senza che ciò pregiudichi la liceità di quanto svolto antecedentemente e basato su un valido consenso.

3. L’informativa di trattamento

Il Regolamento ha dedicato l’intero Capo III alla disamina dei “Diritti dell’interessato”, da un lato, introducendo nel panorama giuridico importanti novità e, dall’altro, consolidando quanto esistente, ponendo definitivamente l’accento sulla tutela del cittadino, ormai quotidianamente a contatto con la realtà digitale.

Il Considerando (39) detta chiaramente il principio di trasparenza cui devono ispirarsi le informative di trattamento: “Qualsiasi trattamento di dati personali dovrebbe essere lecito e corretto.

Dovrebbero essere trasparenti per le persone fisiche le modalità con cui sono raccolti, utilizzati, consultati o altrimenti trattati dati personali che li riguardano nonché la misura in cui i dati personali sono o saranno trattati.

Il principio della trasparenza impone che le informazioni e le comunicazioni relative al trattamento di tali dati personali siano facilmente accessibili e comprensibili e che sia utilizzato un linguaggio semplice e chiaro”.

Il Regolamento specifica molto più in dettaglio rispetto al Codice Privacy le caratteristiche dell’informativa: l’art. 12 prescrive che la stessa deve essere concisa, trasparente chiara, intelligibile, fornita con linguaggio semplice, per iscritto o con mezzi elettronici.

Per i minori, inoltre, occorre prevedere informative idonee a consentire la loro facile comprensione (Cons. 58).

Il Legislatore europeo diversifica i contenuti delle informative a seconda che i dati siano raccolti presso l’interessato (art. 13) ovvero non siano ottenuti presso di lui (art. 14), prevedendone tassativamente il contenuto.

In entrambi i casi, viene specificato che il Titolare del trattamento, ove previsto, debba informare dell’intenzione di trasferire i dati personali a un paese terzo o a un’organizzazione internazionale, nonché l’esistenza o l’assenza di una decisione di adeguatezza della Commissione o il riferimento a garanzie adeguate.

Per quanto attiene ai tempi dell’informativa: nel caso di dati personali non raccolti direttamente presso l’interessato (art. 14), l’informativa deve essere fornita entro un termine ragionevole che non può superare un mese dalla raccolta, oppure al momento della comunicazione (NON della registrazione) dei dati (a terzi o all’interessato) (diversamente da quanto prevede attualmente l’art. 13, comma 4, del Codice Privacy).

4. I diritti garantiti agli Interessati

A quanto sopra esposto in relazione all’informativa di trattamento, si aggiunga che all’interessato è sempre garantito il Diritto di accesso (art. 15), ossia di ottenere dal titolare del trattamento

  • la conferma che sia in corso un trattamento di suoi dati personali
  • e, conseguentemente, avere accesso agli stessi e alle informazioni attinenti al trattamento;
  • il Titolare del trattamento dovrà fornire anche copia dei dati personali in questione.

In caso di trasmissione dei dati personali a Paesi terzi o organizzazioni internazionali, il soggetto interessato ha diritto ad essere informato se questi ultimi forniscano le garanzie adeguate in materia di protezione dati, espressamente previste dal Capo V del Regolamento.

In questi casi, infatti, la Commissione può effettuare una valutazione preliminare dell’adeguatezza del livello di protezione assicurato dal Paese terzo o dall’organizzazione internazionale, mediante appositi atti esecutivi, ovvero, in mancanza di ciò, l’art. 46, par. 2, elenca quelle che possono costituire “garanzie adeguate senza autorizzazioni specifiche da parte di autorità di controllo” (es. codice di condotta approvato, meccanismo di certificazione, particolari clausole contrattuali o disposizioni inserite in accordi amministrativi tra pubbliche autorità).

