Le molteplici declinazione del diritto fondamentale alla riservatezza: dal consenso al trattamento dei dati, allo ius excludendi alios, al diritto all’oblio

La sicurezza informatica comprende in sé: 1) la potenziale compromissione della riservatezza, come esposizione dei dati a rischi di una loro apprensione ad opera di terzi; 2) la semplice perdita di disponibilità dei dati da parte del suo titolare; 3) la compromissione della loro autenticità e integrità.

Della polivalenza contenutistica del diritto fondamentale alla riservatezza si è occupata anche la giurisprudenza sovranazionale, attraverso il riferimento agli artt. 7 (vita personale e familiare) e 8 (protezione dei dati personali) della Carta di Nizza e all’art. 8 (diritto al rispetto della vita privata e familiare) della CEDU.

Tale diritto fondamentale non implica semplicemente il consenso al trattamento dei dati personali richiesto per l’accesso ad un sito o per la creazione di un account. Traslato sulla dimensione digitale, esso è stato declinato, in un primo momento, come ‘diritto ad essere lasciati soli’, nel senso di preservare l’esistenza di una sfera ‘intima’ del soggetto dalle intrusioni esterne.

Con la diffusione degli strumenti di monitoraggio dei dati di navigazione che consentono di creare profili piuttosto definiti per ciascun utente, alla riservatezza come

ius excludendi alios si sovrappone il diritto alla protezione dell’integrità, autenticità e

soprattutto disponibilità dei dati personali da parte del titolare. Basti pensare alla frequenza con la quale su Internet sono richiesti, per l’accesso, per compiere determinate attività o operazioni, informazioni e dati personali dei quali l’utente è destinato a perdere il controllo non appena li trasmette: egli, pur avvertito dall’informativa sulla privacy, non è in grado di controllare la sorte effettiva di tali dati presso i terzi. Celebre, a tal proposito, la pronuncia della Corte costituzionale tedesca del 2008, sulla pratica del monitoraggio indiscriminato. In tale sentenza, sono stati evidenziati i legami tra garanzia di integrità dei dati e la c.d. autodeterminazione informativa, intesa come diritto ad essere informati e decidere consapevolmente in merito alla raccolta, alla gestione e all’utilizzo, da parte di terzi, dei propri dati personali77. In quell’occasione, la Corte, ancorando la propria valutazione al principio di proporzionalità, ha ritenuto che il monitoraggio indiscriminato dell’attività degli utenti sulla Rete costituisse una misura eccessiva e troppo invasiva della sfera personale perfino rispetto ai fini di contrasto e prevenzione del terrorismo internazionale e del crimine transnazionale.

Ancor più drastica è la situazione nel caso in cui le informazioni sono pubblicate su siti privi di restrizioni all’accesso: l’utente perde la disponibilità del dato, nel senso che esso è potenzialmente suscettibile di apprensione da parte di qualsiasi utente si colleghi alla fonte in cui sono riportati i dati. A tal proposito, la Corte di Giustizia ha di recente incluso nella tutela della riservatezza, il c.d. diritto all’oblio, quale pretesa del cittadino di rimozione dalla Rete delle informazioni ritenute dannose per la sua reputazione o comunque pregiudizievoli, in mancanza di un interesse di natura pubblica all’accesso generalizzato78. In sostanza, la deindicizzazione dei link di ricerca sarebbe necessaria

77 _{Corte costituzionale tedesca, 27 febbraio 2008, BvR 370/07. Vedi infra il contributo di Flor.} 78 _{Corte di Giustizia, sentenza 13 maggio 2014, Google Spain SL, Google Inc. contro Agencia}

Espanola de Proteccion de Datos (AEPD), MARCO COSTEJA GONZALE. Vedi infra il contributo di Flor.

quando i dati relativi alla persona non si presentano più adeguati all’identità virtuale nella propria attualità79.

