Sommario:
- 1. Evoluzione e limiti del diritto alla protezione dei dati personali.
- 2. Il diritto alla protezione dei dati personali in una dimensione transnazionale.
- 3. L'impatto del GDPR nel nostro ordinamento: occasione di crescita o complicazione?
- 4. Tecnologia e riservatezza: alla ricerca di un'etica digitale.
- 5. Riferimenti bibliografici.
1. Evoluzione e limiti del diritto alla protezione dei dati personali.
In Italia, fino alla metà degli anni Novanta, la tutela delle nostre informazioni personali è stata garantita soltanto attraverso il riconoscimento, tra i diritti della personalità, del diritto alla riservatezza. Tutto ciò è stato possibile soprattutto grazie agli sforzi compiuti dalla giurisprudenza di adattare le poche disposizioni normative allora esistenti alla fattispecie di tutela della sfera privata individuale.
Infatti, a causa dell'inesistenza nell' ordinamento giuridico italiano - differentemente da altri paesi europei, come Spagna e Francia - di una disposizione della Costituzione o di legge che espressamente sancisse il diritto alla riservatezza, esso è stato riconosciuto soltanto a metà degli anni Settanta, grazie ad una sentenza della Corte di Cassazione in cui i giudici, nell'individuazione dei limiti entro i quali una persona celebre potesse invocare la tutela della propria immagine, hanno affermato l'esistenza del diritto alla riservatezza, consistente nella «tutela di quelle situazioni e vicende strettamente personali e familiari le quali, anche se verificatesi fuori del domicilio domestico, non hanno per i terzi un interesse socialmente apprezzabile, contro le ingerenze che, sia pure compiute con mezzi leciti […], non sono giustificate da interessi pubblici preminenti» (Cass. civ., sez. I, n. 2129 del 1975). È stata questa la prima volta in Italia in cui si è riconosciuto che il diritto alla riservatezza trovasse fondamento in diverse norme del nostro ordinamento e che fosse in armonia con i vari principi costituzionali.
Conformemente a quest'ultimo aspetto, i tre principi, personalista, pluralista e solidarista ricavabili dall'art. 2 della nostra carta costituzionale e su cui si regge il sistema dei diritti individuabile dal combinato disposto degli artt. 2 e 3 Cost., hanno costituito la base del riconoscimento del diritto alla protezione dei dati personali.
Rammentando come la nostra Costituzione non abbia espressamente previsto un diritto alla riservatezza o alla protezione dei dati personali, è bene evidenziare che si tratta di una lacuna soltanto apparente, che ha reso comunque possibile l'individuazione del diritto alla riservatezza quale diritto fondamentale costituzionalmente tutelato.
Infatti, il diritto alla riservatezza, o diritto alla privacy, si fa attualmente rientrare tra quelli che sono considerati i diritti inviolabili dell'uomo. Non di rado accade che il diritto alla privacy venga confuso col diritto alla protezione dei dati personali, sovrapponendone i reali significati: si tratta di due nozioni utilizzate in modo pressoché fungibile per esprimere la volontà di escludere una generalità di persone dalla conoscenza di certe informazioni, tesa a rappresentare una macrocategoria, dove da un lato c'è il nucleo del concetto di privacy, che è il diritto alla riservatezza, nella sua accezione di “right to let be alone” di origine statunitense [BRANDEIS-WARREN 1890], che garantisce i cittadini da interferenze altrui; dall'altro c'è il diritto alla protezione dei dati personali, che rappresenta un' esigenza di origine più recente ma più sensibile alle controindicazioni prodotte dall' irruenza dello sviluppo tecnologico e che comporta l'emersione di nuovi problemi di tutela della dignità e libertà delle persone [COLAPIETRO 2018, 14].
Continuando l'analisi sullo sviluppo del diritto alla protezione dei dati personali nel nostro ordinamento, a partire dalla sentenza della Suprema Corte a cui si è fatto sopra riferimento, bisognerà aspettare vent'anni per vedere per la prima volta in Italia, una normativa unitaria sulla privacy (l. n. 675 del 1996). Prima di questa legge, infatti, non c'era una sistematizzazione unica di tale diritto, ma legislazioni settoriali.
A differenza di altri Paesi europei, in Italia la spinta all'elaborazione di una disciplina del trattamento dei dati personali, è derivata dalla necessità di recepimento della direttiva relativa alla tutela delle persone fisiche con riguardo al trattamento dei dati personali, nonché alla libera circolazione di tali dati (Direttiva europea n. 46 del 1995).
La l. n. 675 del 1996 è stata poi sostituita dal c.d. Codice della Privacy (d.lgs. n. 196 del 2003), attraverso il quale il legislatore ha voluto dare un segnale forte nella direzione dell'affermazione della complessità della disciplina relativa alla privacy, «cercando di far uscire la materia del riduzionistico steccato della stessa, per approdare al diritto alla protezione dei dati personali» [PANETTA 2006, 24].
