Privacy: evoluzione storica e normativa
Il pensiero greco ci ha da sempre allenati a distinguere l’ “oika”, focolare domestico dalla “polis” dalla quale l’uomo riceveva il suo “bios politikos”. Solamente quando il capofamiglia lasciava la casa ed accedeva alla sfera pubblica era considerato libero, essere umano compiuto.
La posizione arendtiana riscatta l’usuale concezione della privacy del pensiero greco nella quale tutto ciò che era “riservato” era strutturalmente separato dalla sfera degli affari collettivi. In realtà il concetto di privacy affonda le sue radici nello spazio domestico, il quale è all’origine delle attività economiche. Secondo Arendt dunque, nella sensibilità antica l’aspetto di deprivazione della privacy era predominante. Se oggi non pensiamo più allo stato di deprivazione quando parliamo di privacy lo dobbiamo soprattutto all’individualismo moderno. L’era medievale ci racconta di una vita vissuta in grandi comunità dove non esistevano i concetti di “mio”, “tuo”, e dove al posto dei nomi esistevano nomignoli. Solamente uscendo dal medioevo si comprende che ogni persona possiede un suo nome, una sua identità. Abbiamo embrionalmente il primo abbozzo di “dato sensibile”.
In ambito europeo un primo accenno storico-giuridico della privacy può essere rinvenuto alla fine del 18°sec in Germania nella filosofia dei diritti naturali di personalità (Individualrechte). Berlin in “two concepts of liberty” riconduce l’idea di privacy al concetto di libertà negativa. La libertà è legata alla conoscenza: se l’essere umano non conosce gli ostacoli giuridici, culturali, relazionali, può considerarsi libero. Bisognerà attendere soltanto l’avvento dell’individualismo moderno per comprendere che la natura della libertà non è collegata ai concetti di conoscenza o conoscibilità bensì alla capacità di autorealizzazione e autodeterminazione dell’uomo. La Francia di Boistel agli inizi del ‘900 ha parlato di “droit moral” e per la prima volta all’ interno del “code civil” il pregiudizio a detto diritto ricade nella fattispecie di danno ingiusto che consente al giudice la possibilità di comminare una sanzione risarcitoria. Tuttavia, l’ideologia classica liberale legava la privacy al generale concetto di proprietà. Soltanto la rivoluzione industriale eleva il diritto alla vita privata a diritto di valore spirituale dell’individuo, affrancandolo dalla sua condizione di mero proprietario. L’origine americana invece, della privacy si deve al contributo di due avvocati Warren e Brandeis che, nel 1890 pubblicarono sulla Harward Law Review un articolo intitolato “The Right to Privacy”, in cui illustravano le ragioni per le quali sembrava opportuno introdurre nell’ordinamento giuridico nord-americano un nuovo diritto. Assurge dunque lo stesso a diritto soggettivo fondamentale azionabile davanti ad un giudice terzo ed imparziale. I due giovani avvocati concepirono dunque quello che poi verrà declinato come “The Right To Be Alone” , moderna formula dello jus solitudinis . I giuristi contemporanei riconoscono nel saggio pubblicato la pietra miliare del diritto soggettivo all’ inviolabilità della persona, della sua sfera privata e riservatezza dei suoi dati sensibili. Pensieri, emozioni, sensazioni diventano degni di tutela ordinamentale.
