G.D.P.R.: la minimizzazione del trattamento di dati. Quali possibili ricadute in ambito giudiziario?

Due recenti provvedimenti della Corte di cassazione civile – Sez. III, ordinanza interlocutoria n. 28084/2018, depositata il 5 novembre e Sez. I, sentenza 29 maggio, depositata il 29 agosto 2018, n. 21362 – consentono di riflettere sul c.d. diritto all'oblio in riferimento a uno dei principi cardine del c.d. G.D.P.R., quello della minimizzazione del trattamento dei dati personali: gli approdi dei giudici di legittimità, ove letti in riferimento a recenti provvedimenti del Garante della privacy, sono di indubbio interesse, anche in sede penale, dal momento che si tratta di materia trasversale alle due branche del diritto.

Nel primo caso (Cass. civ. 28084/2018), dopo un periodo di reclusione durato 12 anni per omicidio della moglie e un nuovo faticoso reinserimento sociale, il condannato tornava nuovamente al centro dell'attenzione a causa di un articolo pubblicato su un giornale locale che aveva “riesumato” la sua vicenda all'interno di una rubrica dedicata agli omicidi del passato di maggior rilievo sociale. Esperiva ricorso al Garante della privacyper ottenere il diritto all'oblio ma questo veniva respinto. Successivamente, il tribunale negava la tutela richiesta sulla scorta della libertà della stampa da ingerenze di qualsiasi tipo. Infine, la Corte di appello confermava il giudizio di primo grado, giustificando la rievocazione della vicenda nel contesto di una rubrica strutturata per stimolare la riflessione sociale su temi delicati quali l'emarginazione, la gelosia, la depressione, la prostituzione con i relativi epiloghi infausti. Ne seguiva il ricorso in Cassazione.

Nel secondo caso (Cass. civ., 21362/2018), un professionista, a seguito della sottoposizione ad indagini penali conclusesi con l'accertamento della sua estraneità ai reati ascritti, richiedeva la cancellazione dei suoi dati personali dagli archivi del Ced Interforze istituito presso il Dipartimento della Pubblica Sicurezza, Direzione Centrale della Polizia Criminale, domandando in subordine la trasformazione dei dati in forma anonima. Il tribunale di Roma, sentenza del 24 marzo 2014, rigettava la domanda affermando che la cancellazione può essere ordinata soltanto nell'ipotesi in cui si tratti di dati inesatti o illegittimamente acquisiti. Diversamente, in caso di dati incompleti, ad esempio perché non vi sia stata l'annotazione del provvedimento di archiviazione o proscioglimento, può disporsi soltanto l'integrazione. Il professionista impugnava la decisione del tribunale innanzi la Corte di cassazione lamentando come la sentenza non avesse considerato che la semplice annotazione dell'esito delle indagini concluse con l'archiviazione della propria posizione non facesse venir meno l'associazione del proprio nominativo con quello degli altri indagati con conseguente lesione del suo diritto alla riservatezza, oltre che della propria immagine personale e professionale. Riteneva inoltre che la conservazione del proprio nominativo a tempo indeterminato non rispondesse ad alcuna funzione di prevenzione o repressione dei reati, ma accrescesse unicamente il danno alla reputazione e credibilità personale essendo l'accesso consentito ai soggetti operanti nel suo stesso settore di attività.

La prima vicenda è stata delibata da Cassazione civile, Sez. III, ordinanza interlocutoria n. 28084/2018, depositata il 5 novembre.

Secondo i giudici di legittimità, la fonte del diritto all'oblio risiederebbe nell'art. 17 del G.D.P.R. 2016/679, a esso dedicato interamente e distinto in due parti: una elencherebbe le ipotesi in cui si può chiedere il diritto all'oblio; mentre l'altra disciplinerebbe le ipotesi in cui non è ammesso il diritto all'oblio.

