(aggiornato a febbraio 2022)
***
Il nuovo regolamento UE in materia, il GDPR, in vigore dal 25 maggio 2018, pur prevedendo i diritti di accesso, rettifica e cancellazione dei suoi dati personali a beneficio dell'"interessato" (la persona interessata dal trattamento dei suoi dati personali) ricorda la necessità di rivolgersi a organi amministrativi o giudiziari per ottenere sanzioni, divieti e indennizzi.
È quindi interessante indagare e vedere cosa si può realmente fare in caso di emergenza, quando quella persona si considera vittima di un trattamento da parte di un "responsabile del trattamento", ossia l'entità che tratta i dati.
Non vengono qui trattate le procedure che tendono a preservare le prove, o le vie di esecuzione utilizzate per attuare le decisioni giudiziarie o per sequestrare le proprietà, né alcuni casi specifici relativi, ad esempio, a processi connessi a scopi pubblici, amministrativi, di ricerca o giornalistici, o alla repressione della contraffazione dei diritti di proprietà intellettuale, al trattamento di contenuti sensibili su Internet...).
Secondo la legge francese, sempre più organi amministrativi sono abilitati a imporre multe e a emettere ingiunzioni al fine di preservare gli interessi della società, insieme ai procuratori tradizionali quando sono in gioco incriminazioni legali (e a cui si riferisce l'articolo 84 del GDPR).
Questo è il caso dell'"autorità di vigilanza", l'autorità indicata come tale dal nuovo regolamento GDPR dell'UE e che, in ogni Stato membro e insieme alle sue controparti, interviene in caso di uso inappropriato dei dati personali da parte di un "responsabile del trattamento", ossia una persona che tratta i dati personali, ai sensi di questo regolamento.
Il GDPR ricorda la possibilità per l'interessato di presentare un reclamo a questa "autorità di controllo" (art. 77) e precisa i poteri di ingiunzione e di condanna a sanzioni pecuniarie (artt. 58 e 83) di questa autorità, ricordando al contempo la necessità per un querelante di rivolgersi a organi giudiziari per ricercare responsabilità e richiedere indennizzi (art. 79, art. 82 punto 6).
In ogni caso, prima di pensare di chiedere un risarcimento, l'attore cercherà soprattutto di fermare la situazione dannosa, il prima possibile. In questo caso, potrebbe esitare sul comportamento da adottare.
Il GDPR raccomanda di seguire alcuni passi amichevoli e, infine, di rivolgersi alla suddetta autorità di vigilanza o ad altri organi amministrativi o giudiziari.
Questo processo può sembrare troppo lungo e il querelante può cercare una risposta più rapida davanti a giurisdizioni specializzate in procedure di emergenza.
Proviamo a fare un confronto.
Il circuito specifico del GDPR :
Il nuovo regolamento UE cosiddetto GDPR organizza una procedura per ottenere dal "responsabile del trattamento" (la persona responsabile del trattamento dei dati) la cessazione del trattamento dei dati personali.
L'articolo 12 stabilisce che :
"3 Il responsabile del trattamento fornirà informazioni sull'azione intrapresa in seguito a una richiesta ai sensi degli articoli da 15 a 22 all'interessato senza ritardi ingiustificati e in ogni caso entro un mese dal ricevimento della richiesta. Tale periodo può essere prorogato di altri due mesi, se necessario, tenendo conto della complessità e del numero delle richieste. Il responsabile del trattamento informerà l'interessato di tale proroga entro un mese dal ricevimento della richiesta, indicando i motivi del ritardo. Se l'interessato presenta la richiesta con mezzi elettronici, le informazioni saranno fornite con mezzi elettronici, ove possibile, a meno che l'interessato non richieda diversamente."
"4. Se il responsabile del trattamento non prende provvedimenti in seguito alla richiesta dell'interessato, il responsabile del trattamento informerà l'interessato senza indugio e al più tardi entro un mese dal ricevimento della richiesta, dei motivi del mancato intervento e della possibilità di presentare un reclamo a un'autorità di controllo e di chiedere un ricorso giudiziario.
Tuttavia, il responsabile del trattamento è invitato ad agire rapidamente e può impegnare la propria responsabilità a questo proposito;
L'articolo 17 menziona la possibilità per l'attore (l'"interessato") di ottenere dal responsabile del trattamento la cancellazione dei dati per determinati motivi, "senza ingiustificato ritardo".
L'articolo 18 combinato con l'articolo 21 menziona la possibilità per l'attore di ottenere, da parte del responsabile del trattamento e per determinati motivi, come paliativo, una restrizione del trattamento dei dati (i dati sono come accantonati, nascosti, ma tenuti "sotto il gomito" del responsabile del trattamento), soprattutto quando si discute sui motivi legittimi del trattamento, e in attesa di verificare se i motivi legittimi del responsabile del trattamento prevalgono su quelli dell'interessato.