Ecco dunque che i due fautori dell’individualismo giuridico moderno includono nel concetto di privacy la c.d Proprietà intellettuale, una proprietà, come già accennato, spirituale, appannaggio della sfera sentimentale. Siamo finalmente arrivati a svincolare in maniera definitiva il concetto di privacy da quello di proprietà materiale. In italia cominciano a farsi timidamente strada gli scritti di Ravà del 16°sec in cui si parla per la prima volta di diritto alla riservatezza. Secondo l’orientamento più tradizionale la circolazione delle informazioni avveniva sotto le mentite spoglie di un ahimè negozio che aveva ad oggetto non già il diritto di personalità, bensì l’atto unilaterale di natura autorizzativa (il consenso dell’avente diritto). Si devono attendere solamente gli scritti degli anni ’50 e ’60 del secolo scorso affinché si registri una più matura consapevolezza giuridica dell’istituto oggetto d’esame. A livello europeo invece gli sviluppi cominciano ad essere più fecondi negli anni ’90. La direttiva 95/46 CE, detta Direttiva Madre, ha portato all’introduzione negli stati membri dell’Unione, di una normativa precisa sul trattamento dei dati personali: il corpus di normative di cui ai vari artt. mira a promuovere un equo ed egualitario sistema di scambi di informazioni che rispetti i diritti e le libertà fondamentali di ogni cittadino europeo. Viene finalmente concessa la possibilità, nel capo terzo della detta Direttiva, per la persona lesa di promuovere, oltre al ricorso amministrativo, anche quello giurisdizionale, al fine di ottenere dal responsabile del trattamento un risarcimento per il pregiudizio subito a causa della violazione dei diritti garantiti dalle disposizioni nazionali di attuazione della Direttiva. In Italia questa direttiva determinò l’adozione della legge 675/1996, la quale portò inoltre all’ istituzione della figura del garante della privacy. La legge italiana ha aggiunto un elemento molto importante rispetto alla normativa comunitaria: oltre ai diritti ed alle libertà fondamentali, si richiede che ci sia anche il rispetto della dignità personale, dell’identità personale.
Dalla legge n.675 emergono dunque le cautele adoperate in favore della riservatezza personale nei confronti del flusso di informazioni. Detta legge opera su due livelli: 1) la “disclosural privacy” riferita alla diffusione di notizie personali e 2) “informational privacy”, che insiste sui limiti legali di raccolta e catalogazione delle informazioni personali. Sono entrambe connesse alla più generale tutela dell’autodeterminazione (privacy of autonomy. E’ infatti significativo l’elenco minuziosamente analitico fornito dal legislatore a proposito della definizione di “trattamento dati” all’art.1 di detta legge: per trattamento dei dati si intende cioè tutta l’attività di raccolta, registrazione, conservazione, elaborazione, modifica, blocco, diffusione, cancellazione etc.. ; questo sforzo è indirizzato verso una difesa dei dati da un’eventuale manipolazione. I dati sono portatori di beni giuridici qualificati in quanto contengono un’informazione personale identificativa. Questo modo di ragionare non è esclusivo dei dati personali, ma va esteso anche ai dati sulla salute, ai numeri telefonici. I dati non possono mai essere neutrali; dunque non esiste attività di raccolta, elaborazione. Senza un’attività valutativa che implichi la scelta dei criteri in base ai quali orientare la raccolta. Il legislatore italiano ha poi successivamente emanato il d.lsg. n. 196 del 30 giugno 2003, denominato il “Codice in materia di protezione dei dati personali” composto da 186 artt. che raccoglie le indicazioni e le direttive europee intercorse dal 1996 fino al 2003. Entrato in vigore il 1 gennaio 2004, reca disposizioni sulla tutela delle persone fisiche e di altri soggetti giuridici. Il codice al fine di realizzare i suoi obiettivi di tutela ha fatto ricorso al principio di necessità che impone ai sistemi informativi di ridurre al minimo l’impiego dei dati personali, favorendo l’ipotesi di un utilizzo di dati anonimi. Si profila l’esistenza di tre diritti inviolabili per l’individuo: Libero accesso ai propri dati; capacità di modificare ed