La nuova regolazione della materia, con le successive e numerose modifiche che ha subito nel corso degli anni (cfr. d.lgs.n. 101 del 2018), pur abrogando la precedente normativa, ne ha comunque recepito svariati principi e norme, segnando la normativa di riferimento fin quando il nuovo Regolamento europeo per la protezione dei dati personali (Regolamento UE n. 679 del 2016) entrerà in vigore e sarà applicato, modificandone l'impianto conformemente alle novità della disciplina.
2. Il diritto alla protezione dei dati personali in una dimensione transnazionale.
A livello comunitario, la prima fonte normativa decisiva a garantire, e allo stesso tempo regolare, i rapporti di forza tra accessibilità delle informazioni e riservatezza, è senza dubbio la Convenzione europea dei diritti dell'uomo del 1950. Tramite una lettura combinata degli articoli 8 e 10 della citata Convenzione, infatti , si nota come al riconoscimento del diritto di ogni persona «al rispetto della propria vita privata e familiare, del proprio domicilio e della propria corrispondenza», che sono protetti da qualsiasi ingerenza della pubblica autorità (ad eccezione dei casi in cui questa non sia prevista per legge o in base a presupposti specifici, tra i quali, è bene ribadirlo, rientrano i presupposti di protezione di libertà e diritti altrui), si aggiunge la previsione secondo la quale una delle condizioni per le quali si può sottoporre a restrizione la libertà di espressione è la necessità di «impedire la divulgazione di informazioni riservate».
Tali previsioni sono state rafforzate dalla Corte di giustizia dell'Unione Europea, che ha più volte stabilito che le istituzioni, nella valutazione per decidere se divulgare o meno informazioni riguardanti una persona fisica, debbano simultaneamente tenere conto sia dell'interesse dell'Unione a garantire la trasparenza delle proprie azioni, che della potenziale lesione dei diritti riconosciuti dal sopracitato articolo 8 della Convenzione (cfr. Corte giust. UE, 2010, Volker und Markus Schecke GbR e Hartmut Eifert c. Land Hessen, in cause riun. C-92/09 e C-93/09). Anche alla luce di tali decisioni, dunque, non può riconoscersi alcuna automatica prevalenza dell'obiettivo di accessibilità ad informazioni concernenti dati personali, sul diritto alla protezione dei dati personali.
Sulla disciplina regolante il diritto alla protezione dei dati personali in Europa, un punto di svolta è rappresentato dall'entrata in vigore del Trattato di Lisbona nel 2009, che ha segnato un importante cambiamento per la concezione del diritto alla protezione dei dati personali [CORTESE 2013, 313].
Prima di tutto, infatti, la formulazione di tale diritto è stata rimodellata per far derivare l'obbligo del suo rispetto, «da parte delle istituzioni, degli organi e degli organismi dell'Unione, nonché da parte degli Stati membri nell'esercizio di attività che rientrano nel campo di applicazione del diritto dell'Unione», dall'affermazione secondo cui «ogni persona ha diritto alla protezione dei dati di carattere personale che la riguardano» (art 16, § 1 e 2, TFUE).
Il trattato di Lisbona ha anche il merito di aver attribuito valore normativo alla Carta dei diritti fondamentali dell'Unione europea (cfr. Carta di Nizza), il cui articolo 8, oltre ad essere stato ripreso dal sopracitato art. 16 TFUE, ha riconosciuto alcuni principi fondamentali, che si sostanziano nella necessità di trattare i dati personali «secondo il principio di lealtà, per finalità determinate e in base al consenso della persona interessata o a un altro fondamento legittimo previsto dalla legge », prevedendo allo stesso tempo il diritto di ogni persona di accedere ai dati raccolti che la riguardano, ottenendone la rettifica.
3. L'impatto del GDPR nel nostro ordinamento: occasione di crescita o complicazione?
Il quadro europeo sulle fonti del diritto alla protezione dei dati personali si completa con la pubblicazione, nel 2016, del Regolamento europeo 679/2016 in materia di protezione dei dati personali, che ha abrogato la c.d. “direttiva madre” (direttiva n. 46/1995). Oggi il General Data Protection Regulation compone, insieme alla Direttiva n. 2016/680, il “pacchetto protezione dati”, con il quale il legislatore comunitario ha voluto garantire una maggiore armonizzazione degli ordinamenti interni all'Unione europea in materia di protezione dei dati personali.
Una delle maggiori novità in proposito è stata quella di aver riordinato tale disciplina attraverso un regolamento, e non più tramite direttiva. Il cambiamento è, innanzitutto, concettuale: mentre la direttiva era contraddistinta da una struttura rigida e da una concezione statica del trattamento e della protezione dei dati personali, il regolamento, dovendo garantire una tutela uniforme su tutto il territorio europeo ed essendo vincolante e immediatamente applicabile in tutti gli Stati membri, consente una maggiore dinamicità e flessibilità, che lo rende più adeguato alla costante evoluzione di un così determinante settore nell'ambito della società digitale.