Altra rilevante innovazione consiste nell’introduzione di precisi diritti uniformi in tutta l’Unione, in conformità con il Considerando (59) che esprime l’opportunità che i Titolari del trattamento prevedano modalità volte ad agevolare l’esercizio da parte dell’interessato delle tutele di cui al Regolamento.

Si tratta, nello specifico, dei seguenti diritti:

a) Diritto di rettifica (art. 16)

L’interessato ha il diritto di ottenere la rettifica dei dati personali inesatti senza ingiustificato ritardo, oltre all’integrazione degli stessi se incompleti.

b) Diritto all’oblio (art. 17)

È una delle maggiori novità introdotte dalla disciplina europea, su spinta giurisprudenziale.

Consiste nel riconoscimento del diritto dell’interessato di ottenere dal Titolare del trattamento la cancellazione senza ingiustificato ritardo dei dati personali in presenza di uno dei gravi motivi elencati all’art. 17[6].

Come espresso chiaramente nella Guida applicativa al Regolamento, il diritto all’oblio ha un campo di applicazione più esteso di quello di cui all’art. 7, comma 3, lettera b), del Codice, poiché  l’interessato ha il diritto di chiedere la cancellazione dei propri dati, per esempio, anche dopo revoca del consenso al trattamento (si veda art. 17, par. 1).

Inoltre, sempre in un’ottica di tutela dei minori, il Considerando (65) specifica che tale diritto appare “rilevante se l’interessato ha prestato il proprio consenso quando era minore, e quindi non pienamente consapevole dei rischi derivanti dal trattamento, e vuole successivamente eliminare tale tipo di dati personali, in particolare da internet”.

Al fine di rafforzare la protezione del trattamento dei dati in ambito on-line, il successivo Considerando sottolinea l’opportunità che il diritto in questione venga esteso a tutti i Titolari del trattamento che abbiano accesso ai dati personali, prevedendo l’obbligo di cancellare qualsiasi link verso tali dati o copia o riproduzione degli stessi.

Conseguentemente sorge in capo ai Titolari del trattamento l’obbligo di attivarsi per predisporre strumenti idonei al raggiungimento dello scopo.

Il diritto all’oblio non sussiste laddove il trattamento sia necessario per l’esercizio della libertà di espressione e di informazione, per l’adempimento di obblighi legali, per motivi di interesse pubblico nel settore della sanità pubblica, o archiviazione nel pubblico interesse di ricerca scientifica o storica o statistica, nonché per l’esercizio o la tutela di un diritto in sede giudiziaria.

c) Diritto di limitazione di trattamento (art. 18)

Si tratta di un diritto diverso e più esteso rispetto al “blocco” del trattamento di cui all’art. 7 del Codice: qualora l’interessato chieda la limitazione di trattamento, ove ricorrano le ipotesi previste dal Regolamento, i dati verranno trattati soltanto con il consenso dell’interessato oppure per l’accertamento, l’esercizio o la difesa di un diritto in sede giudiziaria ovvero per tutelare interessi pubblici.

Detta limitazione potrebbe consistere “nel trasferire temporaneamente i dati selezionati verso un altro sistema di trattamento, nel rendere i dati personali selezionati inaccessibili agli utenti o nel rimuovere temporaneamente i dati pubblicati da un sito web.

Negli archivi automatizzati, la limitazione del trattamento dei dati personali dovrebbe in linea di massima essere assicurata mediante dispositivi tecnici in modo tale che i dati personali non siano sottoposti a ulteriori trattamenti e non possano più essere modificati.

Il sistema dovrebbe indicare chiaramente che il trattamento dei dati personali è stato limitato” (Cons. 67).

