Page 48 - IANUS n. 28 - La rilettura dei paradigmi giuridici tradizionali alla luce dell’obiettivo dello sviluppo sostenibile
P. 48
COSTANZA DI FRANCESCO MAESA
essere desunti da dati non sensibili (per esempio l’orientamento sessuale può
essere desunto dall’attività compiuta su internet da un determinato soggetto),
così come i dati non sensibili possono fungere da “proxy” per dati sensibili,
come, ad esempio, nel caso in cui si desuma l’origine etnica di un determinato
soggetto dal luogo di residenza di quest’ultimo. Inoltre, come è stato rilevato
60
in un recente studio in materia , tutti i dati possono potenzialmente essere
sensibili, soprattutto se trasferiti a soggetti terzi a cui non è stato dato il
consenso all’utilizzo di questi dati, come si desume dagli esempi seguenti.
Negli Stati Uniti, per esempio, alcuni “military contractors” pubblicizzano il
fatto che possono individuare la localizzazione in tempo reale di qualsiasi
veicolo in quasi ogni Paese nel mono usando gli stessi dati telematici . Al
61
tempo stesso, la società canadese Geotab precisa che i suoi clienti “own their
data”, ma non precisa cosa significa la nozione di “ownership” in relazione ai
dati , per cui non è specificato il regime a cui sono sottoposti tali dati. Un’altra
62
società canadese, GM OnStar, precisa, invece, nella sua policy sulla privacy
che condivide i dati degli utenti con le sue filiali, con le società con cui
conclude affari commerciali, con istituti di ricerca e con parti terze per attività
promozionali “con il consenso necessario”, e gli utenti devono aderire a questi
termini relativi alla privacy se vogliono utilizzare i servizi di OnStar.
A livello europeo, nei primi mesi del 2022 ad Europol era stato ordinato dal
Garante europeo della protezione dei dati di cancellare una grande quantità di
dati raccolti illegalmente . Ogni dato, quindi, potenzialmente può essere
63
considerato sensibile se viene utilizzato da soggetti terzi rispetto a quelli a cui è
stato dato il consenso all’utilizzo e per finalità diverse da quelle per cui è stato
dato il consenso.
A livello europeo, inoltre, come mostra il caso di Europol sopra menzionato
in cui è stato ordinato all’agenzia europea di cancellare i dati utilizzati
illegittimamente, l’utilizzo di dati per finalità diverse da quelle per cui è stato dato
il consenso alla raccolta, si pone in contrasto con il diritto alla protezione dei dati
personali, tutelato dall’art. 16 TFUE e dall’art. 8 della Carta. Uno dei principi
fondamentali in materia di tutela dei dati personali è infatti quello della
“limitazione della finalità”, di cui all’art. 5, para 1, lett. b) GDPR, in base al quale
i dati possono essere successivamente trattati solo in un modo compatibile con le
finalità determinate, esplicite e legittime che sono state indicate nel momento in
60 LOPEZ SOLANO - MARTIN - DE SOUZA - TAYLOR, Governing data and artificial intelligence for all,
Models for sustainable and just data governance, EPRS, STU(2022) PE 729.533, Luglio 2022.
61 COX, Cars Have Your Location. This Spy Firm Wants to Sell It to the U.S. Military Vice, March 17, 2021,
https://www.vice.com/en/article/k7adn9/car-location-data-telematics-us-military-ulysses-group.
62 Vedi infra il paragrafo successivo.
63 QUINTEL, European Union ∙ The EDPS on Europol's Big Data Challenge in Light of the Recast Europol
Regulation, in European Data Protection Law Review 2022, 8, 1, 90 - 102; FOTIADIS - STAVINOHA -
ZANDONINI - HOWDEN, A Data 'Black Hole': Europol Ordered to Delete Vast Store of Personal Data, The
Guardian, 10 Gennaio 2022, https://www.theguardian.com/world/2022/jan/10/a-data-black-hole-
europol-ordered-to-delete-vast-store-of-personal-data ultimo accesso 15 Ottobre 2023.
46