Legal Aspects - FAQ

1. Quando un dato si definisce sensibile?

Secondo la Legge sulla privacy (d.lgs. 196/2003),  ed in particolare l’art. 4, per “dato sensibile”, si intende un dato personale idoneo a rivelare l’origine razziale ed etnica, le convinzioni religiose, filosofiche o di altro genere, le opinioni politiche, l’adesione a partiti, sindacati, associazioni od organizzazioni a carattere religioso, filosofico, politico o sindacale, nonché il dato personale idoneo a rivelare lo stato di salute e la vita sessuale.

Tutti quei dati non compresi nella categoria dei dati sensibili, (a titolo esemplificativo nome e cognome, indirizzo, numero di telefono, titolo di studio, codice fiscale, coordinate bancarie, etc.) vengono definiti “dati comuni”.

Sia i dati sensibili che quelli comuni rientrano nella più generale categoria di “dati personali”. La nozione di “dato personale” comprende infatti ogni notizia, informazione o elemento che abbia un’efficacia informativa tale da fornire un contributo di conoscenza rispetto ad un soggetto identificato o identificabile (Gar., ex multis, 13.10.1999, in boll. n. 11-12, p.61).

1.1 Un dato anonimizzato perde la sua natura di dato sensibile?

Con "dati anonimi", ai sensi della direttiva Comunitaria, si intendono le informazioni concernenti una persona fisica che non può essere identificata né dal Titolare del trattamento né da altri, prendendo in considerazione l'insieme dei mezzi che possono essere ragionevolmente utilizzati dal responsabile del trattamento o da altri per identificarla.

I "dati anonimizzati" sono dati, originariamente corrispondenti a una persona identificabile, ma che, a seguito di un processo di anonimizzazione, non ne permettono più l'identificazione, e diventano quindi anonimi a tutti gli effetti.

La circolazione del dato anonimo è libera e priva di limitazioni. La distinzione tra dati sensibili e dati comuni ha rilevanza solo nel caso di trattamento di dato personale, concernente un soggetto identificato o identificabile quindi. La normativa in vigore disciplina esclusivamente il trattamento di “dati personali”. Nel caso in cui si discuta di un dato anonimizzato (dunque anonimo), la distinzione tra dati sensibili e non sensibili non ha ragion d’essere.

1.2 I dati presenti negli archivi sanitari informatizzati sono solo dati sensibili?

No, non necessariamente.

Negli archivi sanitari informatizzati (es. anagrafe assistiti, raccolta prescrizioni farmaceutiche, raccolta schede dimissioni ospedaliere etc.) non si trovano solo dati sensibili. A mero titolo esemplificativo si consideri una cartella clinica relativa al paziente X, contenuta in un archivio informatizzato presso un’Azienda Ospedaliera. Leggendo tale cartella sarà possibile rinvenire dati personali come la professione del paziente X, il suo numero di cellulare, l’esistenza di fratelli e sorelle o l’esistenza di figli etc., la cui natura non è quella di dato sensibile.

2. Se alcuni dati provenienti da archivi sanitari informatizzati sono stati raccolti per un progetto, una volta terminato lo stesso, come devono essere trattati? Possono essere utilizzati per un altro progetto?

Il codice della privacy impone precise regole per la custodia dei dati personali che si trovano su supporto informatizzato o su supporto cartaceo o di altra natura. Il codice impone altresì precise regole per la distruzione dei supporti, su cui si trovano dati sensibili, quando essi debbono essere cancellati, ad esempio nell’ipotesi in cui, terminato il progetto per cui sono stati raccolti, si esaurisca il periodo di conservazione obbligatorio, in base alle finalità dichiarata in fase di raccolta.

ALLEGATO B Codice Privacy Punto 22. “I supporti rimovibili contenenti dati sensibili o giudiziari se non utilizzati sono distrutti o resi inutilizzabili, ovvero possono essere riutilizzati da altri incaricati, non autorizzati al trattamento degli stessi dati, se le informazioni precedentemente in essi contenute non sono intelligibili e tecnicamente in alcun modo ricostruibili.

Dal tenore di tale disposizione si ricava come il Garante abbia inteso assicurare che i dati, una volta utilizzati per le finalità per cui sono stati acquisiti, vengano eliminati. In ogni caso, i dati e i campioni biologici delle persone che si sottopongono a sperimentazioni e studi osservazionali devono essere conservati per un arco di tempo non superiore a quello necessario per conseguire le finalità per le quali sono stati raccolti e trattati (art.11, comma 1, lett. e Codice Privacy).