eliminare dei dati; rifiutare in determinate circostanze che i dati stessi siano trattati. Dalla legge n.675 nasce l’autorità garante, la cui disciplina è confluita nell’istituto dell’antitrust istituito con legge n. 287 1990. Si aprono dunque nuovi scenari: controllo sul trattamento dati, esame dei reclami, segnalazioni e ricorsi, divieto di trattamento illecito. Nell’ ipotesi di reclamo, esso è presentato senza particolari formalità, esponendo le circostanze del caso, le normative che si intendono violate, le misure da adottare, estremi identificativi del responsabile del trattamento dati e del loro titolare. Nel caso di ricorso invece esso presuppone l’interpello preventivo della controparte e si profila come una forma di tutela alternativa a quella giurisdizionale. L’impatto di nuove tecnologie e l’attuazione del modello americano hanno condotto il legislatore comunitario ad integrare le disposizioni della Direttiva 46. Si tratta appunto della direttiva 58/2002 CE. La Direttiva in questione dedica ampio spazio alla riservatezza delle comunicazioni elettroniche, alla gestione sul traffico dei dati, ai dettagli della fatturazione, agli elenchi degli abbonati. In tema di riservatezza elettronica è severamente vietata la captazione, memorizzazione o altre forme di intercettazione delle comunicazioni, ad opera di soggetti diversi dagli utenti, senza il consenso di questi ultimi. Ulteriori modalità concernono la privacy degli utenti chiamati o degli abbonati chiamati. Mentre in Italia si è optato per il principio opt-in (consenso dell’interessato) tuttavia è degno di nota che, nel riversare la normativa comunitaria nel nostro paese, si è perso per strada qualsiasi riferimento alla nozione di abbonato. La Direttiva 24/2006, adottata in Italia nel 2008, ha come oggetto principale gli obblighi dei fornitori di servizi nel campo della comunicazione elettronica accessibile al pubblico. Per quanto riguarda invece le conversazioni digitali, le cose si complicano: occorre conservare per ogni conversazione nome, indirizzo dell’utente registrato e relativo indirizzo di protocollo internet (IP), data e ora dell’ “log-in” o “log-out”, “dial-up” e DSL.
Il Regolamento 679/2016 in materia di privacy nasce dalla consapevolezza che sebbene la direttiva 46 abbia mantenuto ancora oggi validi i suoi obiettivi e principi, ciò non ha impedito la frammentazione dell’applicazione della protezione dei dati personali nel territorio dell’Unione. Il passaggio dunque dallo strumento della direttiva a quello del regolamento non è certo casuale. Si vuol garantire infatti in maniera omogenea su tutto il territorio dell’Unione una tutela preventiva del bene giuridico (“privacy by design” e “privacy by default”). Una simile impostazione scandisce il passaggio da una concezione sostanzialmente statica del diritto ad un’impostazione dinamica della tutela. I passaggi logici che hanno condotto all’adozione di questa normativa sono nitidamente scanditi all’interno dei numerosi “considerando” del regolamento. Il corpo normativo del regolamento ruota intorno a due cardini: Autodeterminazione informativa e approccio “risk-based”. Il passaggio dall‘ “habeas corpus” all’ “habeas data” è compiuto. Con il tempo la Corte di Giustizia Europea ha iniziato a garantire un’interpretazione estensiva delle disposizioni sull’ambito di applicazione della direttiva ed in particolare del suo art 4 (rubricato “Diritto nazionale applicabile”). In questo modo la Corte ha assicurato l’applicabilità della normativa europea anche nel caso in cui il trattamento dei dati fosse effettuato da soggetti non europei ed i dati venissero trattati prevalentemente fuori dall’Europa. Con tali decisioni la Corte assume che il livello di protezione dei dati personali adottato in Europa sia più elevato rispetto al livello di protezione dati adottato nel mondo e si fa promotrice del modello europeo del diritto dei dati personali. Scopo dunque del Regolamento 2016 è l’armonizzazione della tutela in materia di dati personali, stimolazione della fiducia collettiva nei processi di digitalizzazione dei “personal dates “. Il regolamento poggia sul “Consensus” espresso dei cittadini globali alla