P RIVACY E TUTELA DEI DATI PERSONAL

Enucleato sotto forma di diritto alla protezione dei dati personali in talune recenti carte costituzionali, il diritto al rispetto della vita privata – sancito dai principali strumenti giuridici internazionali di tutela dei diritti umani70 – è un diritto fondamentale della

persona e una componente essenziale della nuova cittadinanza, come si evince dall’art. 8

della Carta dei diritti fondamentali dell’Unione Europea71 (primo documento internazionale di tutela dei diritti umani a contenere una disposizione ad hoc), nonché dal Trattato di Lisbona entrato in vigore nel dicembre 2009.72 Per quanto invece attiene alla legislazione italiana, i fondamenti costituzionali sono ravvisabili negli art. 14, 15 e 21 Cost., rispettivamente riguardanti domicilio, segretezza della corrispondenza e libertà di manifestazione del pensiero. È fondamentale tuttavia fare riferimento allo stesso tempo

69 _{S. MELE, Privacy e user generated content (UGC), in L.BOLOGNINI,D.FULCO,P.PAGANINI (a cura), Next}

privacy. Il futuro dei nostri dati nell’era digitale, Milano, 2010, p. 63.

70 _{A livello universale, l’art. 12 della Dichiarazione universale dei diritti dell’uomo (1948), poi ripreso in termini}

quasi identici dall’art. 17 del Patto sui diritti civili e politici del 1966, sancisce che “nessun individuo potrà essere sottoposto ad interferenze arbitrarie nella sua vita privata, nella sua famiglia, nella sua casa, nella sua corrispondenza, né a lesioni del suo onore e della sua reputazione”. In ambito regionale, l’articolo 8 della

Convenzione europea per la salvaguardia dei diritti dell’uomo e delle libertà fondamentali del 1950 tutela il diritto

di ognuno al rispetto della propria vita privata e familiare, del domicilio e della corrispondenza, stabilendo al par. 2 e all’art. 8 le condizioni di legittimità delle ingerenze delle autorità pubbliche nell’esercizio di tali diritti nonché nell’esercizio di un proprio diritto alla riservatezza (a meno che tale ingerenza sia prevista dalla legge e costituisca una misura necessaria per la sicurezza pubblica, il benessere economico, la difesa dell’ordine, la prevenzione dei reati, la protezione della salute o della morale, la protezione dei diritti e delle libertà altrui). Più simile al testo dell’art. 12 della Dichiarazione universale risulta invece la formulazione dell’articolo 11 della Convenzione

interamericana sui diritti dell’uomo del 1969, il quale contiene però un ulteriore paragrafo iniziale che sancisce il

diritto dell’individuo al rispetto del suo onore e della sua dignità. Per ulteriori approfondimenti, si vedano E. BATTAGLIA – G. DI FEDERICO, La Carta dei diritti e la tutela della riservatezza, in L.S.ROSSI (a cura), Carta dei

diritti fondamentali e Costituzione dell'Unione Europea, Milano, 2002, p. 216 ss.; L. DE GRAZIA, Il diritto al

rispetto della vita famigliare nella giurisprudenza degli organi di Strasburgo: alcune considerazioni, in Dir. pubbl. comp., 2002, p. 1071; P. PUSTORINO, L'interpretazione della Convenzione europea dei diritti dell'uomo nella prassi

della Commissione e della Corte di Strasburgo, Napoli, 1998, p. 135; V. ZENO ZENCOVICH, Art. 8. Diritto al

rispetto della vita privata e famigliare, in S. BARTOLE – B. CONFORTI – S. RAIMONDI (a cura), Commentario alla

Convenzione europea per la tutela dei diritti dell'uomo e delle libertà fondamentali, Padova, 2001, p. 308.

71 _{Solennemente proclamata una prima volta il 7 dicembre 2000 a Nizza e, una seconda volta, in una versione}

adattata, il 12 dicembre 2007 a Strasburgo: “Ogni individuo ha diritto alla protezione dei dati di carattere personale che lo riguardano. Tali dati devono essere trattati secondo il principio di lealtà, per finalità determinate e in base al consenso della persona interessata o a un altro fondamento legittimo previsto dalla legge. Ogni individuo ha il diritto di accedere ai dati raccolti che lo riguardano e di ottenerne la rettifica”.