La normativa impone inoltre che la finalità per cui avviene il Trattamento sia chiaramente esplicitata nel modulo di consenso che il paziente sottoscrive nel momento in cui decide di partecipare ad un progetto di ricerca.

Nell’ attuale Autorizzazione del Garante al trattamento dei dati genetici si rinviene infatti il seguente disposto: “i dati genetici possono essere trattati e i campioni biologici utilizzati soltanto per gli scopi … rispetto ai quali la persona abbia manifestato previamente e per iscritto il proprio consenso informato”. In tal senso si esprime il Garante anche riguardo ai dati sanitari: “ … al fine della conservazione, anche mediante controlli periodici, deve essere verificata costantemente la stretta pertinenza, non eccedenza e indispensabilità dei dati rispetto al rapporto, alla prestazione o all’incarico in corso, da instaurare o cessati, anche con riferimento ai dati che l’interessato fornisce di propria iniziativa”.

Vi sono però casi eccezionali in cui i dati raccolti per determinati progetti possono essere riutilizzati senza la necessità di acquisire un nuovo consenso dell’interessato. La conservazione e l’ulteriore utilizzo dei dati per la realizzazione di progetti di ricerca e indagini statistiche, diversi da quelli per i quali è stato originariamente acquisito il consenso informato degli interessati, sono consentiti limitatamente al perseguimento di scopi scientifici e statistici direttamente collegati con quelli originari (Art.8 Aut. Garante tratt.dati genetici). Dalla disposizione del Garante si evince quindi che sarà possibile riutilizzare i dati correttamente conservati negli archivi sanitari informatizzati solo per un progetto che risulta essere direttamente collegato a quello terminato.

Vi è un’altra possibile eccezione all’eliminazione dei dati relativi ad un progetto terminato. Ai sensi dell’art. 11 del Codice deontologico e di buona condotta per i trattamenti di dati personali per scopi statistici e scientifici, è consentito trattare dati personali, nell’ambito di ricerche in campo epidemiologico, anche in assenza del consenso degli interessati, soltanto in presenza di particolari ragioni di carattere etico, metodologico o di impossibilità organizzativa, dalle quali derivi l’impossibilità di informare gli interessati, a condizione che il programma di ricerca sia stato oggetto di motivato parere favorevole del competente comitato etico e che il trattamento sia autorizzato dal Garante. Solo nel caso in cui ci si trovi in queste condizioni, sarà dunque possibile riutilizzare i dati contenuti nell’archivio sanitario per un nuovo progetto, senza la necessità di acquisire nuovamente i consensi degli interessati.

3. Di chi è la proprietà di una banca dati?

Per stabilire a chi è attribuita la proprietà di una banca dati, va preliminarmente chiarita la distinzione tra la figura del “titolare del trattamento dati” e quella del titolare, o meglio proprietario della banca dati. Come “titolare del trattamento dati” la normativa intende la persona fisica o giuridica, la Pubblica Amministrazione e qualsiasi altro ente, associazione od organismo cui competono, anche unitamente ad altro titolare, le decisioni in ordine alle finalità alle modalità del trattamento dati personali e agli strumenti utilizzati, ivi compreso il profilo della sicurezza (art. 28 Codice Privacy). Ben diversa è invece la figura del “proprietario della banca” dati, che è i la persona fisica o giuridica che costituisce la banca dati stessa. Le due figure, quindi, non coincidono. Il proprietario della banca dati, in quanto tale, si trova a dover rispettare precisi obblighi, imposti dalla legge, per la costituzione e la conservazione dei dati ivi contenuti. Solo a titolo esemplificativo:

  • deve acquisire i dati con il consenso degli interessati;
  • deve rispettare le finalità di utilizzo dichiarate nell’informativa fornita all’interessato;
  • può comunicare i dati a terzi solo previo consenso dell’interessato;
  • deve gestire la banca dati nel rispetto delle misure minime di sicurezza richieste;
  • ha l’obbligo di fornire informazioni all’interessato sui propri dati;
  • ha l’obbligo di cancellare il dato se l’interessato lo richiede (con la possibilità, concessa dal Garante privacy, agli operatori di ricerca clinica di mantenere i dati già acquisiti).