computerizzazione dei loro profili affinché siano in grado di autodeterminare le proprie scelte . Nasce il concetto di “Accountability “: gli operatori della privacy, nonché i relativi circuiti amministrativi devono letteralmente dare conto del loro operato. L’ approccio del regolamento oggetto di studio è basato sulla valutazione del rischio (risk based), con il quale si determina la misura di responsabilità del titolare o del responsabile del trattamento, tenendo conto della natura, della portata, del contesto e delle finalità del trattamento, nonché della probabilità e della gravità dei rischi per i diritti e le libertà degli utenti. In sintesi il titolare del trattamento deve: non solo conformare il trattamento dei dati da lui operato in base ai principi di cui al GDPR; ma anche prevedere e valutare il rischio tipico (cioè prevedibile) connesso alla sua attività di impresa, e introdurre misure organizzative e di sicurezza per eliminare o ridurre tale rischio. Il bilanciamento fra legittimo interesse del titolare o del terzo e diritti e libertà dell'interessato NON SPETTA più dunque all'Autorità sovraordinata, così come il Codice Della Privacy ci insegnava, ma è compito dello stesso titolare; nasce dal basso. Si tratta di una delle principali espressioni del principio di “responsabilizzazione” ed “oggettivazione” dell’ istituto del legittimo interesse introdotto dal nuovo pacchetto protezione dati europeo . Non esiste più una scissione concettuale tra dati formali e giudiziari: Il dato è un bene giuridico autonomo suscettibile di tutela sostanziale nazionale e comunitaria in continuo aggiornamento.
A partire dalla legislazione newyorkese del 1903 si riconosceva la violazione della privacy tra i casi di responsabilità civile previsti dal common law. Il “The Right To Privacy “di Warren e Brandeis conosce ora un riconoscimento giuridico pieno. Il “Law In The Making” allontana tutta la tensione del rigido formalismo della nozione di privacy, per venire incontro a nuove questioni pratiche che erano impossibili da immaginare alla fine dell’800. Nasce al contempo però la Costituzione degli Stati Federati: la Corte di Washington dichiara che la tutela del diritto generale alla privacy spettante all’individuo dipende in gran parte dalla legge dei singoli stati federati (“Law In The Books”). Oltre alla copertura costituzionale della privacy, nel dicembre ’74 il Congresso dà vita al Privacy Act. La fonte ordinaria prende atto delle novità in materia di archivio dati, trasmissione da parte di enti pubblici. Saranno anni fecondi a livello di legislazione ordinaria: l’ “Electronic Communications Privacy Act ”, il “Genetics Information Non-Discrimination Act ”, il “ Patriot Act “ . L’Act del ’74 ricopre però solo una parte dell’ambito operativo dell’istituto, lasciando alle leggi dei singoli stati ampio margine nella disciplina relativa ai rapporti tra privati. La tutela della privacy accordata a vari livelli dal common law si lega ormai indissolubilmente al tema della responsabilità civile, riconosciuta da quasi tutti i cinquanta stati degli USA. Nel dicembre 2006 il Presidente George W. Bush predispone un gruppo di lavoro, il “Privacy and Civil Liberties Oversight Board “mentre nel 2007 Bill Gates chiede a gran voce una nuova legislazione federale sulla privacy, che ad oggi manca: occorre un “lifting” digitale di vecchie fattispecie di reato come raggiri, truffe, spionaggio, diffamazioni.
La più grande falla del sistema americano in questione riguarda il consenso degli individui, non di rado ben predisposti a consegnare alla controparte una gran mole di dati personali in cambio di agevolazioni, prestiti, vendite dilazionate. Dunque il problema riguarda la negoziabilità di ogni “bit“ informativo . Appaiono problematiche del tutto sconosciute al tempo di Warren e Brandeis: nell’era della digitalizzazione, i limiti del computer finiscono per diventare limiti stessi alla creatività umana. La posta culturale oggigiorno in gioco finisce per elevare a moneta di scambio (“BitCoin”) il consenso dell’avente diritto, in un contesto in cui i perimetri delle aree dell’autonomia personale e della privacy finiscono per diventare sempre più fumosi.