72 _{F. DONATI, Articolo 8, in R. BIFULCO – A. CELOTTO – M. CARTABIA (a cura), L’Europa dei diritti, Bologna,}

anche all'art. 2 Cost., potendosi incorporare la stessa riservatezza all’interno dei cosiddetti

diritti inviolabili dell'uomo.73

La disciplina scientifica occupatasi di privacy ha fino ad ora appoggiato le proprie basi sul sacrosanto diritto soggettivo alla scelta individuale, ossia sull’opportunità che ad ogni individuo spetti decidere cosa fare di tutte quelle informazioni che possano riguardare la propria persona. Partito dal “diritto ad essere lasciati” soli di Warren e Brandeis74, oggi il diritto alla riservatezza ha dunque acquisito una nuova dimensione rispetto alle originarie accezioni di rifiuto dell’intromissione da parte di estranei nella propria vita privata, o di rifiuto alla diffusione di informazioni sul proprio conto.75

La sua nuova dimensione è piuttosto quella dell’affermazione della libertà e della dignità della persona, di conseguenza come individui bisogna poter scegliere se e a chi cedere le proprie informazioni.76 Non a caso, le normative sul trattamento computerizzato dei dati personali perseguono tutte un medesimo obiettivo finale: garantire all’interessato il pieno controllo sul flusso dei dati che lo riguardino, anche su quelli custoditi in un archivio elettronico, così da limitare il potere (informatico) esercitabile su di essi. Scrive in proposito Stefano Rodotà:

Le discussioni teoriche e le complesse esperienze di questi anni mostrano che la privacy si presenta ormai come nozione fortemente dinamica e che si è stabilita una stretta e costante interrelazione fra mutamenti determinati dalle tecnologie dell’informazione (ma anche dalle tecnologie della riproduzione, dall’ingegneria genetica) e mutamenti dello stesso concetto. Una

73 _{M. IASELLI, La privacy sta cambiando, ma in Italia non ce ne siamo accorti, in LeggiOggi, 23 maggio 2001 (cfr.}

http://www.leggioggi.it/2011/05/23/la-privacy-sta-cambiando-ma-in-italia-non-ce-ne-siamo-accorti/). Tenendo conto della radice costituzionale del diritto a escludere dall’altrui ingerenza la cognizione e la divulgazione dei fatti previsti (art. 2 e 14 Cost.), ben può il legislatore anche con norma penale proteggere la riservatezza delle vicende della vita privata che si svolgono nei luoghi indicati dall’art. 614 c.p., cioè nella sfera riservata all’individuo.

74 _{L.BRANDEIS –S.WARREN, The Right To Privacy, in Harvard Law Review, vol. IV, 1890.} 75 _{V. M. IASELLI, Il Web 2.0, op. cit.}

76 _{Invocata e concepita originariamente con riferimento esclusivo al diritto di “rimanere da soli” o di “essere lasciati}

in pace”, e quindi di godere di una sfera riservata e intima al riparo dall’altrui intrusione, l’evoluzione delle tecnologie dell’informazione e della comunicazione ha posto l’esigenza di arricchire la nozione di “privacy” di significati e di implicazioni nuovi e ulteriori, in particolare includendovi il diritto di ciascuno di decidere se, come e in quale misura le informazioni che lo riguardano possano essere utilizzate ed eventualmente trasmesse ad altri, secondo la celebre definizione fornita da A.F. WESTIN, Privacy and Freedom, New York, 1967, p. 7. Il “right to

privacy” ha quindi acquistato un nuovo significato ed una nuova ampiezza, che consiste nel diritto,