In effetti, un responsabile del trattamento sarà tentato di invocare sistematicamente i "legittimi interessi" per giustificare il trattamento, in tutti i casi "grigi" in cui non è chiaramente autorizzato a trattare i dati, e quando i dati sono trattati per scopi di marketing o per scopi vicini.
Tra l'altro, a questo proposito, l'articolo 21 prevede, a beneficio dell'interessato, per determinati motivi e soprattutto quando il trattamento viene effettuato per finalità di marketing diretto, il diritto di opporsi al trattamento dei suoi dati personali, e che il "responsabile del trattamento non tratterà più..." e: "Se l'interessato si oppone al trattamento per finalità di marketing diretto, i dati personali non saranno più trattati per tali finalità".
Pertanto, il GDPR organizza una fase amministrativa preliminare da uno a tre mesi, durante la quale il responsabile del trattamento può non dare una risposta né soddisfare la richiesta formulata dall'interessato, senza fornire alcuna motivazione specifica, impegnando comunque la sua responsabilità se una resistenza abusiva può essere dimostrata da un attore motivato di fronte a un tribunale civile o penale, o anche di fronte all'autorità di controllo.
Questo può sembrare un po' insoddisfacente e incerto per il punto di vista del querelante.
Il percorso giudiziario e le procedure di emergenza :
Secondo la legge francese, le ingiunzioni preliminari e i risarcimenti possono essere ottenuti attraverso procedure d'emergenza, al fine di fermare situazioni dannose.
Sono prese a rischio dell'attore e su base provvisoria, il che significa che un tribunale investito del merito del caso sarà sempre in grado di riformare la decisione presa in un contesto di emergenza e di condannare l'attore per abuso. (tuttavia esistono "procedure miste" (riforme 2021 & 2022).
Il "code de procédure civile" francese (principalmente l'articolo 808 del code de procédure civile) richiede che la misura sollecitata dall'attore a questo proposito non sia seriamente discutibile, ossia che il caso sembri usuale e ovvio e che vi sia urgenza di adottare le misure sollecitate, e che queste misure siano praticabili.
A questo proposito, ad esempio, il fatto che la parte avversa abbia già sollevato serie obiezioni quando le parti hanno già avviato le discussioni sul loro punto controverso è un'indicazione che possono esistere serie obiezioni. Una parte che tentasse di porre fine alle discussioni e di forzare la soddisfazione delle sue richieste avviando una procedura d'emergenza, correrebbe il rischio di essere respinta.
Tuttavia, anche nel caso in cui la misura sollecitata sia discutibile, la procedura d'urgenza rimane disponibile nel caso in cui si debba prevenire un danno imminente o si debba fermare un "trouble manifestement illicite" (disturbo palesemente illecito, ad esempio un reato penale facilmente qualificabile come tale), tutte nozioni che suggeriscono che l'urgenza è implicita (art. 809 del Codice di procedura civile).
Tuttavia, la dimostrazione di un disturbo manifesto può essere difficile da fare, soprattutto senza indagini o colloqui preliminari.
Per quanto riguarda il trattamento dei dati, l'uso inappropriato dei dati personali (compresi i dati professionali, cfr. la giurisprudenza dell'UE e della Francia in materia) è incriminato dall'articolo 226-16 e seguenti del "code pénal" e punito con la reclusione e l'ammenda, per poi essere rivelato, come un "trouble manifestement illicite" che consente di avviare una procedura d'emergenza per richiedere il ritiro del contenuto litigioso, e anche se la colpevolezza non è ancora stata definitivamente giudicata.
La legge "Loi n° 2004-575 du 21 juin 2004 pour la confiance dans l'économie numérique" ("legge per la fiducia nell'economia digitale"), detta anche "LCEN", conferma che una procedura d'emergenza può essere intrapresa anche contro un intermediario tecnico (piattaforme basate su Internet, motori di ricerca, provider Internet...), anche se non è il trasgressore originale:
Articolo 6.I.8 "L'autorità giudiziaria può prescrivere, in un procedimento sommario o su richiesta, a qualsiasi persona di cui al punto 2 o, in mancanza, a qualsiasi persona di cui al punto 1, qualsiasi misura atta a prevenire il danno o a fermare il danno causato dal contenuto di un servizio di comunicazione pubblica online.
L'autorità giudiziaria può prescrivere, "en référé ou sur requête", a qualsiasi persona di cui al punto 2 [piattaforme, motori di ricerca...] o, in mancanza, a qualsiasi persona di cui al punto 1 [fornitori di Internet], qualsiasi misura atta a prevenire un danno o a fermare un pregiudizio causato dal contenuto di un servizio pubblico di comunicazione online.