Secondo l'art. citato (comma 1) l'interessato ha il diritto di ottenere dal titolare del trattamento la cancellazione dei dati personali che lo riguardano, senza ingiustificato ritardo, e il titolare del trattamento ha l'obbligo di cancellare, sempre senza ingiustificato ritardo, i dati personali, quando sussiste uno dei motivi seguenti:
a) i dati personali non sono più necessari rispetto alle finalità per le quali sono stati raccolti o altrimenti trattati;

b) l'interessato revoca il consenso su cui si basa il trattamento conformemente all'art. 6, paragrafo 1, lett. a), o all'art. 9, paragrafo 2, lett. a), e se non sussiste altro fondamento giuridico per il trattamento;
c) l'interessato si oppone al trattamento ai sensi dell'art. 21, paragrafo 1, e non sussiste alcun motivo legittimo prevalente per procedere al trattamento, oppure si oppone al trattamento ai sensi dell'art. 21, paragrafo 2;

d) i dati personali sono stati trattati illecitamente;

e) i dati personali devono essere cancellati per adempiere un obbligo legale previsto dal diritto dell'Unione o dello Stato membro cui è soggetto il titolare del trattamento;

f) i dati personali sono stati raccolti relativamente all'offerta di servizi della società dell'informazione di cui all'art. 8, paragrafo 1.

A contrario, secondo la lettera del comma 3, il diritto all'oblio non può essere riconosciuto quando il trattamento è necessario:
a) per l'esercizio del diritto alla libertà di espressione e di informazione;

b) per l'adempimento di un obbligo legale che richieda il trattamento previsto dal diritto dell'Unione o dello Stato membro cui è soggetto il titolare del trattamento o per l'esecuzione di un compito svolto nel pubblico interesse oppure nell'esercizio di pubblici poteri di cui è investito il titolare del trattamento;

c) per motivi di interesse pubblico nel settore della sanità pubblica in conformità dell'art. 9, paragrafo 2, lett. h) e i), e dell'art. 9, paragrafo 3;

d) a fini di archiviazione nel pubblico interesse, di ricerca scientifica o storica o a fini statistici conformemente all'art. 89, paragrafo 1, nella misura in cui il diritto di cui al paragrafo 1 rischi di rendere impossibile o di pregiudicare gravemente il conseguimento degli obiettivi di tale trattamento;
e) per l'accertamento, l'esercizio o la difesa di un diritto in sede giudiziaria».

Tuttavia a ben vedere, la rubrica dell'art. 17 reca diritto alla cancellazione («diritto all'oblio»).

In dottrina si è efficacemente parlato di “un'operazione di marketing legislativo” dal momento che il diritto all'oblio e il diritto alla cancellazione non sono perfettamente sovrapponibili: di fatto l'articolo 17 regolamento Ue 679/2016 tratta dei presupposti della cancellazione, come già avveniva nella legislazione previgente, senza prendere posizione sul bilanciamento tra diritto di cronaca e diritti personalissimi. Pertanto nel valutare le richieste di cancellazione, da intendersi come venir meno dell'interesse pubblico alla pubblicazione di una notizia, i titolari del trattamento non troveranno in questo articolo indicazioni ulteriori e dovranno fare riferimento alla giurisprudenza in materia e alle linee guida rilasciate dal Gruppo di lavoro ex art. 29 in seguito alla sentenza Google Spain (così Marino, in Il processo di adeguamento al G.D.P.R., a cura di Cassano, Colarocco, Gallus, Micozzi, Giuffrè Francis Lefebre, 2018).

E infatti, la Cassazione, ordinanza interlocutoria n. 28084/2018, a conclusione di una puntuale disamina della giurisprudenza interna e internazionale, ha espresso l'esigenza di certezza del diritto: «sarebbe opportuno sia per gli operatori del diritto sia per i cittadini conoscere preventivamente i presupposti per ammettere il diritto all'oblio e per determinare i contorni di quell'interesse pubblico effettivo e di attualità in grado di legittimare la “ripubblicazione” di vicende personali del passato».