In sostanza, si può correttamente affermare che la banca dati è di proprietà di chi la costituisce, ma i dati personali ivi contenuti rimangono di proprietà dell’interessato che continua ad esercitarne tutti i diritti relativi, fra cui, non ultimo, il diritto di revocare il consenso al trattamento dei proprio dati (art.7 Codice Privacy).

Una recente sentenza della corte distrettuale del Missouri, negli Stati Uniti, ha messo in discussione tale impostazione. Nel dispositivo, il Giudice attribuisce la proprietà di alcuni campioni biologici, contenuti in una biobanca conservata presso l’Università di Washington, all’ Università stessa. La considerazione da cui l’Autorità giudiziaria muove le proprie conclusioni è quella secondo cui tali campioni sarebbero materia autonoma rispetto all’individuo, che, manifestando il proprio consenso scritto al trattamento, ne aliena la proprietà (District Court for the Eastern District of Missouri 31 marzo 2006). Si tratta, però, di un’elaborazione ancora esterna al diritto italiano.

Pare opportuno segnalare inoltre il recente dibattito riguardante la proprietà intellettuale delle banche dati. Una raccolta di opere, dati o altri elementi indipendenti sistematicamente o metodicamente disposti ed individualmente accessibili grazie a mezzi elettronici o in altro modo (i.e. banca dati) costituisce una creazione intellettuale ed è pertanto suscettibile di protezione da parte dell’ordinamento. La tutela delle banche di dati in base al diritto d'autore non si estende al loro contenuto e lascia impregiudicati i diritti esistenti su tale contenuto (Trattato Ompi, Ginevra 1996).

Assodato dunque che la banca dati sia suscettibile della tutela che si accorda ad ogni opera dell’ingegno, controversa rimane la natura di tale diritto, assimilabile al diritto d’autore, ma caratteristica a tal punto da meritarsi, secondo alcune autorevoli voci dottrinali, la classificazione di un diritto “sui generis”.

4. Chi risponde civilmente e/o penalmente per l'inosservanza delle disposizioni contenute nel D.lgs 196/2003? Quali sono le sanzioni previste?

Sono responsabili civilmente e penalmente tutti coloro che essendo tenuti al rispetto degli obblighi imposti dal Codice sulla Privacy non vi provvedano, siano essi Titolari, Responsabili ed Incaricati. In buona sostanza si tratta di tutti coloro che pongono in essere un’attività che comporti un trattamento dei dati personali e non adottano i comportamenti a cui sono tenuti. Preliminarmente è opportuno chiarire cosa si intende per responsabilità civile e responsabilità penale.

Un soggetto incorrerà nella responsabilità penale laddove ponga in atto un comportamento vietato da una norma penale e da questa qualificato come reato. E’ reato ogni comportamento sanzionato dall’ordinamento con l’applicazione di una pena (ergastolo, reclusione, multa, arresto o ammenda).

Diversamente, un soggetto sarà considerato responsabile civilmente quando, avendo compiuto un atto illecito, ovvero avendo violato una norma dell’ordinamento, è obbligato dall’ordinamento a risarcire il danno causato con il suo comportamento. In sintesi, la violazione di una norma giuridica può comportare una responsabilità penale o una responsabilità civile secondo il tipo di conseguenza prevista dall’ordinamento per tale violazione. Si tratterà di responsabilità penale nel caso in cui la legge prevede in capo all’autore l’applicazione di una pena. Si tratterà di responsabilità civile, laddove la legge obblighi l’autore dell’atto illecito a risarcire il danno provocato. Tuttavia un atto illecito può essere fonte sia di responsabilità penale che di responsabilità civile.

Il Codice sulla protezione dei dati personali prevede tre tipi di responsabilità, e dunque tre diversi tipi di conseguenze sanzionatorie, in relazione ai differenti illeciti che possono essere compiuti. Chi non osserva le disposizioni contenute nel Codice può essere ritenuto responsabile a livello civile, amministrativo o addirittura penale. L’illecito civile è disciplinato nell’art. 15 del Codice, che assimila l’attività di trattamento dei dati personali a quelle definite pericolose ai sensi dell’art. 2050 c.c. (“Chiunque cagiona un danno ad altri nello svolgimento di un’attività pericolosa, per sua natura o per la natura dei mezzi adoperati, è tenuto al risarcimento, se non prova di aver adottato tutte le misure idonee ad evitare il danno”). Si parla a riguardo di responsabilità oggettiva ossia ipotesi in cui il soggetto che ha causato il danno è responsabile semplicemente perché ha posto in essere un certo comportamento, a nulla rilevando se lo abbia fatto volutamente o per mancanza di attenzione. La disciplina della responsabilità oggettiva implica l’inversione dell’onere della prova.