(questo testo è stato modificato, ampliando le possibilità giudiziarie - 17 feb.2022)
La necessità o meno di inviare un avviso formale precedente prima di intraprendere una procedura di emergenza giudiziaria:
È necessario un avviso formale precedente per avvertire l'avversario prima di intraprendere una procedura di emergenza giudiziaria?
In linea di massima sì, ma un avviso formale precedente è ovviamente sconsigliato in caso di reale emergenza o di reale disturbo dell'ordine pubblico (ad esempio: un reato penale).
A questo proposito, l'articolo 56, paragrafo 3, del Codice di procedura civile prevede che (attenzione: riforme) :
"A meno che non vi sia un motivo legittimo legato all'urgenza o alla questione in questione, in particolare se riguarda l'ordine pubblico, la citazione dovrà anche specificare i passi compiuti per raggiungere una soluzione amichevole della controversia.
Traduzione gratuita : "A meno che non vi sia una giustificazione legata all'urgenza o alla questione in oggetto, in particolare quando si tratta di ordine pubblico, la citazione specifica anche i passi compiuti per raggiungere una soluzione amichevole della controversia.
Anche se l'uso inappropriato dei dati personali può costituire la base di un reato penale, il buon senso richiederà, nella maggior parte dei casi, una notifica formale preventiva, soprattutto considerando che il GDPR richiede tale notifica preventiva.
Quando una richiesta riguarda questioni come il risarcimento delle perdite e le richieste pecuniarie che non implicano un'urgenza, è necessario indirizzare all'avversario un avviso formale precedente, specificando l'importo richiesto.
Allo stesso modo, la suddetta legge "Loi n° 2004-575 du 21 juin 2004 pour la confiance dans l'économie numérique" ("legge per la fiducia nell'economia digitale"), detta anche "LCEN", prevede, nei suoi articoli 6.I.2, 6.I.3 e 6.I.5, che la responsabilità dell'intermediario tecnico non possa essere impegnata a meno che non si dimostri che, essendo stato debitamente avvisato (e in un certo modo e con certe precauzioni) non abbia ritirato il contenuto litigioso.
Quindi, in caso di emergenza, il rinvio all'organo giudiziario specializzato è un indicatore di rapidità, mentre il rinvio, attraverso le vie consuete, a una giurisdizione penale o civile (o anche a una giurisdizione amministrativa) o a un organo amministrativo, come l'"autorità di vigilanza" ai sensi del GDPR, può implicare lunghe indagini preliminari o discussioni prima che vengano adottate ingiunzioni o concessi indennizzi.
L'autorità di vigilanza ha poteri di ingiunzione e di condanna a pesanti ammende (art. 83 parag. 5, b), ma, agendo come un pubblico ministero che difende in primo luogo gli interessi della società, può essere riluttante ad agire rapidamente sulla base della mera richiesta di un individuo e più desiderosa di procedere a indagini che richiedono tempo.
Il vantaggio di un deferimento all'autorità di vigilanza è che questa può intervenire a livello europeo, talvolta in emergenza, con la collaborazione di altre autorità di vigilanza nazionali. Al contrario, il deferimento ai tribunali civili o penali nazionali può essere illusorio per ottenere ingiunzioni e sanzioni nei casi in cui sono implicati aspetti stranieri (si tratta di un processo verticale / non orizzontale inter partes).
Le giurisdizioni penali intervengono principalmente per giudicare la responsabilità penale e per emettere condanne penali (principalmente pene detentive, multe, ingiunzioni accessorie e indennizzi), dopo indagini approfondite.
Le giurisdizioni civili, nell'ambito delle normali procedure, intervengono principalmente per giudicare le responsabilità civili, per concedere indennizzi e per emettere ingiunzioni, dopo una discussione approfondita e in contraddittorio.
A CONFRONTO, la procedura giudiziaria d'urgenza può apparire più efficiente per sollecitare, almeno a livello nazionale, una cessazione immediata del trattamento - e in alternativa, ALMENO, una limitazione immediata di tale trattamento senza dover attendere la fine di un processo di merito, quando è probabile che il responsabile del trattamento adotti una resistenza e una volontà di dimostrare la legittimità del suo trattamento.
Come già detto, questa possibilità di "restrizione" è prevista dall'articolo 18 del GDPR e questo è, tra l'altro, uno dei principali contributi del GDPR rispetto alla precedente direttiva UE 95/46/CE e all'attuale legge francese relativa ai dati personali "loi informatique et liberté n° 78-17 du 6 janvier 1978 relative à l'informatique, aux fichiers et aux libertés".
15 maggio 2018
Italian 
French 
English 
German 
Spanish 
Portuguese