Tale novità concettuale tuttavia, potrebbe creare risvolti problematici. Osservando i diversi contesti socio-culturali di ciascun paese comunitario, non è difficile ipotizzare possibili divergenze tra i vari stati membri sull'individuazione dei principi e delle regole comuni da dover rispettare.
Dal punto di vista contenutistico, mentre la direttiva aveva il proprio fulcro nella trattazione del dato personale, delle condizioni da rispettare per la liceità dei trattamenti e i diritti dell'interessato, il regolamento risulta invece maggiormente basato sul titolare del trattamento dei dati e sulla sua responsabilità. Centrale è infatti il principio di accountability, il cui significato è stato chiarito dal “Gruppo di lavoro Articolo 29” (WP Art.29, parere 3/2010), che ha precisato che «la responsabilità e l'obbligo di rendere conto sono due facce della stessa medaglia ed entrambe sono elementi essenziali di una buona governance».
Tale principio di responsabilizzazione assume i confini di un dovere, proporzionato ai rischi che i trattamenti posti in essere possono determinare, e la cui valutazione - dalla quale dipende anche l'individuazione delle misure di sicurezza da adottare - è sempre rimessa al titolare.
Sulle centrali figure del responsabile e del titolare grava oggi la responsabilità di verificare che le regole sulla circolazione e sul trattamento dei dati da loro posseduti siano, sin dall'inizio e relativamente alle modalità adottate per svolgerli, conformi al livello di rischio che comportano. Tale valutazione, sia nel settore pubblico che in quello privato, influisce direttamente sulle misure di sicurezza e prevenzione, che questi devono adottare a seconda dei rischi esistenti in termini di danno ai diritti e alle libertà degli interessati.
4. Tecnologia e riservatezza: alla ricerca di un'etica digitale.
L'incredibile avanzamento tecnologico del nostro tempo, se per un verso ha il merito di aver fatto sì che i dati personali assumessero la loro imprescindibile rilevanza, avviando la transizione «dal soggetto di diritto al soggetto di carne» [RODOTÀ 2013, 164], sull'altra faccia della medaglia ha posto il problema di garantire un'efficace ed effettiva tutela dei diritti fondamentali della persona, in relazione alla circolazione, spesso incontrollata, dei dati personali.
Il nuovo regolamento europeo, tra le altre cose, prevede che il trattamento dei dati personali sia innanzitutto al servizio dell'uomo. Il diritto alla protezione dei dati di carattere personale non è però una prerogativa assoluta, ma va piuttosto considerato alla luce della sua funzione sociale e contemperato con altri diritti fondamentali, nel rispetto del principio di proporzionalità (cfr. Considerando n. 4 Regolamento n. 679 del2016).
Tramite le moderne tecnologie, i dati personali hanno creato un nuovo diritto, che prevede l'esistenza di dimensioni sociali plurime, dove da una parte si tutela la dignità umana, ma dall'altra vi è il costante rischio che tale dignità sia violata, con conseguenze incalcolabili sulla persona. È anche per queste ragioni che non si può più parlare di un generale diritto alla riservatezza, ma di una «costellazione di diritti» [MODUGNO 1995, 20], dove il carattere comune si manifesta in due profili, la non interferenza e l'autorealizzazione. Soltanto attraverso un bilanciamento tra questi due elementi sarà possibile considerare i dati personali non solo come «il nuovo petrolio» [The Economist, 2017] inteso come fonte di ricchezza economica, ma anche come una risorsa che protegga innanzitutto le libertà fondamentali dell'uomo, ricostruendo l'identità personale e la riservatezza come diritti distinti, ciascuno con il suo peculiare regime giuridico.
5. Riferimenti bibliografici.
Sulle origini del diritto alla privacy, inteso come “right to let be alone”: L. BRANDEIS-S. WARREN, The right to privacy, in Harvard Law Review, IV, 5, 1890, e in http://www.jus.unitn.it/users/pascuzzi/privcomp99-00/topics/3/brandeis.htm.
Sull'evoluzione del trattamento dei dati personali: C. COLAPIETRO, Il diritto alla protezione dei dati personali in un sistema delle fonti multilivello, Napoli, 2018, 14; R. PANETTA, Libera circolazione e protezione dei dati personali, Milano, Giuffrè, 2006, 24; S. RODOTÀ, Il diritto di avere diritti, BAri, 2013, 164.
Sull'importanza del Trattato di Lisbona nell'ambito della protezione dei dati personali: B. CORTESE, La protezione dei dati di carattere personale nel diritto dell'Unione europea dopo il Trattato di Lisbona, in Dir. un. eur., 2013, 313 ss.
Sull'importanza del principio di accountability: G. FINOCCHIARO, Privacy e protezione dei dati personali. Disciplina e strumenti operativi, Bologna, 2012, 289 ss.
Sulla dimensione costituzionale del diritto alla riservatezza: F. MODUGNO, I nuovi diritti nella giurisprudenza costituzionale, Torino, 1995, 20 s.