Il caso Google è particolarmente interessante poiché riassume i tre punti principali emersi a proposito dell’attualità della privacy: impatto delle nuove tecnologie, modus operandi delle grandi società, rapporto tra tecnica e diritto. Google e, precisamente, Google Search è un motore di ricerca che consente di ricercare informazioni che sono state da altri pubblicate o inserite sul “World Wilde Web “. Tale compito viene svolto attraverso un’attività automatica di indicizzazione delle informazioni che, grazie un sofisticatissimo algoritmo, vengono mostrate secondo un ordine di preferenza. Un caso particolarmente rilevante in materia ha visto contrapporsi Google Spain SL e Google Inc. contro l’Agencia Española de Protección de Datos e Mario Costeja González (causa C−131/12). La Corte di Giustizia si è pronunciata il 13 maggio 2014 con la sentenza n. 317 in seguito al ricorso di un cittadino spagnolo che aveva richiesto la rimozione, prima al gestore del sito e poi a Google, di alcuni dati personali pubblicati in poche righe dal giornale “LaVanguardia Editiones SL” e da lui ritenuti non più attuali. L’Agencia Espano͂la de Proteccion de Datos (AEPD), cioè l’equivalente spagnolo del nostro Garante per la protezione dei dati personali, aveva ordinato a Google di procedere alla rimozione di questi dati contestati dal ricorrente, ma Google si è rifiutato di procedere alla cancellazione perché ha ritenuto che la richiesta dell’AEPD andasse a ledere la libertà di espressione dei gestori di siti internet. Il reclamo presentato dall’AEPD è stato parzialmente accolto: nella parte in cui era diretto contro Google Spain e Google Inc. L’AEPD ha affermato che i gestori dei motori di ricerca sono tenuti a rispettare la normativa in materia di protezione dei dati in quanto essi pongono in essere un trattamento di dati e sono i responsabili del trattamento e “agiscono come intermediari della società dell’informazione”. La Corte Suprema Spagnola ha presentato alla Corte di Giustizia diverse questioni relative all’applicazione della direttiva 95/46/CE relativamente alla protezione dei dati personali a fornitori di servizi (Google) e al cd. “Diritto all’oblio” dei soggetti cui i dati personali si riferiscono. Il diritto all’oblio rientra nell’ambito dei diritti della personalità e, pur avendo un’origine giurisprudenziale, è stato riconosciuto, per la prima volta, in Italia al comma 1 dell’articolo 11 “Diritto all’oblio” della Dichiarazione dei diritti di internet che è stata emanata nel 2015, voluta da Stefano Rodotà che ne curò la realizzazione. Il diritto all’oblio è il diritto di un soggetto a chiedere la rimozione di informazioni o dati che non sono più attuali, o necessari per le finalità per le quali erano stati raccolti e trattati oppure perché l’interessato ha ritirato il consenso. La Corte di Giustizia, per la prima volta, con questa sentenza ha riconosciuto il diritto all’oblio in base a quanto contenuto nella Direttiva 95/46/CE in materia di trattamento dei dati personali. Nel 2014 si è arrivati ad affermare che il gestore di un motore di ricerca (Google in questo caso) può essere obbligato alla “deindicizzazione” di determinati risultati a tutela del diritto all’oblio della persona interessata. Con questa sentenza la Corte di Giustizia ha affermato che costituisce “trattamento di dati personali” l’attività di un motore di ricerca di ricercare informazioni pubblicate o inserite da soggetti terzi in Internet. Questa materia è stata affrontata ed inserita nell’articolo 17 del nuovo Regolamento 2016/679 “diritto alla cancellazione (diritto all’oblio)” che ha previsto il diritto del soggetto interessato alla “cancellazione dei dati personali che lo riguardano senza ingiustificato ritardo e il titolare del trattamento ha l’obbligo di cancellare senza ingiustificato ritardo i dati personali” quando i dati personali non sono più necessari, quando il soggetto interessato ha revocato il consenso, precedentemente accordato, quando i dati personali sono stati trattati in maniera illecita oppure quando l’interessato si è opposto al trattamento dei dati personali.