Normalmente nel nostro sistema processuale civile chi agisce in giudizio per far valere un proprio diritto ha l’arduo compito di dimostrare la responsabilità della controparte e l’ammontare del danno a fondamento della propria pretesa altrimenti si vedrà rigettata la sua domanda giudiziale. Nell’ipotesi dell’esercizio di attività pericolose e dell’art. 15 del D.Lgs. 196/03, trattandosi di responsabilità civile aggravata, il sistema della prova in giudizio è invertito. Pertanto spetta a chi è chiamato in giudizio dimostrare che, nell’utilizzo dei dati, ha adottato tutte le misure e tutti gli accorgimenti forniti dalla tecnica idonei ad evitare o meglio a prevenire il danno. E’ evidente che non basta la prova negativa di non aver commesso alcuna violazione delle norme di legge o di comune prudenza, ma occorre quella positiva di aver impiegato ogni misura atta ad impedire l’evento dannoso. Sono previste quattro fattispecie di illecito amministrativo e quindi quattro diverse ipotesi sanzionatorie:

ARTICOLO RUBRICA VIOLAZIONE AMMINISTRATIVA
161 Omessa o inidonea informativa all’interessato La violazione delle disposizioni implica una sanzione base del pagamento di una somma da 3.000 a 18.000 euro. Nel caso in cui l’omissione dell’informativa riguardi dati sensibili, cioè quelle informazioni ad alta potenzialità lesiva, come ad esempio le notizie relative alla salute di una persona, la sanzione è più grave e va da 5.000 a 30.000 euro.
162 Altre fattispecie La cessione di dati in violazione delle normativa del Codice della privacy è punita con il pagamento della somma da 5.000 a 30.000 euro.
163 Omessa o incompleta notificazione Chiunque essendovi tenuto non provvede alla notificazione ai sensi dell’articoli 37 e 38, ovvero indica in esso notizie incomplete, è punito con la sanzione amministrativa del pagamento di una somma da 10.000 a 60.000 euro e la sanzione amministrativa accessoria della pubblicazione per intero o per estratto, in uno o più giornali indicati, nel provvedimento che la applica.
164 Omessa informazione o esibizione al Garante Chiunque omette di fornire informazioni o esibire i documenti richiesti dal Garante ai sensi degli articoli 150, comma 2, e 157 è punito con la sanzione amministrativa del pagamento di una somma da 4.000 a 24.000 euro.

In tutte le ipotesi sopra indicate organo competente a imporre le sanzioni è il Garante per la protezione dei dati personali e la relativa procedura è disciplinata dall’art. 166 del D.Lgs. 196/2003.

Le sanzioni sono previste dal titolo III della parte III del Codice. Il Codice, inoltre, disciplina le seguenti figure di reato:

ARTICOLO RUBRICA ILLECITI PENALI
167 Trattamento illecito dei dati La violazione implica come conseguenza sanzionatoria, a seconda delle ipotesi, la reclusione da 6 a 18 mesi, oppure da 6 a 24 mesi, o ancora da 1 a 3 anni, sempre che si agisca al fine di trarre per sé o per altri un profitto o di recare ad altri un danno.
168 Falsità nelle dichiarazioni e notificazioni al Garante Sanzione prevista è la reclusione da 6 mesi a 3 anni sempre che il fatto non costituisca più grave reato.
169 Misure di sicurezza L’omissione di adozione delle misure minime di sicurezza porta all’arresto sino a 2 anni o all’ammenda da 10.000 a 50.000 euro che in casi di particolare rilevanza è elevabile a 250.000 euro, salvo il cosidetto ravvedimento operoso che porterebbe ad una situazione di non punibilità.
170 Inosservanza dei provvedimenti del Garante Nelle fattispecie di maggiore rilevanza l’inosservanza dei provvedimenti del Garante è sanzionata con la reclusione da 3 mesi a 2 anni.