A tal fine è stata proposta istanza di rimessione della questione alle Sezioni unite.

Mentre la Sez. III civile ha ritenuto opportuno sollecitare l'intervento della più autorevole composizione di questo organo giudiziario, Cassazione civile, Sez. I, sentenza 29 maggio 2018, n. 21362, si è limitata a prendere atto dell'emersione della figura del c.d. diritto all'oblio che ha trovato definitiva consacrazione nel regolamento europeo di recente attuazione n. 2016/679 e ha riconosciuto la facoltà dell'interessato di ottenere, senza giustificato ritardo, la cancellazione dei dati che lo riguardano non solo in caso di revoca del consenso, opposizione, trattamento illecito, offerta ai minori di servizi di informazione o esistenza di obblighi previsti dal diritto comunitario o interno ma anche nel caso in cui gli stessi non siano più necessari per le finalità per le quali sono stati raccolti o trattati.

Nel frattempo, in epoca successiva alla proposizione del ricorso per Cassazione, è intervenuto il d.P.R. 15 gennaio 2018, n. 15, recante il regolamento per il trattamento dei dati effettuato per finalità di polizia.

Lo stesso prevede, all'art. 10 d.P.R. 15/2018, che il periodo di conservazione non debba essere superiore a quello necessario per il conseguimento delle finalità di polizia e precisa che i dati personali soggetti a trattamento automatizzato, trascorsa la metà del tempo massimo di conservazione, se uguale o superiore ai quindici anni, sono accessibili ai soli operatori a ciò abilitati e designati, incaricati del trattamento secondo profili di autorizzazione predefiniti.

La Cassazione prende atto di come le norme in questione siano il risultato di un difficile bilanciamento tra l'interesse collettivo all'esercizio dei compiti di prevenzione e repressione dei reati e di tutela dell'ordine e della sicurezza pubblica, sotteso all'acquisizione e al trattamento di informazioni da parte delle forze di polizia e quello individuale alla tutela della propria sfera di riservatezza che trova espressione non solo nell'esigenza di garantire la correttezza, la completezza e l'aggiornamento dei dati trattati, vi è inoltre l'esigenza di assicurare che l'acquisizione, la comunicazione e la diffusione degli stessi abbiano luogo conformemente alle finalità del trattamento, conservando la possibilità di ottenere la cancellazione allorché debbano ritenersi venute meno le finalità che ne giustificano la conservazione.

La Suprema Corte ha ritenuto che l'insieme delle cautele previste, la rigorosa definizione delle finalità del trattamento, con il controllo demandato al Garante e la possibilità di richiedere l'intervento dell'Autorità giudiziaria, fornisca un quadro di garanzie che consente di ritenere sostanzialmente rispettati i vincoli derivanti dalla normativa sovranazionale ed internazionale Cedu e regolamento Ue n. 2016/679.

In conclusione, l'art. 10, comma 3, lettera f), del d.P.R. 15/2018, che si occupa specificamente delle informazioni relative ad attività di polizia giudiziaria conclusasi con provvedimento di archiviazione, fissa in venti anni dell'emissione di tale provvedimento il termine per la conservazione dei dati. Mentre trascorsa la metà del predetto periodo l'accessibilità dei dati è limitata ai soli operatori a ciò abilitati. Tale previsione, secondo la sentenza, sarebbe estendibile al caso di specie stante la natura sostanziale della norma, anche se l'acquisizione dei dati e la proposizione dell'istanza di cancellazione è avvenuta in epoca anteriore all'entrata in vigore del regolamento.

La Cassazione, nella sentenza in commento, si è limitata a menzionare le perplessità espresse dal Garante per la protezione dei dati personali – pareri n. 86 del 2 marzo 2017 e n. 337 del 26 luglio 2017 – in merito alla lunghezza dei termini a tal fine previsti, senza tuttavia valutarne la portata.