Lo straordinario interesse inoltre, suscitato negli ultimi due decenni dai temi della privacy è dovuto essenzialmente alla cosiddetta “guerra al terrore”. L’ attentato alle Torri Gemelle dell ’11 settembre 2001 e il diffondersi del “Cybercrime”, hanno portato il Parlamento ed il Consiglio Europeo ad approvare nel luglio 2002 la nuova direttiva comunitaria sulla privacy e telecomunicazioni. L’ Italia ha provveduto a recepire la normativa, emendando il Codice della Privacy italiano con il decreto legge 354 del 2003, con il quale si è stabilita la conservazione dei dati relativi alle telefonate degli utenti per almeno quattro anni.
Uno degli aspetti più importanti della privacy oggi è legato dunque all’avvento di internet che ha messo in mora i tradizionali confini giuridici e politici degli stati sovrani, nel processo, sempre più mondiale di informazione processata nel reticolo globale. Il Regolamento 679/2016 denominato GDPR (General data protection regulation) abroga la Direttiva 46/95 CE (regolamento generale sulla protezione dei dati). Il GDPR non poteva certamente non considerare l’utilizzo di social network e della messaggistica istantanea. Tuttavia il regolamento europeo non riuscendo ad offrire la soluzione giuridica ai problemi di nuova generazione, data l’impensabile ed imponderabile vastità di fattispecie di reato a livello digitale , ha tentato un compromesso : gli operatori economici e sociali , oltre che gli enti pubblici, non hanno altra possibilità se non “contestualizzare” il trattamento dati, ovverosia presentare l’offerta di trattamento dei “ bit “ personali che si necessitino per le finalità del servizio , recidendo parzialmente la copertura delle normative privacy. L’ intento è da un lato riuscire a coprire il range di tutela comunitario e dall’ altro scongiurare il pericolo che le società (soprattutto di social network) incorrono con una facilità estrema nelle sanzioni sociali, economiche e penali. Quanto questo contemperamento di opposte esigenze in gioco sia eticamente corretto appare una questione tutt’altro che pacifica.
Nonostante dunque, la proliferazione legislativa abbia rinvenuto in senso kelseniano il suo centro normativo nell’ attività ermeneutica dei “Considerando “della Corte di Giustizia, l’insorgere galoppante di sempre nuove fattispecie di reato digitali si rivela essere un fenomeno troppo straripante per poter essere in qualche modo “ imbrigliato” giuridicamente. I primi argini in materia sono stati posti proprio dal GDPR. E’ stata introdotta la figura del Data Protection Officer, un professionista che deve avere un ruolo aziendale (sia esso soggetto interno o esterno) con competenze giuridiche, informatiche, di risk management e di analisi dei processi. La sua responsabilità principale è quella di osservare, valutare e organizzare la gestione del trattamento di dati personali (e dunque la loro protezione) all’interno di un’azienda (sia essa pubblica che privata), affinché questi siano trattati nel rispetto delle normative privacy europee e nazionali. Dunque si impone un rispetto dall’ alto nella gestione del trattamento dati che deve fungere da monito per gli operatori data analyst, operatori e-commerce, società di Business Intelligence e Digital Transformation.
L’ auspicio più grande è che si giunga a stimare il consenso individuale informatizzato quale espressione contrattualistica purissima, valore umano imprescindibile e non certamente duttile e veloce moneta di scambio.
Dott.ssa Graziano Stefania
esperta in diritto della privacy, specializzanda in contrattualistica, mediazione e negoziazione Internazionale. Mediatrice civile e commerciale
© RIPRODUZIONE RISERVATA