 

5.Chi sono i soggetti pubblici? Quali sono gli adempimenti a cui sono tenuti gli organismi sanitari pubblici?

l soggetto pubblici sono persone giuridiche, centri d’imputazione d’interessi dotati di personalità giuridica (con capacità giuridica e capacità di agire). I soggetti essendo pubblici hanno il dovere di curare l’interesse generale. Il Codice sulla Privacy chiarisce che i soggetti pubblici, ad eccezione di quanto previsto per i medici e gli organismi sanitari, non devono chiedere il consenso dell’interessato alla raccolta ed al trattamento dei dati. Queste operazioni sono infatti consentite ai soggetti pubblici parallelamente allo svolgimento delle funzioni istituzionali, anche in mancanza di norme di legge o di regolamento che li prevedano espressamente. In particolare si esclude il consenso in caso di:

  1. trattamento effettuato per adempiere a prescrizioni di legge/regolamenti/norme CE;
  2. trattamento necessario per eseguire un contratto di cui sia parte l’interessato o, prima della conclusione del contratto, per adempiere a specifiche richieste dell’interessato;
  3. trattamento di dati provenienti da pubblici registri, elenchi o atti di dominio pubblico;
  4. trattamento necessario per la salvaguardia della vita/incolumità fisica di un terzo;
  5. trattamento necessario per lo svolgimento di investigazioni difensive o per far valere o difendere un diritto in sede giudiziaria;
  6. trattamento necessario, nei casi individuati dal Garante, per perseguire un interesse legittimo del titolare o del terzo destinatario dei dati;
  7. trattamento effettuato da associazioni, enti od organismi senza scopo di lucro, anche non riconosciuti, ove il trattamento abbia ad oggetto dati degli aderenti o di soggetti che abbiano con l’ente dei contatti regolari;
  8. il trattamento necessario, nel rispetto dei rispettivi codici deontologici, per scopi di archiviazione scientifica, statistica o storica.

E’ opportuno sottolineare che in base alle previsioni del Codice dovranno essere gli amministratori a dover adeguare il trattamento dei dati alla funzione istituzionale concretamente perseguita. I soggetti pubblici, quindi, possono trattare i dati a prescindere dal consenso, nei casi di cui sopra. L’informativa, invece, deve sempre essere data, in quanto non vi sono eccezioni specificatamente a favore della pubblica amministrazione. I soggetti pubblici, inoltre, dovranno dotarsi di norme regolamentari specifiche che garantiscano i diritti fondamentali riconosciuti dalla legge.

A differenza dei soggetti pubblici, i privati e gli enti pubblici economici (esempio Università, Camere di Commercio, Ordini professionali ecc..) possono trattare dati personali solo se vi è il consenso preventivo espresso dall’interessato, oppure uno dei presupposti di liceità previsti in alternativa al consenso (artt. 23 e 24 del Codice).

Agli organismi sanitari pubblici si applicano le prescrizioni dell’art. 76 del Codice, che escludono l’obbligo di richiesta di autorizzazione al Garante, con il consenso dell’interessato, nel caso di trattamento di dati idonei a rilevare lo stato di salute, limitatamente ai dati e alle operazioni indispensabili per il perseguimento di finalità di tutela della incolumità fisica e della salute dell’interessato.

I soggetti pubblici devono adempiere, inoltre, all’importante obbligo di adottare le “misure di sicurezza” per garantire la sicurezza nella propria attività di trattamento dei dati.

6. Secondo la normativa vigente quali sono le misure di sicurezza da adottare per il trattamento dei dati?

Il Testo Unico sulla privacy affronta il tema della sicurezza al Titolo V della Parte Prima. Le misure di sicurezza sono quegli accorgimenti tecnici da porre in essere al fine di proteggere i dati personali oggetto di trattamento. Due, in particolare, le misure di sicurezza che vengono in rilievo: quelle c.d.“minime” e quelle c.d.“idonee”.

Le prime, previste in via generale dagli artt.33 e ss. T.U., sono in concreto individuate dal disciplinare tecnico di cui al c.d.”allegato B” (che sostituisce il sistema delle “misure minime” del d.P.R. 318/99, ora abrogato, emanato in attuazione dell’art.15 della L.675/96) e sono volte ad assicurare un livello minimo di protezione dei dati personali. Un livello al di sotto del quale non si può scendere: il mancato rispetto di dette misure, infatti, ai sensi dell’art. 169 T.U. costituisce reato, punito con l’arresto fino a 2 anni o con l’ammenda da 10.000 a 50.000 Euro.