La Guida chiarisce come il diritto in parola sia “esercitabile non solo in caso di violazione dei presupposti di liceità del trattamento (quale alternativa alla cancellazione dei dati stessi), bensì  anche se l’interessato chiede la rettifica dei dati (in attesa di tale rettifica da parte del titolare) o si oppone al loro trattamento ai sensi dell’art. 21 del regolamento (in attesa della valutazione da parte del titolare)”.

d) Diritto alla portabilità dei dati (art. 20)

Come afferma il Considerando (68), tale diritto è stato introdotto per rafforzare ulteriormente il controllo sui propri dati personali, nell’ottica di una sempre maggiore tutela delle persone, nonché allo scopo di accrescere la fiducia del singolo negli strumenti digitali.

La c.d. “Data Portability” consiste nel diritto dell’interessato di ricevere i dati personali che lo riguardano, forniti ad un Titolare del trattamento previo consenso o per l’esecuzione d un contratto, e di trasmetterli ad un altro senza alcun impedimento di sorta da parte del primo.

La trasmissione può essere effettuata direttamente da un titolare all’altro, fatto salvo sempre e comunque il diritto all’oblio e ferma restando la tutela dei diritti e della libertà altrui.

Ciò significa, ad esempio, che un soggetto può trasmettere i propri dati relativi ad un profilo utente o account da un Titolare ad un altro, senza che vi siano ostacoli o impedimenti da parte di colui al quale i dati sono stati forniti per primo.

Le “Guidelines on the right to data portability”, adottate dal Gruppo Europeo dei Garanti (WP29) il 13 dicembre 2016[7], lo descrivono come un importante strumento che sosterrà la libera circolazione dei dati personali nell’Unione europea e promuoverà la concorrenza tra i Titolari, facilitando la commutazione fra i vari fornitori di servizi e favorendo lo sviluppo di nuovi servizi nel contesto della strategia di Mercato Unico Digitale.

Gli elementi principali del diritto alla portabilità, elencati dalle stesse Linee Guida, sono:

  1. Il diritto di ricevere i propri dati personali;
  2. Il diritto di trasmettere i propri dati personali da un Titolare del trattamento ad un altro;
  3. Strumenti atti a consentire l’effettiva “Data Portability”;
  4. Il responsabile del trattamento che risponde alle richieste di portabilità dei dati, alle condizioni di cui all’art. 20, non è responsabile del trattamento gestito dalla persona interessata o da un’altra società che ha ricevuto i dati personali;
  5. Divieto di lesione di altri diritti.

Il WP29 chiarisce anche quali sono i dati personali interessati dalla “Data Portability, ossia:

  1.  Dati personali forniti dall’interessato al Titolare del trattamento;
  2. Dati che riguardano l’interessato stesso;
  3. L’esercizio del diritto alla portabilità non deve ledere i diritti e le libertà altrui[8].

Come buona pratica, i Titolari del trattamento dovranno iniziare a sviluppare i mezzi che contribuiranno a rispondere alle richieste di portabilità dei dati, come ad esempio strumenti di download e Application Programming Interface.

Per meglio comprendere la portata innovativa di questa previsione, le stesse Guidelines si riferiscono ai titoli dei libri acquistati da un individuo da una libreria on-line o alle canzoni ascoltate tramite un servizio di streaming musicale: questi sono tipici esempi di dati personali che rientrano nell’ambito della portabilità dei dati, perché sono elaborati sulla base della esecuzione di un contratto del quale l’interessato è parte.

Il diritto di portabilità dei dati si applica solo se il trattamento è “effettuato da strumenti automatizzati”, e quindi non trova applicazione per i registri o archivi cartacei.

e) Il diritto di opposizione e processo decisionale automatizzato relativo alle persone fisiche (Art. 21 – Capo II – Sez. 4)

È garantito all’interessato il diritto di opporsi in qualsiasi momento al trattamento (anche lecito) di dati per l’esecuzione di un compito svolto nel pubblico interesse o nell’esercizio di pubblici poteri, di cui è investito il Titolare del trattamento, ovvero legittimi interessi del titolare o di terzi, compresa la profilazione.

Tale diritto può esercitarsi solo per motivi connessi alla particolare situazione dell’interessato.

