Il graduale riconoscimento normativo della privacy

La progressiva affermazione del diritto alla privacy sia a livello europeo che nazionale, ha visto come protagonista la giurisprudenza, la quale è riuscita a colmare negli anni le numerose lacune legislative presenti all’interno dei due ordinamenti.

In Italia, il riconoscimento del diritto alla riservatezza non è stato semplice né immediato. Agli inizi del XX secolo, davanti al silenzio persistente del legislatore, gli unici riferimenti al diritto alla privacy erano quelli dottrinali. In particolar modo, si ricordano gli studi di Ravà, docente di filosofia del diritto, che afferma: "la qualità di

persona richiede ed esige che alla persona stessa sia riservata una certa sfera relativa ai dati più gelosi e più intimi di essa e della sua attività"50.

Nel 1956 la Corte di Cassazione con la sentenza n. 4487 aveva negato l’esistenza del diritto alla riservatezza. È negli settanta che si assiste ad un rovesciamento del precedente orientamento: dapprima, con le

49 _{S. RODOTÀ, cit.}

27

sentenze della Corte Costituzionale n. 122 del 1970 e n. 38 del 1973, relative alla libertà di stampa, grazie alle quali si è ricondotto il diritto alla riservatezza agli artt. 2, 3 e 13 Cost., permettendo di rubricare lo stesso come diritto fondamentale; successivamente, nel 1975, con la sentenza n. 2129 della Corte di Cassazione, la quale riconosce il diritto alla riservatezza come "tutela di quelle situazioni e vicende

strettamente personali e familiari le quali, anche se verificatesi fuori dal domicilio domestico, non hanno per i terzi un interesse socialmente apprezzabile, contro le ingerenze che, sia pure compiute con mezzi leciti, per scopi non esclusivamente speculativi e senza offesa per l’onore, la reputazione o il decoro, non sono giustificati da interessi pubblici preminenti"51. La sentenza n. 5658/1998 della Corte di Cassazione specifica l’oggetto del diritto alla riservatezza affermando che si riferisce ad una "certa sfera della vita individuale e familiare,

all’illesa intimità personale in certe manifestazioni della vita di relazione, a tutte quelle vicende cioè, il cui carattere intimo è dato dal fatto che esse si svolgono in un domicilio ideale, non materialmente legato alle mura domestiche"52.

Negli anni Novanta la Corte Costituzionale con le sentenze n. 139/1990 e n. 81/1993 da una svolta interpretativa al concetto di

privacy, al quale riconduce non solo l’originaria tutela alla riservatezza

ma anche l’attuale protezione dei dati personali.

51 _{Motivazione della sentenza Cass., 27 Maggio 1975, n.2129, in Mass. Giur. It.,}

1975, 594.

28

Nel 1981, il diritto alla riservatezza aveva ottenuto un primo riconoscimento nella Convenzione di Strasburgo53, primo strumento internazionale giuridicamente rilevante, adottato in materia di protezione dei dati, che all’art. 1, modificato di recente, enuncia il suo scopo: "garantire, sul territorio di ciascuna Parte, ad ogni persona

fisica, quali che siano la sua nazionalità o la sua residenza, il rispetto dei suoi diritti e delle sue libertà fondamentali, e in particolare del suo diritto alla vita privata, in relazione all’elaborazione automatica dei dati a carattere personale che la riguardano («protezione dei dati»)".

A livello europeo è del 24 ottobre 1995 la Dir. 95/46/CE54 del Parlamento europeo e del Consiglio, relativa alla tutela delle persone fisiche con riguardo al trattamento dei dati personali, nonché alla libera circolazione di tali dati (cosiddetta “Data Protection Directive” o direttiva “madre”). Si pone come obiettivo: "armonizzare la tutela dei

diritti e delle libertà fondamentali delle persone fisiche rispetto alle attività di trattamento dei dati e assicurare la libera circolazione dei dati personali tra Stati membri"55. Rappresenta l’esito di un percorso giurisprudenziale iniziato dalla Corte Europea dei diritti umani (CorteEDU), la quale riconosceva come fondamento del diritto alla protezione dei dati, l’art.8 della Convenzione Europea per la

salvaguardia dei diritti dell’uomo e delle libertà fondamentali

53 _{Convenzione del Consiglio d’Europa n.108 sulla protezione delle persone rispetto}

al trattamento automatizzato di dati di carattere personale, Strasburgo, 28 gennaio 1981.