riconosciuto al cittadino, di esercitare anche un controllo sull’uso dei propri dati personali inseriti in un archivio elettronico. Il diritto alla riservatezza, per effetto della nuova dimensione acquisita, non viene infatti più inteso in senso puramente negativo, come facoltà di ripulsa delle intromissioni di estranei nella vita privata, di rifiutare il consenso alla diffusione di informazioni sul proprio conto, o come rinuncia alla partecipazione nella vita sociale; ma in senso positivo, come affermazione della libertà e dignità della persona, e come possibilità di limitare il potere informatico controllando i mezzi ed i fini di quel potere. Cfr. V. FRANCESCHELLI (a cura), La tutela della privacy informatica, Milano, 1998; R. PARDOLESI, Dalla riservatezza

alla protezione dei dati personali: una storia di evoluzione e discontinuità, op. cit., pp. 8-9; A. MANTELERO,

definizione della privacy come “diritto ad essere lasciato solo”, come semplice riservatezza ha da tempo perduto significato generale, anche se individua un valore, continua a cogliere un aspetto essenziale del problema e può essere applicata a specifiche situazioni. Nella società dell’informazione tendono a prevalere definizioni funzionali alla privacy che, in molti modi, fanno riferimento alla possibilità di un soggetto di conoscere, controllare, indirizzare, interrompere il flusso delle informazioni che lo riguardano. La privacy, quindi, può in primo luogo, e più precisamente, essere definita come il diritto di mantenere il controllo sulle proprie informazioni.77

La privacy è dunque uno straordinario strumento di libertà soggettiva. La complicazione deriva semmai dal’estrema facilità con la quale quotidianamente si lasciano in giro informazioni, e dipende nello specifico dal carattere a-territoriale della Rete che rende estremamente facile aggirare le discipline più restrittive e le disposizioni poste a tutela dell’individuo.78

Nel Web, dunque, come all’interno di un social network, si è veramente liberi di decidere a chi dare o non dare le nostre personalissime informazioni? La risposta rischia di essere negativa.

Le ragioni sono due e sono molto semplici: innanzitutto, esistono ambiti dell’azione individuale che non vengono coperti da alcuna norma, a causa della difficoltà nel trovare meccanismi giuridici utili a tutelare in maniera effettiva la riservatezza nei nuovi ambienti che caratterizzano la Rete; inoltre, come già visto, Internet consente di raccogliere facilmente e a costi pressoché nulli un numero rilevante di dati.79

È possibile così trarre le seguenti conclusioni: a) la cessione di informazioni riguardanti la persona è e deve essere una scelta dell’utente; b) le informazioni hanno un valore economico; c) solo un percorso multidisciplinare permette di rispondere al problema della libertà e della scelta individuale. Il dato personale è infatti un concetto estremamente lato, che rapporta la natura personale non alle caratteristiche del dato in sé (e quindi al suo attenere ad

77 _{S. RODOTÀ, Repertorio di fine secolo, Roma-Bari, 1999, p. 201.}

78 _{Di questo punto di vista G. BUTTARELLI, Banche dati e tutela della riservatezza. La privacy nella società}

dell’informazione, Milano, 1997, secondo il quale “la creazione di uno spazio a-normativo in cui lo Stato non riesce

ad avere un controllo appare più una sconfitta della democrazia che il trionfo della libertà di manifestazione del pensiero”.

79 _{Problema che si accompagna alla corrispondente mancanza di conoscenza, da parte dei vari utenti, sia del}

valore delle informazioni che li riguardano, sia del potenziale utilizzo che da esse potrebbe derivare, sia infine dell’identità di coloro che delle stesse si serviranno.

elementi personali), ma al collegamento della medesima informazione con una persona identificata o identificabile.80

Nell’attuale era tecnologica, del resto, le caratteristiche personali di un individuo possono essere tranquillamente scisse tra loro e fatte confluire in diverse banche dati, ciascuna contraddistinta da una specifica finalità, per poi essere facilmente ricondotte ad una nuova “personalità elettronica” ricostruita attraverso le tante tracce diffuse nella Rete; in proposito, già all’interno del D.Lgs 196/03 si prevede (art. 3) che sistemi informativi e programmi informatici debbano essere predisposti per ridurre al minimo l’utilizzo di dati personali ed identificativi, allo scopo di limitarne il trattamento allorquando sia possibile raggiungere i propri scopi con l’uso di dati anonimi, ovvero limitando l’identificazione dell’interessato ai soli casi in cui ciò sia effettivamente necessario, facendo così attenzione a preservare le identità digitali.81

