Nel capitolo precedente si è analizzato come la privacy e, nello specifico, i dati personali siano tutelati nell’ordinamento giuridico dell’Unione europea e nel sistema americano.
Grazie a detto confronto è possibile notare che la tutela dei dati personali sulle due sponde dell’Atlantico viene garantita in base a presupposti differenti. Invero, mentre nell’UE i dati personali ricevono protezione a prescindere dal settore pubblico o privato considerato e tutti gli individui – in quanto persone potenzialmente titolari di dati personali soggetti a trattamento – sono egualmente protetti, sull’opposta sponda atlantica ciò avviene in modo diverso. Il sistema statunitense preferisce infatti suddividere la tutela della privacy in due macroaree, l’una orientata alla tutela del cittadino (e non però degli stranieri, come visto supra al cap. II.X.) da potenziali intrusioni esterne del governo a fini di sicurezza nazionale, l’altra in cui ci si occupa di tutelare la riservatezza del cittadino che è anche consumatore, attraverso la protezione di quelle informazioni personali che vengono utilizzate per essere analizzate e che servono da traccia per lo sviluppo del mercato.
Malgrado siffatti diversi presupposti di partenza, i due sistemi giuridici considerano il dato personale come di proprietà di una persona fisica che (necessariamente nel caso degli USA, e in modo diverso nel caso dell’UE) è cittadina dell’uno o dell’altro ordinamento e lo tutelano, seppure in modo differente, evidenziando così un ulteriore punto di comunanza.
Pertanto, la base comune dei due tipi di tutela sembra essere rappresentata dal fatto che il diritto relativo alle informazioni personali presuppone che il bene da questo tutelato (dunque lo stesso dato personale poc’anzi menzionato) sia giuridicamente inquadrato, affinché sia possibile salvaguardare ciò che è effettivamente necessario perché maggiormente attinente alla persona e alla rispettiva autodeterminazione e ciò che invece, a certe condizioni, può essere utilizzato da soggetti terzi a scopi diversi da quelli dell’individuo cui il dato attiene.
In primo luogo, è ampiamente diffusa in dottrina la tesi per cui il dato personale oggigiorno è divenuto essenzialmente un bene giuridico che, in quanto tale, è suscettibile di traffico giuridico647. Per questa ragione, l’ordinamento giuridico tende a riconoscere un potere di disposizione dei dati ai soggetti titolari degli stessi648 e di controllo, che si concretizza infine nella facoltà di opporsi al trattamento delle proprie informazioni, una volta raccolte, o nella possibilità di conoscere la finalità del trattamento, o di accertarsi che detta finalità sia effettivamente rispettata, che i dati siano adeguatamente conservati e che soggetti terzi non abilitati non vi possano accedere649.
Peraltro, attualmente, i dati personali non sono definiti solo quali beni giuridici, ma più precisamente quali beni economici. Risulta infatti chiaro nella dottrina maggioritaria che non si possa più negare il valore economico che le informazioni personali effettivamente detengono, poiché sono considerate quale merce di
647 A. Batuecas Caletrío, Intimidad Personal, Protección de Datos Personales y Geolocalización, in
Derecho Privado y Constitución, 2015, pag. 59; P. Sammarco, Circolazione, contaminazione e armonizzazione nella disciplina delle nuove tecnologie, in Il Diritto dell’Informazione e dell’Informatica, 2008, 6, pagg. 720 segg.
648 Si fa presente che il concetto di titolare del dato personale (con cui ci si riferisce alla persona cui
il dato è riferito, cui appartiene il bene – e che il GDPR identifica con l’espressione «interessato») è ben differente da quello di titolare del trattamento di dati personali (che si riferisce, come si vedrà
infra, al soggetto che risponde delle modalità del trattamento di dati personali).
649
Batuecas Caletrío, Intimidad Personal, Protección de Datos Personales y Geolocalización, in
Derecho Privado y Constitución, 2015, pag. 59. In questo senso molti fanno riferimento al concetto
di data portability, si v. W. Kerber, Digital Markets, Data, and Privacy: Competition Law,
Consumer Law, and Data Protection, disponibile al sito http://ssrn.com/abstract=2770479, pag. 10.