54 _{In G.U.C.E., l. 281 del 23 novembre 1995.}

55 _{Considerando n. 3 Regolamento (UE) 2016/679 del Parlamento europeo e del}

29

(CEDU)56. L’art. 8 rubricato “Diritto al rispetto della vita privata e

familiare”, presente nel Titolo I, “Diritti e libertà”, oltre a riconoscere

il diritto al rispetto della vita privata e familiare, del proprio domicilio e della propria corrispondenza, al punto 2 dichiara: "Non può esservi

ingerenza di una autorità pubblica nell’esercizio di tale diritto a meno che tale ingerenza sia prevista dalla legge e costituisca una misura che, in una società democratica, è necessaria alla sicurezza nazionale, alla pubblica sicurezza, al benessere economico del paese, alla difesa dell’ordine e alla prevenzione dei reati, alla protezione della salute o della morale, o alla protezione dei diritti e delle libertà altrui".

A conferma di tal orientamento, la Dir. 95/46/CE fissa il principio del “consenso”: è possibile il trattamento solo se il titolare, che deve esserne a conoscenza, vi acconsenta.

Così riporta il Considerando n. 30 della Direttiva: "per essere lecito, il

trattamento di dati personali deve essere inoltre basato sul consenso della persona interessata oppure deve essere necessario ai fini della conclusione o dell'esecuzione di un contratto vincolante per la persona interessata, oppure deve essere previsto dalla legge, per l'esecuzione di un compito nell'interesse pubblico o per l' esercizio dell' autorità pubblica, o nell'interesse legittimo di un singolo individuo, a condizione che gli interessi o i diritti e le libertà della persona interessata non abbiano la prevalenza". E ancora si legge nel

Considerando n. 33: "considerando che i dati che possono per loro

30

natura ledere le libertà fondamentali o la vita privata non dovrebbero essere oggetto di trattamento, salvo esplicito consenso della persona interessata; che tuttavia le deroghe a questo divieto devono essere espressamente previste nei casi di necessità specifiche, segnatamente laddove il trattamento di tali dati viene eseguito da persone assoggettate per legge all'obbligo del segreto professionale per taluni fini connessi alla sanità o per le legittime attività di talune associazioni o fondazioni il cui scopo consista nel permettere l'esercizio delle libertà fondamentali".

La Direttiva si caratterizza per essere stata il primo intervento in materia a porre al centro dell’attività di trattamento dei dati l’individuo e la sua vita privata, differenziandosi dalla disciplina statunitense, che attribuisce valore economico e negoziale ai dati personali.

Nonostante ad essa abbiano avuto seguito la Direttiva n. 97/66/CE del 15 dicembre 1997, riguardante la tutela dei dati personali e la tutela

della vita privata nel settore delle telecomunicazioni, successivamente

abrogata e sostituita dalla Direttiva n. 2002/58/CE del 12 luglio 2002,

riguardante il trattamento e la tutela dei dati personali e della vita privata nel settore delle comunicazioni elettroniche, che ha apportato

modifiche alla direttiva “madre” atte a fronteggiare i nuovi rischi alla protezione dei dati, l’impianto normativo rimase obsoleto.

L’Italia diede attuazione alla Dir. 45/96/CE con la l. 31 dicembre 1996 n. 675, “Tutela delle persone e di altri soggetti rispetto al trattamento

31

l’opinione pubblica riteneva essere uno strumento a solo ed esclusivo vantaggio delle classi più agiate; gli stessi politici la consideravano una forzatura imposta dall’Europa e necessaria per godere dei benefici del Trattato di Schengen sulla libera circolazione delle merci e delle persone.

In realtà, è stato un testo fondamentale in Italia per delineare il diritto alla privacy non più, meramente, come diritto alla riservatezza ma come diritto alla protezione dei dati.

"La privacy si profila così non come modo per sottrarsi agli occhi del

mondo ma come componente essenziale della propria identità, dignità e libertà"57_.

Nel 2001 il diritto alla riservatezza e diritto alla protezione dei dati sono affermati nella “Carta dei diritti fondamentali dell’Unione europea”58 come diritti del cittadino europeo. Fra i “diritti di libertà”

nel Titolo I, Capo II all’art. 8, rubricato “Protezione dei dati di

carattere personale”, è enunciato il diritto alla protezione dei dati: "1. Ogni individuo ha diritto alla protezione dei dati di carattere personale che la riguardano. 2. Tali dati devono essere trattati secondo il principio di lealtà, per finalità determinate e in base al consenso della persona interessata o a un altro fondamento legittimo previsto dalla legge. Ogni individuo ha il diritto di accedere ai dati raccolti che lo riguardano e di ottenerne la rettifica. 3. Il rispetto di

57 _{C. FARALLI, Diritto alla privacy. Profili storico-filosofici, in N. Z. GALGANO,}

op. cit., pag. 7.