Il Garante, nel parere n. 86 del 2 marzo 2017, reso su uno schema di d.P.R. ai sensi dell'art. 57 del codice, in tema di modalità attuative dei principi di protezione dei dati personali relativamente ai trattamenti effettuati per finalità di polizia da Organi, Uffici e Comandi di polizia, aveva osservato che i termini di conservazione dei dati personali in argomento indicati nello schema di d.P.R. apparivano, estremamente lunghi. Nel provvedimento, si rilevava che il Ministero dell'interno non avesse ritenuto di accogliere l'auspicio del Garante di introdurre una differenziazione dei termini di conservazione in relazione alla tipologia o gravità di reato, da individuare, eventualmente, in base alla pena edittale. Per il Garante sarebbe stato, comunque, necessario stabilire termini di conservazione sostanzialmente più brevi, con possibilità di prolungarli nei casi in cui ciò si rendesse effettivamente necessario.

Nel parere n. 337 del 26 luglio 2017, su uno schema di decreto del Presidente della Repubblica recante il Regolamento per la disciplina delle procedure di raccolta, accesso, comunicazione, correzione, cancellazione ed integrazione dei dati e delle informazioni registrati nel Ced, il Garante rilevava che, rispetto alla precedente versione, restavano valide le criticità sollevate nel pregresso parere riguardo lo schema di Regolamento generale, cui veniva fatto espresso rinvio.

Il Garante, dunque, aveva indicato due rimedi:

• da un lato la differenziazione dei termini di conservazione a seconda della gravità del reato e delle effettive esigenze di conservazione;
• dall'altro la necessità più generale di ridurre questi termini di conservazione.

Tali rimedi appaiono rispondere al principio della c.d. minimizzazione del trattamento dei dati personali, opportunamente valutato dal Garante privacyin due successivi provvedimenti che hanno avuto effetti dirompenti.

È noto, infatti, che, con provvedimento del 15 novembre 2018, il Garante Privacy, per la prima volta, ha esercitato il nuovo potere correttivo di avvertimento previsto dal Regolamento Ue 2016/679: segnatamente, ha avvertito l'Agenzia delle entrate del fatto che i trattamenti di dati personali effettuati nell'ambito della fatturazione elettronica ai sensi dell'art. 1 del decreto legislativo 5 agosto 2015, n. 127 e dei provvedimenti n. 89757 del 30 aprile 2018 e n. 291241 del 5 novembre 2018 del Direttore dell'Agenzia, possono violare gli artt. 5, 6, § 3, lett. b), 9, § 2, lett. g), 13, 14, 25 e 32 del Regolamento, applicabile dal 25 maggio 2018.

Dopo questo primo provvedimento, con quello successivo, n. 511 del 20 dicembre, il Garante è tornato in argomento, dopo aver indetto un tavolo di lavoro ove sono stati coinvolti, per gli aspetti di competenza, il Ministero dell'economia e delle finanze e l'Agenzia per l'Italia digitale, nonché il Consiglio nazionale dei dottori commercialisti e degli esperti contabili (C.N.D.C.E.C.), il Consiglio nazionale dell'ordine dei consulenti del lavoro e, in rappresentanza dei produttori di software gestionale e fiscale, l'associazione di categoria AssoSoftware.

Il nuovo obbligo di fatturazione elettronica comporta, secondo il Garante, un trattamento sistematico di dati personali su larga scala, relativo anche a dati che rientrano nelle categorie particolari e a dati relativi a condanne penali e reati di cui agli artt. 9 e 10 del Regolamento, potenzialmente riferibili ad ogni aspetto della vita quotidiana, che, presentando un rischio elevato per i diritti e le libertà degli interessati, richiede un'adeguata valutazione di impatto, ai sensi dell'art. 35 del Regolamento.

Tale trattamento a rischio elevato, essendo effettuato per l'esecuzione di un compito di interesse pubblico, è stato esaminato, quindi, anche ai sensi dell'art. 36, § 5, del Regolamento e dell'art. 2-quinquesdecies del codice.