In particolare, la portabilità dei dati si riferisce alla necessaria chiara informazione, da parte del titolare del trattamento dei dati all’interessato, sulle caratteristiche e i fini del trattamento stesso. Inoltre, il diritto alla portabilità dei dati viene introdotto altresì dall’articolo 20 del GDPR, che al fine di promuovere la concorrenza nel mercato digitale, attribuisce la facoltà all’interessato di trasferire più facilmente i dati da un fornitore di un determinato servizio digitale a diversi sistemi elettronici, senza che ciò possa essere impedito da parte del responsabile del trattamento. Per approfondimenti si v. S. Sica, V. D’Antonio G.M. Riccio (cur.), La nuova disciplina europea della
scambio650, a maggior ragione nel contesto delle nuove tecnologie che ne
consentono una circolazione massiva e pressoché in tempo reale. Addirittura, secondo Kirchner, i dati personali rappresenterebbero ormai la materia prima su cui si basa e funziona la maggior parte dell’economia globale651. Più specificamente, Becker e Focarelli hanno altresì ritenuto che i dati siano persino una sorta di valuta o di moneta che consente di permutarli con altri servizi652.
Alla luce delle teorie descritte, i dati personali hanno iniziato ad essere intesi effettivamente come beni di scambio.
Tuttavia, pur essendo oramai pacifico che siano dotati di un valore monetario, i dati personali sono strettamente connessi alla dignità, all’autonomia e alla personalità degli individui, per i fattori analizzati nei primi capitoli653. In quanto tali, dunque,
appare controverso che essi possano essere assoggettati ad una valutazione economica. Tuttavia, quest’ultima tende a verificarsi nel momento in cui l’interessato, titolare dell’informazione, è considerato nel suo potenziale di mercato. In siffatto ambiente, secondo concorde dottrina, il medesimo interessato tende a non rendersi conto del valore che la propria informazione assume nella cessione che, di fatto, egli ne fa a terzi e nei successivi trasferimenti tra ulteriori soggetti terzi654. Negli Stati Uniti, ad esempio, non solo la dottrina, ma persino la giurisprudenza è giunta a prendere atto che i dati personali siano beni giuridici
650 S. Kirchner, Protection of Privacy Rights of Internet Users Agains Cross-Border Government
Interference, in International Journal of Legal Information, 2014, 42, 3, pag. 493. In tal senso, si v.
anche A. Acquisti, J. Grossklags, What Can Behavioral Economics Teach Us About Privacy?, in
Digital Privacy: Theory, Technologies and Practices, Taylor and Francis Group, 2007, pag. 5, dove
si considera il diritto alla tutela dei dati personali come un bene idoneo ad essere commercializzato.
651 S. Kirchner, Protection of Privacy Rights of Internet Users Agains Cross-Border Government
Interference, cit., pag. 494; F. Costa Cabral, O. Lynskey, Family Ties: The Intersection between Data Protection and Competition in EU Law, in Common Market Law Review, 2017, 54, pag. 26.
652 M.J. Becker, The consumer data revolution: The reshaping of industry competition and a new
perspective on privacy, in Journal of Direct, Data and Digital Marketing Practice, 2014, 15, 3,
pagg. 213-218; C. Focarelli, La privacy. Proteggere i dati personali oggi, Il Mulino, 2015, pag. 56.