58 _{La Carta dei diritti fondamentali dell’Unione Europea, proclamata il 7 Dicembre}

32

tali regole è soggetto al controllo di un’autorità indipendente". Mentre

nell’art. 7 della stessa Carta, rubricato “Rispetto della vita privata e

della vita familiare”, si definisce il diritto alla riservatezza: "Ogni individuo ha diritto al rispetto della propria vita privata e familiare, del proprio domicilio e delle sue comunicazioni".

In Italia, nel gennaio del 2004 entra in vigore il d.lgs. 30 giugno 2003, n. 196, Codice in materia di protezione dei dati personali, noto come “Codice privacy”, che recita: "chiunque ha diritto alla protezione dei

dati personali che lo riguardano", riconoscendolo come diritto

autonomo. All’art. 1 del Codice si chiariva che la finalità dell’intervento normativo era quello di garantire "che il trattamento dei

dati personali si svolga nel rispetto dei diritti e delle libertà fondamentali, nonché della dignità dell’interessato, con particolare riferimento alla riservatezza, all’identità personale e al diritto alla protezione dei dati personali". La norma, che esplicita per la prima

volta nel nostro ordinamento il diritto alla protezione dei dati personali, fa da eco all’art. 1, comma 1° della Dir. 95/46/CE, ai sensi del quale "Gli Stati membri garantiscono, conformemente alle disposizioni della

presente direttiva, la tutela dei diritti e delle libertà fondamentali delle persone fisiche e particolarmente del diritto alla vita privata, con riguardo al trattamento dei dati personali". Nell’ottica di accordare

centralità alla persona a cui i dati si riferiscono, il Codice assegna una posizione centrale al consenso, che diviene predominante tra i presupposti di liceità del trattamento mentre gli altri fondamenti

33

legittimi appaiono vere e proprie eccezioni ad esso59. Ne risulta non solo legittimato, ma anche rafforzato, rispetto al quadro precedente, il diritto al trattamento e dunque la posizione anche autonomamente protetta del titolare del trattamento stesso60.

Con l’entrata in vigore del Trattato di Lisbona, 1 novembre 2009, venendo meno i “tre pilastri dell’Unione Europea”, istituiti con

il Trattato di Maastricht del 1992, si conferisce una base più solida allo sviluppo della politica europea sulla protezione dei dati personali. È all’art. 16, Parte Prima, “Principi”, del Trattato sul Funzionamento

dell’Unione europea (TFUE) che trova un ulteriore riconoscimento il

diritto alla protezione dei dati personali e viene attribuito al Parlamento europeo il ruolo di colegislatore, assieme al Consiglio, sulla materia inerente alla protezione delle persone fisiche nel trattamento dei dati. Si afferma, infatti: "1. Ogni persona ha diritto alla protezione dei dati

di carattere personale che la riguardano. 2. Il Parlamento europeo e il Consiglio, deliberando secondo la procedura legislativa ordinaria, stabiliscono le norme relative alla protezione delle persone fisiche con riguardo al trattamento dei dati di carattere personale da parte delle istituzioni, degli organi e degli organismi dell'Unione, nonché da parte

59 _{Cfr. Artt. 23 e 24 del Codice prima delle modifiche apportate nel 2018 con il d.lgs.}

101/2018, con cui è stato adeguata la disciplina nazionale a quella del Reg. (UE) 2016/479.

60 _{Al contrario, nel GDPR il legislatore europeo mostra invece di dare maggiore}

risalto anche all’altra anima della disciplina, quella della libera circolazione dei dati, che risulta rafforzata rispetto all’impianto della direttiva e delle norme interne di recepimento, in particolare a seguito del depotenziamento del consenso dell’interessato rispetto agli altri fondamenti legittimi, ora in posizione equivalente al consenso.

34

degli Stati membri nell'esercizio di attività che rientrano nel campo di applicazione del diritto dell'Unione, e le norme relative alla libera circolazione di tali dati. Il rispetto di tali norme è soggetto al controllo di autorità indipendenti".

Arrivati a questo punto, nessuno poteva mettere in dubbio l’effettiva rilevanza assunta dal diritto alla privacy riconosciuto nelle sue due forme, diritto alla riservatezza e diritto alla protezione dei dati, come diritto fondamentale sia a livello europeo che nazionale.