Spetterà quindi al Titolare l’onere di provare l’esistenza di “motivi legittimi cogenti per procedere al trattamento, in difetto di ciò, egli dovrà astenersi dal trattare ulteriormente i dati.

Qualora i dati personali siano trattati per finalità di Marketing diretto, l’interessato ha diritto di opporsi in ogni momento e gratuitamente (art. 21, par. 2) e i propri dati non saranno più utilizzabili per tale finalità, salvo che il trattamento non sia necessario per l’esecuzione di un compito di interesse pubblico.

Il Considerando 69 specifica che sarà onere del titolare del trattamento dimostrare “che i suoi interessi cogenti prevalgono sugli interessi o sui diritti e sulle libertà fondamentali dell’interessato”.

Tale diritto deve essere portato esplicitamente a conoscenza dell’interessato e presentato chiaramente e separatamente da qualsiasi altra informazione.

5. La Profilazione e i trattamenti automatizzati

La Profilazione viene definita dal Regolamento all’art. 4, n.4, come “qualsiasi  forma  di  trattamento  automatizzato  di  dati  personali  consistente  nell’utilizzo  di  tali  dati personali  per  valutare  determinati  aspetti  personali  relativi  a  una  persona  fisica,  in  particolare  per  analizzare  o prevedere aspetti riguardanti il rendimento professionale, la situazione economica, la salute, le preferenze personali, gli interessi, l’affidabilità, il comportamento, l’ubicazione o gli spostamenti di detta persona fisica”.

Al fine di garantire la sicurezza della circolazione dei dati, il Considerando 71 prescrive che il Titolare del trattamento utilizzi procedure matematiche o statistiche appropriate per la profilazione e metta in atto misure tecniche e organizzative adeguate al fine di garantire che siano rettificati i fattori che comportano inesattezze dei dati e sia minimizzato il rischio di errori, neutralizzando eventuali rischi discriminatori basati sulla razza o sull’origine etnica, sullo stato di salute o sull’orientamento sessuale.

Inoltre, debbono essere previste delle condizioni restrittive per il trattamento di determinate categorie di dati e il Considerando 72 stabilisce che il Comitato europeo[9] ha il potere di emanare orientamenti sul punto.

L’art. 22 prevede la facoltà dell’interessato di non essere soggetto a una decisione basata solo su un trattamento automatizzato di dati, compresa la profilazione, qualora produca effetti giuridici che lo riguardano o che incida significativamente sulla sua persona.

A quanto appena detto, fanno eccezione le decisioni:

  1. Necessarie per la conclusione o l’esecuzione di un contratto tra l’interessato e un titolare del trattamento;
  2. Autorizzate dal Diritto dell’Ue o dello Stato membro cui è soggetto il titolare del trattamento;
  3. Basate sul consenso esplicito dell’interessato.

6. Strumenti a tutela delle Persone Fisiche: reclamo, ricorso giurisdizionale e risarcimento del danno

Il Capo VIII del Regolamento – intitolato “Mezzi di ricorso, responsabilità e sanzioni” – detta alcune importanti norme relative al diritto del singolo cittadino europeo di proporre azioni volte a reagire ad eventuali trattamenti svolti in violazione alle disposizioni in materia.

Infatti, fatto salvo ogni ricorso amministrativo o giurisdizionale, l’art. 77 attribuisce all’interessato il potere di proporre reclamo all’Autorità di controllo territorialmente competente, la quale ha il preciso dovere di informare il reclamante sullo stato del procedimento e sull’esito del reclamo.

Avverso la decisione vincolante dell’Autorità di controllo, ogni persona fisica o giuridica può proporre ricorso giurisdizionale ai sensi dell’art. 78.

In aggiunta a quanto sopra, ciascun interessato può presentare ricorso giurisdizionale, avanti alle competenti Autorità giudiziarie[10], nei confronti del titolare del trattamento o del responsabile del trattamento che si manifesti in violazione delle norme del Regolamento (art. 79).

