Qualora si voglia sviluppare l’argomento della raccolta e del trattamento legittimo dei dati personali, nel quadro giuridico attuale è d’uopo non trascurare il requisito del “consenso informato”754, poiché quest’ultimo rappresenta una combinazione tra il libero esercizio del diritto fondamentale alla tutela della vita privata e dei dati personali ed il più ampio diritto di autodeterminazione nella scelta di quali parti di sé rendere note all’esterno755, che sottenderebbe lo stesso valore della dignità.
Le basi giuridiche dell’espressione del consenso informato poggiano, nell’UE, oltre che sul diritto alla tutela dei dati personali sancito dalla Carta dei diritti fondamentali756, altresì sul nuovo GDPR entrato in vigore nel maggio 2016 e, in particolare, sull’articolo 6, paragrafo 1, lettera a), dove si prevede che il trattamento dei dati sia lecito quando ricorra detto consenso, eventualmente in alternativa ad altre condizioni per cui il consenso sia dato per implicito o non sia necessario alla luce di superiori interessi pubblici757. La peculiarità di detto consenso è data dal suo essere “informato”, vale a dire dal fatto che il soggetto che lo esprime sia stato previamente reso consapevole delle finalità per cui i dati sono raccolti e vengono poi trattati.
753 Per la connessione tra privacy e parità di trattamento si v. L.J. Strahilevitz, Toward a positive
theory of privacy law, cit., pag. 2034.
754
V. cap. II.VII. supra.
755 C. Focarelli, La privacy. Proteggere i dati personali oggi, cit., pag. 70. 756 V. cap. II.IV. supra.
757 Articolo 7, paragrafo 1, lettera a), del regolamento (UE) n. 2016/679 del Parlamento europeo e
del Consiglio, del 27 aprile 2016, relativo alla protezione delle persone fisiche con riguardo al trattamento dei dati personali, nonché alla libera circolazione di tali dati e che abroga la direttiva 95/46/CE (regolamento generale sulla protezione dei dati), GU L 119 del 4.5.2016.
Negli Stati Uniti si preferisce parlare di notice and choice o notice and consent, anteponendo la necessità dell’informazione alla scelta conscia dell’individuo758.
Essenzialmente, quando si parli di consenso informato o di notice and choice si intende distinguerlo da un altro strumento a tutela dell’autonomia della persona, non di grande successo, rappresentato dall’anonimizzazione dei dati personali che così possono essere trattati in forma confidenziale. Questa tecnica è spesso poco utile, in quanto consente ugualmente di poter identificare se non la persona, almeno il gruppo ristretto cui appartiene, in una fase successiva759.
Il consenso informato rende il problema del trattamento dei dati personali una questione che deve risolvere l’individuo cui i dati appartengono e cui è rimessa la possibilità di scelta760. Malgrado tutto, i sistemi di tutela dell’autonomia
dell’individuo non sembrano neppure più completamente adeguati, in quanto si trovano a fronteggiare nuove potenzialità derivanti dai big data e dal behavioural
targeting, che sviluppano dispositivi sempre più precisi per giungere ad una
raccolta di dati sempre maggiore o, comunque, a combinazioni di dati legittimamente raccolti per finalità previste e accettate, ma talvolta combinati senza il consenso dell’interessato il quale, mediante quest’ultimo meccanismo di profilazione, di fatto, viene privato di altri dati che non ha divulgato consapevolmente, ma che sono stati derivati per deduzione dall’abbinamento dei dati inizialmente concessi761. Di tal sorta si vanifica l’essenza stessa del consenso,
implicando sostanzialmente due effetti negativi. Da un lato, si impedisce la completa realizzazione del mercato unico in quanto, così facendo, si rende impossibile la libera circolazione delle informazioni. D’altro lato, tale sacrificio non sarebbe neppure giustificato perché in ogni caso non riuscirebbe a proteggere i dati personali dell’individuo e, quindi, la sua libertà fondamentale di scegliere e di autodeterminarsi762. In tale contesto, l’individuo viene lasciato solo, di fronte a qualcosa che non può né combattere, né contrastare, poiché quand’anche non
758 V’è da precisare preliminarmente che il notice and choice statunitense è un meccanismo
sponsorizzato su base volontaria dalla Federal Trade Commission, che suggerisce alle imprese di adottare delle privacy policies adeguate, da divulgare agli utenti prima che possano esprimere o meno il loro consenso. F. Marotta-Wurgler, Self-Regulation and Competition in Privacy Policies, in
Journal of Legal Studies, 2016, 45, pag. 14.