In tale ottica, dunque, le prescrizioni di legge (passate e future) relative all’adozione di misure minime di sicurezza devono consentire di raccogliere ed archiviare i dati in maniera corrispondente alle intenzioni (ad esempio, prelevando solo le informazioni legittimamente selezionate in base a finalità o consenso, oppure tenendo distinti i dati personali o identificativi dagli altri), così da evitare il pericolo di manipolazioni o di accessi non autorizzati. Queste ipotesi sono molto spesso legate alle attività degli Internet provider, sui quali incombe l’obbligo di adottare le misure di sicurezza informatiche necessarie per garantire l’integrità dei dati contenuti nei registri elettronici, anche a prescindere dall’altra, fondamentale questione relativa ai limiti di legittimità degli stessi.82 Gli aspetti principali di simili vicende riguardano perciò sia

80 _{Si veda F. BOCHICCHIO, La tutela dei dati personali tra diritti della personalità e dinamiche d’impresa, in Dir.}

economia assicuraz., 1998.

81 _{Attraverso un richiamo dell’art. 2050 c.c. viene a tale proposito posto in evidenza che quella relativa al trattamento}

dei dati personali va considerata una “attività pericolosa”, prevedendosi in proposito prevedere anche una espressa ipotesi di risarcimento del danno non patrimoniale (ora nella sua accezione estremamente ampia ed omnicomprensiva a seguito delle nota alla sentenza del 12 novembre 2008 delle Sezioni Unite della Cassazione) per il caso in cui nell’attività di trattamento si sia verificata una violazione dell’art. 11 del Codice per la. privacy (disposizione che, va ricordato, stabilisce il principio della liceità e correttezza nella raccolta e trattamento dei dati personali). Va rilevato anche che l’art. 167 del predetto Testo unico prevede che il risarcimento del danno non patrimoniale vada riconosciuto anche nelle ulteriori ipotesi in cui il trattamento dei dati personali costituisca reato; legittimo dunque ipotizzare che, con la previsione di cui all’art. 15 ed ammettendo la risarcibilità del danno non patrimoniale al di fuori di un’ipotesi di reato, il legislatore abbia introdotto un tipo di sanzione civile per cosiddetta

indiretta, in qualche modo assimilabile all’istituto dei punitive damages o danni punitivi, ben conosciuti e

largamente utilizzati nell’ordinamento nordamericano nonché accettati anche da ordinamenti europei quale quello francese. In altri ordinamenti, come quello tedesco, la loro configurabilità è controversa, mentre è esclusa totalmente in ordinamenti come quello italiano, che anche a seguito della introduzione dello strumento di tutela processuale collettiva della class action (con l’art. 140 bis del Codice del Consumo) si è ben guardato di introdurre tale tipo di sanzione (cfr. http://www.diritto.it/pdf/27313.pdf).

la tenuta dei registri, sia la giustificazione – addotta dai provider – della necessità di conservazione dei dati in vista di future richieste da parte delle autorità giudiziarie.83

La conservazione dei dati da parte del provider (ai fini di contestare e di evitare possibili responsabilità o recriminazioni) deve ad ogni modo entrare necessariamente a far parte del regolamento contrattuale sottoscritto dalle parti, nel rispetto dei principi di finalità e di correttezza del trattamento svolto84, sebbene la questione relativa alla tutela dei dati personali non si pone tanto in termini di responsabilità contrattuale del fornitore del software utilizzato (qualora cioè la conservazione dovesse risultare non corrispondente allo scopo richiesto), bensì molto più spesso con riferimento alla responsabilità extracontrattuale del responsabile del trattamento, qualora questi non sia stato invece in grado di adottare o di garantire quelle misure minime di sicurezza a lui richieste dalla legge.85