In particolare, per quanto concerne gli aspetti d'interesse in questa sede, le fatture emesse dagli avvocati riportano, nella descrizione, informazioni specifiche sulle prestazioni eseguite riferibili a puntuali vicende giudiziarie, comportando quindi anche il trattamento di dati relativi a condanne penali e reati (artt. 9 e 10 del Regolamento).

Ad esempio, in alcuni dei casi, portati all'attenzione dell'Autorità dal Consiglio nazionale dei dottori commercialisti e degli esperti contabili (C.N.D.C.E.C.), si rinvengono compensi ed esposti fatturati ad una società per un “procedimento penale R.G.N.R. n. XXX, Procura della Repubblica, Ufficio Gip, presso tribunale XXX, a carico di XXX, rappresentante legale”.

Sulla base di tali considerazioni, pur rilevando che l'integrale memorizzazione delle fatture prevista dall'impianto originario dell'Agenzia potrebbe apparire prima facie la soluzione più efficiente e rapida per dare attuazione al nuovo obbligo previsto dal legislatore, nel corso del tavolo di lavoro, ha trovato conferma quanto già rilevato nel provvedimento del 15 novembre u.s., in ordine alla manifesta sproporzione di un siffatto trattamento, sistematico e generalizzato, relativo a miliardi di fatture emesse e ricevute, e dei relativi allegati, rispetto all'obiettivo di interesse pubblico, pur legittimo, perseguito, in relazione alle specifiche finalità sopra individuate; ciò, avuto riguardo anche ai rischi elevati per i diritti e le libertà degli interessati che un simile trattamento inevitabilmente determina.

La finalità perseguita attraverso una generalizzata messa a disposizione di tutti i contribuenti di tale servizio, anche in assenza di una loro specifica richiesta, non può giustificare, per impostazione predefinita, una complessiva e integrale archiviazione da parte dell'Agenzia delle entrate di miliardi di fatture che comporta il trattamento sistematico, e su larga scala, dei dati personali sopra descritti relativi alla totalità della popolazione, concernenti anche le condanne penali e i reati, con elevato e ingiustificato rischio per i diritti e le libertà degli interessati.

Come già evidenziato nel provvedimento del 15 novembre u.s., tale impostazione risulterebbe, oltre che sproporzionata, anche in manifesto contrasto con il principio di privacy by default, oltreché di minimizzazione e di privacy by design (artt. 5, comma 1, lett. c) e 25 del regolamento).

Come sopra evidenziato, le maggiori criticità rilevate in ordine all'obbligo di fatturazione elettronica, si riscontrano in relazione alle fatture emesse da esercenti la professione forense, poiché comportano il trattamento di dati relativi a condanne penali e reati, di regola non direttamente rilevante a fini fiscali, ma connesso alle descrizioni delle cessioni di beni e prestazioni di servizi oggetto di fatturazione.

Il Garante dunque ha fatto riferimento a uno dei principi cardine del trattamento dei dati personali desumibile dall'art. 5 del regolamento Ue 2016/16, quello della minimizzazione dei dati, secondo cui, per evitare una raccolta indiscriminata dei dati, questi devono essere adeguati, pertinenti e limitati a quanto necessario rispetto alle finalità per le quali sono trattati.

Non può ragionevolmente pensarsi che la “minimizzazione” valga solo per la tenuta dei dati economici e non per quelli giudiziari, ed in particolare per il decreto di archiviazione.

Per tornare al tema affrontato da Cass. sez. I Civile, sentenza 29 maggio – 29 agosto 2018, n. 21362, vero è che all'archiviazione può far seguito la riapertura delle indagini, ma allora il dato suscettibile di trattamento sarà costituito proprio dall'avvio di una nuova indagine.

In un momento come l'attuale, in cui si chiede ai “privati” di adeguarsi al G.D.P.R. per sottrarsi alle cospicue sanzioni previste in caso di violazioni, spesso sostenendo spese invero notevoli, non vi è ragione alcuna per cui la pubblica amministrazione possa andare esente da una rivisitazione del proprio operato: se ciò vale per l'Agenzia delle entrate, a maggior ragione se ne deve chiedere il rispetto in ambito giudiziario.