Di queste evoluzioni della prassi occorre ormai tenere conto, da quando la giurisprudenza delle Corti sovranazionali è divenuta, nei fatti, vera e propria fonte di diritto: in particolare, la forza propulsiva dei diritti fondamentali nell’interpretazione evolutiva della Corte EDU - cui si ispira anche la Corte di Giustizia - è capace di penetrare nelle trame del tessuto normativo ed innovarne il contenuto prescrittivo. 9. Bilanciamento tra riservatezza e integrità dei dati versus sicurezza informatica

La scelta e l’utilizzo di determinate misure tecniche e tecnologiche è questione centrale per definire i rapporti di forza tra sicurezza informatica e il diritto fondamentale alla riservatezza nelle molteplici accezioni elaborate per via giurisprudenziale. Le tecniche di monitoraggio, elevate emblematicamente a strumento di prevenzione e contrasto del terrorismo internazionale dopo i fatti dell’undici settembre, possono rivestire un ruolo ambivalente: come strumento necessario per presidiare la sicurezza delle reti e delle informazioni, o quale mezzo invasivo della sfera personale che lede la riservatezza. Oltre al monitoraggio invasivo praticato dallo Stato e giustificato dalla finalità di prevenzione e repressione dei reati, anche le grandi multinazionali delle telecomunicazioni dispongono di software o apparecchiature in grado di produrre risultati simili ad un controllo costante. Esistono, infatti, molti sistemi che consentono di accumulare ogni genere di informazione sugli utenti o sui cittadini, sui loro gusti, sulle loro abitudini, senza alcun garanzia e controllo circa la sorte cui tali dati vengono destinati80. Non è un caso che oggi si parli di ‘società della sorveglianza’ per sottolineare come quelle stesse tecnologie che hanno recato grandi vantaggi e sono divenute indispensabili per l’uomo, celino un elevato rischio di invasione della sfera personale. In tal senso, possono perpetrarsi abusi di vario genere mediante: 1) l’identificazione dei singoli utenti a partire dai loro profili virtuali; 2) la registrazione dei loro comportamenti attraverso la sorveglianza81.

79 _{Merita di essere sottolineato come sulla homepage delle società sia comparso quasi subito un}

modulo che consente ai cittadini di richiedere la rimozione dei dati ritenuti non graditi. In Italia, il riconoscimento al diritto all’oblio si deve alla pronuncia della Corte di Cassazione, 5 aprile 2012, n. 5525, in un caso nel quale una personaggio pubblico si era rivolto dapprima al Garante e poi all’autorità giudiziaria per ottenere che un editore (RCS) provvedesse ad aggiornare un vecchio articolo presente nell’archivio online relativo al suo arresto, senza che fosse successivamente riportata la notizia del proscioglimento da ogni accusa. La Corte definisce il diritto all’oblio come diritto alla tutela della propria attuale identità personale e morale nella sua proiezione sociale. Inoltre, il diritto all’oblio è tra i dieci principi contenuti nella Carta dei diritti e doveri di Internet, elaborata dalla Commissione per i diritti e doveri di Internet e attualmente sottoposta a consultazione pubblica. Testo disponibile sul sito della camera dei deputati: www.camera.it.

80

Ad esempio, attraverso i cookies che sono semplici dati inviati dal sito che si è visitato e vengono registrati, in modo tale che in una seconda navigazione all’interno di questo sito, il nostro terminale sia identificato e riconosciuto. Si pone un problema di conflitto con la riservatezza, perché, pur non essendo virus ma dati, i cookies permettono al sito che l’ha inviato di unificare tutti gli accessi compiuti con lo stesso computer e ricostruire la storia di tutte le attività compiute con esso, in modo da creare un profilo piuttosto definito dell’utente.