Il quadro normativo appena descritto, però, non fu a lungo sufficiente a garantire un adeguato livello di protezione. Del resto, è noto come la materia dei dai personali sia particolarmente mutevole e richieda continui adattamenti in relazione all’evoluzione tecnologica e sociale.61

Così, nel 2012 la Commissione europea ha proposto un’adeguata riforma in materia di protezione dei dati, cercando di aggiornare la regolamentazione risalente al 1995, tutelando i diritti della privacy on-

line e contribuendo allo sviluppo dell’economia digitale europea. Dopo

anni di negoziati tra Parlamento, Commissione e Consiglio dell’Unione europea, nel dicembre del 2015 si raggiunge un accordo. Si propone l’attuazione di un Regolamento direttamente applicabile in tutti gli stati membri, che assicuri "un’applicazione omogenea della

normativa vigente, al fine di creare un clima di fiducia per lo sviluppo

61 _{F. CADARELLI, S. SICA, V. ZENO-ZENCOVICH, Il codice dei dati personali.}

35

dell’economia digitale"62 _{e che vada a sostituire la predente Direttiva.}

Si vuole uniformare la frammentaria disciplina dell’Unione in materia di protezione dei dati, riducendo la diffusa incertezza sull’applicazione della normativa.

Accanto al Regolamento, l’accordo prevedeva l’attuazione di una Direttiva sulla protezione delle persone fisiche, con riguardo al trattamento dei dati da parte delle Autorità competenti per la prevenzione, il contrasto e la repressione dei crimini. Direttiva volta a sostituire la decisione quadro 2008/909/GAI del Consiglio del 27 novembre 2008, relativa all’applicazione del principio del reciproco riconoscimento alle sentenze penali che irrogano pene detentive o misure privative della libertà personale ai fini della loro esecuzione nell’Unione europea.

Entrambi i testi sono stati adottati in seconda lettura dal Parlamento Europeo nell’aprile del 2016, come approvati dal Consiglio, e pubblicati nella Gazzetta Ufficiale dell’Unione europea il 4 maggio. Il 5 maggio 2016 è entrata ufficialmente in vigore la Direttiva con l’onere di recepimento in capo agli stati membri entro 2 anni. Il Regolamento è in vigore dal 24 maggio 2016 ed è diventato definitivamente e direttamente applicabile in tutti gli Stati membri dell’UE il 25 maggio 201863_.

62 _{G. FINOCCHIARO, Il quadro d’insieme sul Regolamento europeo sulla}

protezione dei dati personali, in G. FINOCCHIARO, op. cit., pag. 8.

36

Sul Regolamento si espresse il presidente Juncker dicendo: "essere

europei significa avere diritto alla protezione dei propri dati personali mediante rigorose leggi europee. Perché agli europei non piace essere sorvolati da droni che registrano ogni loro movimento, né vogliono che le imprese tengano traccia di ogni loro click in rete. Per questa ragione, nel maggio di quest'anno, il Parlamento, il Consiglio e la Commissione hanno concordato un regolamento sulla protezione comune europea dei dati. Si tratta di una rigorosa normativa europea sul trattamento dei dati personali che si applica alle imprese, ovunque abbiano sede. Perché in Europa ci teniamo alla riservatezza. Si tratta di una questione di dignità umana." 64

Sia il Regolamento n. 2016/679, noto anche come General Data

Protection Regulation (GDPR), che la Direttiva n. 2016/680 fanno

parte del c.d. “Pacchetto europeo protezione dati” che, come detto, mira ad adeguare l’Europa all’Era digitale permettendo ai suoi cittadini di godere di uguali diritti in materia di protezione dei dati. Si passa da strumenti di armonizzazione, a “strumenti di uniformazione” del diritto per gli Stati europei.

Il Gruppo di lavoro articolo 29 per la protezione dei dati ha adottato il 2 febbraio 2016 un piano d’azione per l’implementazione del Regolamento entro il 2018. Il 3 gennaio 2017 al precedente programma è stato sostituito un nuovo action plan, secondo cui il Gruppo di lavoro articolo 29 si impegna ad ultimare le attività

37

intraprese nel 2016 prevedendo l’adozione di nuove misure per agevolare l’applicazione uniforme del Regolamento (come emanazione di linee guida sul consenso).