Chiunque abbia esperienza concreta di adeguamento al G.D.P.R. per aver operato presso aziende private, magari in qualità di Data Protection Officer (DPO), sa bene bene che devono essere predisposte policies aziendali in tema di privacyove si impone di non abbandonare documenti contenenti dati personali presso le fotocopiatrici e di adottare tutte le cautele necessarie perché tali dati non fuoriescano dal dominio aziendale in modo incontrollato, nonché di fare in modo che chiunque tratti i dati personali sia stato debitamente “autorizzato”.

Ancora, nelle policies aziendali si indica la necessità di adottare specifiche procedure di dismissione di supporti di memorizzazione di massa in quanto la semplice cancellazione dei dati o la formattazione del disco in realtà non eliminano fisicamente i file dal supporto, ma piuttosto rendono impossibile l'accesso. Tuttavia ricorrendo ad appositi software di data recovery, è possibile recuperare i dati da un hard disk anche se i dati sono stati eliminati e i disco è stato formattato, in tal modo consentendo l'acquisizione indebita dei dati (così Bardari, in Il processo di adeguamento al G.D.P.R., cit.).

Sono appena state pubblicate sulla Gazzetta ufficiale le regole deontologiche relative ai trattamenti di dati personali effettuati per svolgere investigazioni difensive o per fare valere o difendere un diritto in sede giudiziaria pubblicate ai sensi dell'art. 20, comma 4, del d.lgs. 10 agosto 2018, n. 101, come da provvedimento del Garante n. 512 del 19 dicembre 2018: all'art. 2, co. 4, si prevede che specifica attenzione è prestata all'adozione di idonee cautele per prevenire l'ingiustificata raccolta, utilizzazione o conoscenza di dati in caso, tra l'altro, utilizzo e distruzione di dati riportati su particolari dispositivi o supporti, specie elettronici (ivi comprese registrazioni audio/video), o documenti (tabulati di flussi telefonici e informatici, consulenze tecniche e perizie, relazioni redatte da investigatori privati).

A sommesso parere di scrive, altrettanto rigore dovrebbe essere preteso anche in ambito giudiziario.

Il Legislatore ha mostrato, sotto questo profilo, una particolare sensibilità.

Infatti l'art. 2-sexiesdecies del d,lgs. 196/2003, come integrato dal d.lgs. 101/2018, prevede che il responsabile della protezione dei dati è designato anche in relazione ai trattamenti di dati personali effettuati dalle autorità giudiziarie nell'esercizio delle loro funzioni.

Ciò significa che il legislatore ha previsto, in ambito giudiziario, l'obbligatorietà della figura del DPO, ovvero il “custode” del rispetto della normativa privacy(Gallus e Pintus, in Il processo di adeguamento, cit.).

Non si tratta di una scelta “neutra” dal momento che, ai sensi dell'art. 37 co. 1 del G.D.P.R., le autorità giudiziarie nell'esercizio delle loro funzioni sarebbero state escluse dall'ambito applicativo dell'art. 37 co. 1 del G.D.P.R.

Non può sfuggire che il DPO è autonomo nell'esecuzione dei suoi compiti per cui non può essere rimosso o oggetto di provvedimenti discriminatori per il mero svolgimento delle sue attività.

Ancora, il DPO non può versare in situazione di conflitto di interesse.

Inoltre, coopera con il Garante ed è punto di contatto con il Garante.

La concreta operatività del DPO nel settore privato comporta l'adozione di stringenti policies aziendali in tema di privacy, che si traducono nella previsione di sanzioni disciplinari in caso di abbandono di documenti presso le fotocopiatrici o di trattamento di dati da parte di soggetti non debitamente istruiti.