81 _{Con il Provvedimento generale del 3 giugno 2014 adottato al termine di una consultazione}

pubblica, il garante della privacy ha stabilito che l’installazione dei cookies per finalità di profilazione e

marketing da parte dei gestori di siti potrà avvenire solo se l’utente sarà espressamente informato ed avrà

Il monitoraggio si estrinseca attraverso molteplici modalità esecutive, addirittura legalizzate sotto la veste di un vero e proprio obbligo giuridico82. E’ questo il caso della

data retention, ossia della disciplina europea (direttiva 2006/24/CE) che pone a carico

dei providers delle comunicazioni l’obbligo di conservare taluni dati del traffico e, su richiesta, di fornirli, alle autorità inquirenti83. Si tratta di dati che non attengono al contenuto delle comunicazioni elettroniche, ma concernono le informazioni relative a: mittente e numero chiamato, indirizzi IP, localizzazione del chiamante ed apparecchiature utilizzate. Ad ogni modo, queste informazioni consentono la definizione di profili abbastanza definiti delle persone e delle loro abitudini84.

La Corte di Giustizia si è posta il problema della giustificazione della deroga sancita dalla direttiva 2006/24/CE sull’obbligo di conservazione di questi dati, alla luce del regime di tutela del diritto al rispetto della vita privata e alla integrità dei dati personali così come articolato dalle direttive n. 1995/46/CE e 2002/58/CE. Ad avviso della Corte, dietro tale previsione si cela un elevato rischio di utilizzazione dei dati, senza che di ciò l’abbonato o l’utente riceva comunicazione o abbia consapevolezza. Tale prescrizione può ingenerare la sensazione che la vita privata sia oggetto di costante sorveglianza85. Ad ogni modo, non è ravvisabile alcun pregiudizio al diritto di cui all’art. 7 Carta di Nizza, nel senso di apprensione di informazioni personali relative a fatti della vita dell’utente, dal momento che gli ISP vengono in possesso di informazioni che esulano dal contenuto delle comunicazioni86. D’altra parte, non si mette in dubbio che la conservazione dei dati per esigenze connesse all’investigazione e prevenzione dei reati sia un obiettivo di interesse generale (§ 44). Tuttavia, proprio come anni prima aveva statuito la Corte costituzionale tedesca (BverfG, 2008) sopra citata, i giudici di Lussemburgo ritengono che sia stato violato il principio di proporzionalità: l’interferenza nella sfera dei diritti fondamentali del rispetto della vita privata e della protezione dei dati personali non è stata attuata nei limiti dello ‘stretto necessario’ a garantire la sicurezza collettiva. Il principio di proporzionalità quale canone di ragionevolezza delle scelte operate dal legislatore dell’Unione, è calato dalla Corte nella dimensione operativa-concreta, attraverso la puntuale elencazione dei profili di criticità riscontrabili nella direttiva: la vaghezza dei criteri elaborati per indicare quali crimini giustifichino la conservazione dei dati; la carenza di procedure e di rimedi per scongiurare il rischio che dalla raccolta di tali dati si perpetrino abusi di varia natura, poiché la raccolta non deve essere motivata dalla richiesta dell’autorità giudiziaria; l’assenza di un elenco di casi eccezionali che escludono l’obbligo di conservazione; la

accettazione incondizionata di regole che finiscono per espropriare il titolare dal potere di decidere della sorte dei propri dati personali.

82 _{N. K. KATYAL, Digital Architecture as Crime Control, su:}

http://architectures.danlockton.co.uk/2007/10/18/review-architecture-as-crime-control-by-neal-katyal/

83 _{Corte di Giustizia, Grande Camera, 8 aprile 2014, C- 293/12 e C-594/12. R. FLOR, La Corte di}

Giustizia considera la direttiva europea 2006/24 sulla c.d. “data retention” contraria ai diritti fondamentali. Una lunga storia a lieto fine?, su: www.penalecontemporaneo.it

84 _{La Commissione di studio per la redazione di principi e linee guida in tema di garanzie, diritti e}

doveri per l’uso di internet, ha pubblicato il 25 luglio 2014, un documento che costituisce la base giuridica della carta dei diritti e doveri in internet, dal quale emerge che l’Unione europea, nelle recenti proposte di regolamento COM(2012)11 e proposta di direttiva COM(2012)10, in materia di privacy delle persone fisiche prevede, tra le altre cose, il divieto di profiling. Su: www.documenti.camera.it/Leg17/Dossier/pdf/GI0250.pdf

85

Corte di Giustizia, Grande Camera, sentenza 8 aprile 2014, C- 293/12 e C-594/12, § 37.

mancata predisposizione di norme che prevedano modalità sicure delle fasi di raccolta, conservazione e distruzione. In sostanza, la disciplina sulla data retention è troppo vaga e generica per consentire deroghe ai diritti fondamentali sanciti negli artt. 7 e 8 della Carta di Nizza.