Il Reg. UE 2016/679 abroga la Direttiva 95/46/CE. Raccoglie l’esperienza normativa maturata in Europa dal 1995 sino al 2016 rimanendo, in parte, legato ai concetti chiave già introdotti ma arricchendoli rispetto al testo della previgente normativa europea. Si pensi al consenso. Esso è definito nel Regolamento, al pari che nella Direttiva, come qualsiasi manifestazione di assenso dell’interessato libero, specifico, informato ed inequivocabile ma all’art. 765 si configura un onere di verifica in capo al titolare del trattamento sull’effettiva prestazione del consenso da parte dell’interessato, prima inesistente, e all’art. 8 viene predisposta una disciplina ad hoc sul consenso dei minori66.

All’interno del Regolamento, vengono introdotti per la prima volta nuovi principi e diritti. Tra questi: il diritto alla cancellazione dei dati, noto come “diritto all’oblio”67_{, il diritto alla portabilità dei dati}68_{, il}

65 _{L’art. 7, comma 1°, prevede: "qualora il trattamento sia basato sul consenso, il}

titolare del trattamento deve essere in grado di dimostrare che l’interessato ha prestato il proprio consenso al trattamento dei propri dati personali".

66 _{Art. 8, comma 1°, intitolato “Condizioni applicabili al consenso dei minori in}

relazione ai servizi della società dell'informazione” che prevede: "per quanto

riguarda l'offerta diretta di servizi della società dell'informazione ai minori, il trattamento di dati personali del minore è lecito ove il minore abbia almeno 16 anni. Ove il minore abbia un'età inferiore ai 16 anni, tale trattamento è lecito soltanto se e nella misura in cui tale consenso è prestato o autorizzato dal titolare della responsabilità genitoriale. Gli Stati membri possono stabilire per legge un'età inferiore a tali fini purché non inferiore ai 13 anni."

67 _{Disciplinato all’art.17 del Reg. 2016/679 che al comma 1° riporta: "L'interessato}

ha il diritto di ottenere dal titolare del trattamento la cancellazione dei dati personali che lo riguardano senza ingiustificato ritardo e il titolare del trattamento

38

meccanismo di coerenza69, la pseudonomizzazione70, il dato biometrico ma soprattutto il principio dell’accountability71_{, che ha}

rivoluzionato la disciplina del trattamento dei dati personali.

ha l'obbligo di cancellare senza ingiustificato ritardo i dati personali , se sussiste uno dei motivi seguenti: a) i dati personali non sono più necessari rispetto alle finalità per le quali sono stati raccolti o altrimenti trattati; b) l'interessato revoca il consenso su cui si basa il trattamento conformemente all'articolo 6, paragrafo 1, lettera a), o all'articolo 9, paragrafo 2, lettera a), e se non sussiste altro fondamento giuridico per il trattamento; c) l'interessato si oppone al trattamento ai sensi dell'articolo 21, paragrafo 1, e non sussiste alcun motivo legittimo prevalente per procedere al trattamento, oppure si oppone al trattamento ai sensi dell'articolo 21, paragrafo 2; d) i dati personali sono stati trattati illecitamente; e) i dati personali devono essere cancellati per adempiere un obbligo legale previsto dal diritto dell'Unione o dello Stato membro cui è soggetto il titolare del trattamento; f) i dati personali sono stati raccolti relativamente all'offerta di servizi della società dell'informazione di cui all'articolo 8, paragrafo 1".

68 _{Disciplinato all’art. 20 del Reg. 2016/679 che al comma 1° è definito come il}

diritto dell’interessato a "ricevere in un formato strutturato, di uso comune e

leggibile da dispositivo automatico i dati personali che lo riguardano forniti a un titolare del trattamento senza impedimenti da parte del titolare del trattamento cui li ha forniti qualora: a) il trattamento si basi sul consenso ai sensi dell'articolo 6, paragrafo 1, lettera a), o dell'articolo 9, paragrafo 2, lettera a), o su un contratto ai sensi dell'articolo 6, paragrafo 1, lettera b); e b) il trattamento sia effettuato con mezzi automatizzati".

69 _{Disciplina contenuta nella Sezione II, Capo VII del Regolamento. Si veda art. 63}

che stabilisce: "al fine di contribuire all'applicazione coerente del presente

regolamento in tutta l'Unione, le autorità di controllo cooperano tra loro e, se del caso, con la Commissione mediante il meccanismo di coerenza stabilito nella presente sezione".

70 _{È definita all’art. 4, comma 1°, n. 5, del Regolamento come: "il trattamento dei}

dati personali in modo tale che i dati personali non possano più essere attribuiti a un interessato specifico senza l'utilizzo di informazioni aggiuntive, a condizione che tali informazioni aggiuntive siano conservate separatamente e soggette a misure tecniche