Sarà interessante verificare se e in quale misura all'obbligatorietà del DPO in ambito giudiziario verrà data concreta applicazione: come noto, tutta la normativa in tema di privacysi basa sul principio di effettività per cui non è sufficiente una nomina, in particolare quella del DPO, ma è necessario che la nomina venga effettuata nei confronti di persona “capace”, indipendente e che non versi in situazione di conflitto di interesse.

L'introduzione di una simile figura in giudiziario dovrebbe “rivoluzionare” le prassi sin qui adottate che vedono troppo spesso lo smaltimento indiscriminato della documentazione cartacea attraverso l'invio ai “cassonetti” del ritiro della carta, non essendo stata certo questa l'idea di cancellazione dei dati avuta di mira dal legislatore europeo…

Sono molte le sfide che il G.D.P.R. presenta agli operatori giudiziari.

Esso impone l'abbandono delle pregresse logiche di adempimento burocratico-formale (cfr. Pizzetti, La tutela dei dati personali, com'è messa l'Italia: luci ed ombre per il 2019, in www.agendadigitale.it).

Tale “salto di qualità” deve essere realizzato attraverso l'apporto di tutte le migliori competenze: massima deve essere l'attenzione alle indicazioni che vengono dal Garante, l'Autorità che nel corso degli anni, cooperando con gli altri Garanti europei, ha affinato la migliore esperienza giuridica in materia.

Tale “salto di qualità” non può essere imposto solo ai “privati”, ma deve essere preteso anche dalla Pubblica Amministrazione, ed in particolare al comparto Giustizia.

Le considerazioni sopra svolte inducono ad affermare che la conservazione di un dato quale il decreto di archiviazione per un tempo eccessivo è contrario alla cd. minimizzazione del trattamento dei dati, uno dei cardini del G.D.P.R. che deve ispirare l'agire concreto degli operatori pubblici.

Sono diverse le modalità attraverso cui l'obiettivo della minimizzazione può essere raggiunta.

Il Garante, con il recente provvedimento sopra commentato n. 511 del 20 dicembre, ha insistito sulla necessità di prevedere comunque misure tecniche ed organizzative adeguate a garantire la protezione dei dati anche con tecniche crittografiche, con particolare riguardo alle tecniche di cifratura e scambio di messaggi tra più soggetti, le quali andrebbero applicate anche qualora si utilizzino, per la trasmissione dei messaggi, sistemi di posta elettronica certificata.

Si legge nel provvedimento: «spetta al titolare del trattamento individuare le misure tecniche e organizzative adeguate per garantire la protezione dei dati anche con tecniche crittografiche, nel rispetto dei principi di privacy by design e by default, attraverso un'attenta analisi dei processi e un adeguato impegno progettuale. Si osserva, inoltre, che l'obiettivo di rendere non intelligibili i dati relativi alla descrizione del bene ceduto o del servizio reso, nonché gli altri dati personali presenti nelle fatture elettroniche, talvolta non strettamente necessari ai fini fiscali debba essere perseguito adeguatamente dall'Agenzia, con il ricorso alle tecniche disponibili allo stato dell'arte, anche oggetto di riesame nel corso del tempo. In questo ambito, tecniche di cifratura e scambio di messaggi tra più soggetti sono da tempo disponibili e potrebbero essere implementate, anche gradualmente, tenendo conto dell'impatto della cifratura sulle prestazioni complessive e sull'usabilità dei servizi informatici a supporto del processo di fatturazione elettronica».

La trasformazione dei dati in forma anonima era proprio una delle richieste formulate nel ricorso delibato da Cass. sentenza 29 maggio – 29 agosto 2018, n. 21362: non è stata accolta.

Appare opportuno che l'Amministrazione giudiziaria, anche attraverso la previsione obbligatoria della nomina del DPO, “faccia tesoro” delle indicazioni impartite dal Garante all'Agenzia delle Entrate per non trovarsi impreparata rispetto alla rivoluzione copernicana imposta dal G.D.P.R.