10. Conclusioni

La teoria dei beni comuni condivide la medesima matrice assiologica insita nell’esaltazione dei diritti fondamentali di cui è custode la Corte europea dei diritti dell’uomo e che trovano consacrazione anche nel nuovo Trattato sull’Unione europea (art. 6). La centralità della dimensione valoriale, della categoria dell’ ‘essere’ sull’ ‘avere’ si esprime anche attraverso lo sviluppo di momenti di condivisione: tra questi l’elaborazione di strutture di governo partecipato della Rete, ispirato a principi di democraticità nell’accesso costituisce una meta alla quale tendere per conferire la massima espansione a quegli stessi diritti fondamentali e per l’adempimento di doveri di solidarietà nei confronti della comunità87.

La creazione di uno spazio virtuale, accessibile a tutti e sicuro, dove la personalità possa manifestarsi liberamente, rappresenta una sfida e al tempo stesso un metro con il quale misurare il sentimento di coesione sociale che attraversa la comunità. Insomma, un programma cui tendere come arricchimento spirituale dell’uomo, nel relativismo e pluralismo dei valori dominanti88.

E’ necessario, tuttavia, rifuggire da un’eccessiva idealizzazione che conduca ad ignorare le recenti acquisizioni sociologiche, secondo le quali la società attuale, figlia del sistema capitalistico e, a dispetto delle occasioni che offre la tecnologia, presenta deboli impulsi alla coesione sociale ed è caratterizzata da una partecipazione passiva sia a livello individuale sia nelle stesse associazioni89.

Nell’ottica dell’extrema ratio, la teoria dei Commons può apportare un duplice contributo al sistema penale: in chiave di educazione positiva al rispetto dei beni utili alla comunità e sul versante della ricerca di soluzioni sanzionatorie alternative 90. Dal primo punto di vista, essa può tradursi, grazie alla sua filosofia propositiva che spinge all’azione e alla condivisione, in un incentivo all’adozione spontanea di modelli comportamentali virtuosi. Sotto l’altro punto di vista, condotte poco rispettose potrebbero generare, da parte della stessa comunità, meccanismi di esclusione o emarginazione o stigmatizzazione che si atteggiano a risposte sanzionatorie ‘informali’. Esse saranno tanto più efficaci quanto più inserite in una comunità estesa e coesa

87 _{U. MATTEI, Beni comuni, cit., 62-63.}

88 _{Il Comitato dei Ministri del Consiglio d’Europa in occasione della riunione dei Delegati dei}

Ministri del 16 aprile 2014 ha adottato la Raccomandazione CM/Rec(2014)6 relativa a una “Guida dei

diritti umani per gli utenti di Internet”.

89 _{R. SENNET, Together. The rituals, Pleasure and Politics of Cooperation, Yale University}

Press, 2012; trad., A. BOTTINI, Insieme. Rituali, piaceri, politiche della collaborazione, Milano, 2012, 149 ss.

90

G. P. DE MURO, Ultima ratio: alla ricerca dei limiti all’espansione del diritto, in Riv. It. dir.

attorno ad un nucleo forte di valori (diritti umani, giustizia sociale), in modo tale da rendere effettivamente residuale la necessità dell’intervento del diritto penale91_.

91 _{Si pensi alla pubblicazione online della Carta dei diritti e doveri della navigazione in internet,}

redatta dalla Commissione per i diritti e doveri di internet già citata (v. nt. 79): essa mira a creare una sorta di coscienza ‘civica’ condivisa tra gli utenti che dovrebbe costituire la base per la governance della Rete, attraverso l’enucleazione di dieci principi radicati nelle norme internazionali sui diritti umani.