Le misure cosiddette “idonee”, sono disciplinate in particolare dall’art. 31 del D.Lgs. 196/2003. Tali misure se adottate correttamente esonerano da qualsiasi tipo di responsabilità (civile e penale) il titolare del trattamento. Le misure minime si suddividono in due categorie, a seconda che il trattamento dei dati personali avvenga “con” o “senza” strumenti elettronici.

Per quanto concerne la prima ipotesi, va rilevato che l’art. 34 T.U. elenca ben otto misure minime:

  • autenticazione informatica;
  • procedure di gestione delle credenziali di autorizzazione;
  • aggiornamento periodico dell’individuazione dell’ambito di trattamento per singolo incaricato;
  • protezione di strumenti informatici e dati rispetto alla pirateria informatica;
  • adozione di procedure di back up e di ripristino della disponibilità dei dati e dei sistemi;
  • tenuta di aggiornato documento programmatico di sicurezza;
  • adozione di tecniche di cifratura per i trattamenti di dati sensibili nel caso vengano effettuati da organismi sanitari.

Anche nella seconda ipotesi e cioè quando i dati vengono trattati senza l’ausilio di strumenti elettronici, ovvero in forma “tradizionale” o “cartacea”, sussiste l’obbligo di adottare misure minime di sicurezza previste dall’art. 35 del D.Lgs. 196/2003 ed in particolare quelle indicate dal punto 27 al punto 29 dell’Allegato B a cui si rimanda.

Le misure c.d “idonee”, sono disciplinate dall’art. 31 T.U., articolo che impone al titolare del trattamento dei dati personali di predisporre tutte le misure di sicurezza idonee a ridurre al minimo “i rischi di distruzione o perdita, anche accidentale, dei dati stessi, di accesso non autorizzato o di trattamento non consentito o non conforme alle finalità della raccolta”.

Pertanto se l’adeguamento alle “misure minime” implica l’assenza di responsabilità penali, tale adeguamento non è sufficiente per affrancarsi da responsabilità civile qualora l’evoluzione tecnologica renda disponibili accorgimenti ulteriori che soddisfino le misure dichiarate “idonee”. Ciò perché – ai sensi dell’art. 15 T.U. – “chiunque cagiona danno ad altri per effetto del trattamento dei dati personali è tenuto al risarcimento ai sensi dell’art. 2050 c.c.” cioè l’autore del trattamento risponde a titolo di responsabilità oggettiva per l’ esercizio di attività pericolose.

L’art. 2050 c.c., come già ribadito, prevede che l’esercente l’attività pericolosa - e quindi, nel nostro caso, il titolare del trattamento - vada esente da responsabilità solo se riesce a dimostrare di aver adottato tutte le misure idonee ad evitare il danno. In caso contrario, ai sensi del 2°comma dell’art. 15 T.U., egli dovrà rispondere anche del danno non patrimoniale. L’adeguamento alla previsione di cui all’articolo 2050 c.c. è particolarmente difficoltoso. Secondo la giurisprudenza, infatti, può provare di aver adottato ogni misura idonea chi dimostri di aver rispettato “tutte le tecniche note” – anche solo astrattamente possibili – all’epoca del fatto (cfr. Tribunale di Milano, 19 novembre 1987, in Foro Italiano, 1988, I, 144).

Da altro punto di vista, è opportuno precisare che nell’ambito dei danni da risarcire non sarà incluso il solo pregiudizio patrimoniale (nelle note forme del “danno emergente” e “lucro cessante”), ma anche il danno morale, come si desume dall’inequivoco tenore dell’art.15 D.Lgs. 196/03. L’espressa estensione al trattamento di dati personali della risarcibilità del danno non patrimoniale è sintomatica della particolare attenzione che il Legislatore ha voluto rivolgere ai danneggiati, dal momento che il danno che ricorre più frequentemente è proprio quello relativo alla sfera morale dell’individuo, di cui sarebbe stata altrimenti esclusa la risarcibilità (stante il precetto dell’art. 2059 c.c.).

Il titolare e il responsabile, perciò, oltre alle misure minime previste, devono anche adottare misure di prevenzione “idonee” a ridurre - per quanto possibile - i rischi, prevenibili e prevedibili, che incombono sui dati.