653 F. Costa Cabral, O. Lynskey, Family Ties: The Intersection between Data Protection and
Competition in EU Law, cit., pag. 13
654 Difatti, è oramai d’uso che le società raccolgano informazioni dai consumatori, spesso nel quadro
della fattispecie giuridica dell’aliud pro alio, in occasione della vendita di beni o della fornitura di servizi, per poi processarli, combinarli e, spesso, ricederli come contropartita economica a società terze, che li utilizzano per realizzare i propri scopi di lucro. J.M. Victor, The EU general data
protection regulation: toward a property regime for protecting data privacy, in The Yale Law Journal, 2013, 123, 2, pag. 124. In tal senso, v. anche P. Jones Harbour, The Transatlantic Perspective: Data Protection and Competition Law, in H. Hijamns, H. Kranenborg (cur.), Data Protection Anno 2014: How to Restore Trust?, Intersentia, 2014, pag. 227, che ha richiamato
l’espressione utilizzata nel 2011 dal World Economic Forum per definire i dati quali «the new oil of
the Internet» (il nuovo carburante di Internet e, dunque, la sua materia prima), prevendendo peraltro
oggetto di scambio e, dunque, di vero e proprio diritto di proprietà655. Tuttavia, i
giudici statunitensi hanno raggiunto questa considerazione solo per quei dati che fossero stati già oggetto di raccolta e di trattamento da parte di società terze656, e non (come forse si sosterrebbe nell’UE) nella fase precedente alla raccolta, quando il dato è ancora nella sola ed esclusiva disponibilità del suo titolare. Ciò farebbe quindi pensare che il dato personale sia essenzialmente un bene giuridico, che acquisisca altresì un valore economico solo quando si discosti dalla persona cui il dato è riferito, per essere trattato ed utilizzato a scopi diversi, prevalentemente da imprese, il cui business venga agevolato dal poter disporre e combinare informazioni personali. Quantomeno questo sarebbe più facilmente possibile concepire quanto anzidetto nell’ottica dell’ordinamento statunitense.
Alla luce di quanto descritto, sorgerebbe la questione se il dato, in quanto personale, possa essere considerato giuridico solo nell’accezione di bene economico suscettibile di essere scambiato e di procurare profitto per chi lo detiene e lo tratta. D’altra parte però, seguendo i più recenti orientamenti normativi con l’introduzione nell’UE del diritto fondamentale alla tutela dei dati personali, si affermerebbe la necessità di considerare il dato come bene giuridico in senso lato appartenente a una persona fisica e, quindi, richiedente una tutela più efficace per il soggetto che ne è titolare.
Sta di fatto che, in ogni caso, se occorre studiare un ambiente di mercato, è impossibile eludere la considerazione del dato personale come bene valutabile, anche economicamente, e con un valore almeno pari, se non superiore, a quello dei beni o dei servizi offerti in cambio del dato stesso657. Oggigiorno, dunque, il mercato ruota attorno ai dati personali e lo stesso potere di mercato delle imprese, così come dei consumatori, viene valutato sulla base delle quantità di informazioni personali detenute658. Sarebbe forse possibile sostenere che il dato personale sia la
655
M.K. Ohlhausen, A.P. Okuliar, Competition, Consumer Protection, and The Right [Approach]
to Privacy, in Antitrust Law Journal, 2015, 80, 1, pagg. 145 segg. Nello specifico, i dati sono stati
identificati come dati commerciabili.
656 J.M. Victor, The EU general data protection regulation: toward a property regime for protecting
data privacy, cit., pag. 124. Victor si riferisce, a titolo di esempio, ad un caso in cui i passeggeri di
una compagnia aerea hanno ceduto i propri dati personali alla stessa in modo volontario. Una volta ceduti, tali dati sono stati raccolti e combinati in un registro dati. Quest’ultimo, secondo i giudici statunitensi, era chiaramente di proprietà della compagnia aerea di cui sopra e, di conseguenza, lo sarebbero stati anche i dati ivi conservati. V. nota 20.
657
F. Costa Cabral, O. Lynskey, Family Ties: The Intersection between Data Protection and
Competition in EU Law, cit., pag. 26.
materia prima grazie alla quale si plasmano e funzionano le logiche di mercato dell’inizio del ventunesimo secolo659, in cui si assiste a una vera e propria
rivoluzione di mercato fondata sui dati personali. Cionondimeno, tale rivoluzione, già avviata, dovrà subire alcuni aggiustamenti affinché possa divenire una rivoluzione dei dati dei consumatori. Invero, come generalmente accade per le rivoluzioni, relativamente al settore economico, la comunità si troverà a breve dinanzi alla richiesta della sua parte più debole – i consumatori appunto – di essere maggiormente tutelata attraverso una redistribuzione del benessere sociale.
Se per le imprese il benessere dipende dal maggior profitto raggiunto con minimi costi di produzione, per i cittadini tale benessere si raggiunge attraverso la tutela, innanzitutto, dei propri diritti fondamentali660. Siffatta nuova rivoluzione non
tarderà a manifestarsi poiché, da qualche anno a questa parte, si riscontra una maggiore sensibilità da parte di alcune istituzioni ed un maggiore interesse dei cittadini nei confronti della tutela dei dati personali661.