L’art. 80 prevede anche la possibilità per gli interessati di dare mandato di proporre le azioni di cui sopra, finanche di ottenere il risarcimento del danno, ad un organismo o ad un’associazione senza scopo di lucro e debitamente costituita secondo il diritto di uno Stato membro.

L’art. 82, infatti, sancisce il diritto di chiunque di ottenere il risarcimento del danno, sia materiale che immateriale, causato da una violazione del Regolamento, dal titolare del trattamento o dal responsabile del trattamento.

Scarica l’articolo in versione PDF

[1] Paola Pagliarusco, “Pacchetto protezione dati UE 2016: le novità in materia di protezione, circolazione e trattamento dei dati personali (parte I)” in Giuricivile, 2017, 4, (ISSN 2532-201X), http://giuricivile.it/pacchetto-protezione-dati-ue-2016-protezione-trattamento-dati-personali-della-circolazione/

[2] Rinvio al sito del Garante della Privacy alla pagina web http://www.garanteprivacy.it/web/guest/home/docweb/-/docweb-display/docweb/6302257

[3] Rinvio al sito del Garante della Privacy alla pagina web http://www.garanteprivacy.it/fondamenti-di-liceita-del-trattamento

[4] A titolo esemplificativo ma non esaustivo: l’aver, l’interessato, prestato il proprio consenso per il trattamento dei dati in modo esplicito e per una o più finalità; qualora il trattamento sia necessario per assolvere obblighi ed esercitare i diritti del titolare o del responsabile del trattamento in materia di diritto del lavoro, sicurezza sociale e protezione sociale; se il trattamento è necessario per tutelare l’interesse vitale dell’interessato qualora questi si trovi nell’incapacità fisica o giuridica di prestare il proprio consenso.

[5] Rinvio al sito del Garante della Privacy alla pagina web http://www.garanteprivacy.it/fondamenti-di-liceita-del-trattamento

[6] es.: revoca del consenso, interessato si oppone al trattamento, trattamento è illecito, dati non più necessari per la finalità per cui sono stati forniti.

[7] Delle quali si è già fatto cenno nel precedente contributo in materia: Paola Pagliarusco, “Pacchetto protezione dati UE 2016: le novità in materia di protezione, circolazione e trattamento dei dati personali (parte I)” in Giuricivile, 2017, 4, (ISSN 2532-201X), http://giuricivile.it/pacchetto-protezione-dati-ue-2016-protezione-trattamento-dati-personali-della-circolazione/

[8] Inclusi “il segreto industriale e aziendale e la proprietà intellettuale, segnatamente i diritti d’autore che tutelano il software” di cui al considerando 63, al fine di proteggere il business il modello di titolari del trattamento (articolo 15).

[9] Del quale si è fornito una breve descrizione al par. 3b del precedente contributo in materia: Paola Pagliarusco, “Pacchetto protezione dati UE 2016: le novità in materia di protezione, circolazione e trattamento dei dati personali (parte I)” in Giuricivile, 2017, 4, (ISSN 2532-201X), http://giuricivile.it/pacchetto-protezione-dati-ue-2016-protezione-trattamento-dati-personali-della-circolazione/

[10] Lo Stato membro ove il titolare del trattamento o il responsabile del trattamento abbia uno stabilimento, ovvero, in cui l’interessato risiede abitualmente, salvo  che  il  titolare  del  trattamento  o  il  responsabile  del  trattamento  sia un’autorità pubblica di uno Stato membro nell’esercizio dei pubblici poteri.

LEGGI ANCHE...DELLO STESSO AUTORE

SCRIVI IL TUO COMMENTO

Scrivi il tuo commento!
Per favore, inserisci qui il tuo nome

5 × due =

Questo sito usa Akismet per ridurre lo spam. Scopri come i tuoi dati vengono elaborati.