759 S. Barocas, H. Nissembaum, Computing Ethics. Big Data’s End Run Around Procedural Privacy
Protections, in Communications of the ACM, 2014, 57, 11, pag. 31.
760
Ibidem.
761 Ibidem, pag. 32.
rappresenti il diretto divulgatore delle proprie informazioni, altri verranno a conoscere di lui attraverso l’abbinamento di dati personali propri e di terzi763.
Con riguardo a detto fenomeno, Nissembaum e Barocas hanno parlato di una sorta di tirannia della minoranza. Secondo i due autori, infatti, la minoranza degli individui (in questo contesto utenti) preferirebbe divulgare le proprie informazioni, mentre una maggioranza di questi opterebbe per non diffondere informazioni ulteriori a quelle strettamente necessarie. Tuttavia, in considerazione di quanto poc’anzi illustrato, nel momento in cui alcuni utenti rendono accessibili informazioni proprie e, con o tramite queste, informazioni altrui, la maggioranza sarebbe obbligata ad una scelta implicita (e forzata, nonché contraria alla propria volontà) di diffondere i propri dati. Dunque, l’individuo in condizioni di minor potere (appartenente alla suddetta maggioranza) esprimerebbe il proprio consenso in modo chiaro, informato e legittimo, ma tale consenso gli si ritorcerebbe contro in un momento successivo alla raccolta dei propri dati e a quella di dati altrui. Nel momento in cui questi ultimi divengono oggetto di ulteriori combinazioni da cui è possibile inferire dati non volutamente divulgati, ma implicitamente carpiti, detto consenso verrebbe indirettamente tradito. Tale fenomeno “tirannico” potrebbe derivare altresì dalla divulgazione di informazioni da parte di un soggetto che, una volta combinate, consentono di ricavare dettagli interessanti su di un diverso soggetto, il quale non ha però accordato alcun tipo di consenso al trattamento dei suoi dati così derivati764. La dottrina testé citata parla anche di un paradosso della trasparenza, per cui se il consenso deve essere prestato in modo informato, dovrebbe essere espresso sul fondamento di informazioni complete e trasparenti. Ora, se a prima vista questo può sembrare vero e logico, è chiaro come detto ragionamento non sia più valido nel momento della combinazione di ulteriori dati appartenenti a soggetti terzi, ma che in qualche misura possono avere legami o connessioni con l’interessato in questione che ha espresso un consenso, basandolo tuttavia su presupposti differenti765.
Orbene, non sembra ancora esistere una soluzione normativa al proposito (i primi sforzi sono stati compiuti dall’UE che ha approntato una proposta di regolamento
763 Ibidem. 764
S. Barocas, H. Nissembaum, Computing Ethics. Big Data’s End Run Around Procedural Privacy
Protections, cit., pag. 32.
sulla vita elettronica degli individui, che è però ancora da approvare766) sufficiente
a risolvere le problematiche ivi connesse. In tal senso, è lo stesso mondo scientifico a spingere il legislatore in questa direzione, avendo riconosciuto la necessità di implementare delle normative idonee, perché i soli meccanismi del consenso informato e dell’anonimizzazione non sono in grado di far fronte alle criticità collegate all’uso dei big data767. Inoltre, una soluzione più efficace, secondo
Focarelli, si potrebbe conseguire ponendo l’attenzione normativa, da un lato, sui soggetti che controllano l’uso delle informazioni personali, anziché su chi li raccoglie e, dall’altro, anche sulla fase dell’uso anziché su quella della raccolta, che oramai pare quasi inevitabile768.