privata e familiare) e di quello alla protezione dei dati personali (o data protection) lasciando intendere che si tratti di due diritti molto vicini da un punto di vista concettuale. Talvolta, in effetti, se ne parla come fossero un unico binomio. Tuttavia, vi è motivo di ritenere che sussistono delle differenze fra essi. Perciò, appare utile una breve ricognizione teorica sugli aspetti che privacy e protezione dei dati personali hanno in comune e quelli per cui si differenziano, tenendo in considerazione come la dottrina e la giurisprudenza hanno, nel corso del tempo, elaborato le interazioni fra di essi. Il discorso è preliminare allo spostamento dell’analisi sul piano pratico, finalizzata a verificare come queste due situazioni giuridiche soggettive siano state “vittime collaterali” delle misure di contrasto al terrorismo.
Come si è visto, sul versante europeo, perlomeno focalizzandosi sull’ambito euro-unitario, i due diritti sono ben distinti, tanto da essere riconosciuti da due articoli diversi della Carta dei diritti fondamentali dell’Unione europea56. La CEDU, invece, non tutela in maniera esplicita il diritto alla data protection, ma la sua rilevanza è emersa sia grazie all’adozione di strumenti appositi57, sia con l’interpretazione estensiva dell’art. 8 CEDU, relativo alla vita privata e personale (o
55 Il riferimento più immediato è alla Convenzione n. 108 del 1981 del Consiglio d’Europa, sulla quale v. supra.
56 In particolare, la data protection è tutelata dall’art. 8. Sul punto, v. F.DONATI,Art. 8.
Protezione dei dati a carattere personale, in R. BIFULCO,M.CARTABIA,A.CELOTTO (a cura di),L’Europa dei diritti, Bologna, Il Mulino, 2001, 83 ss.
111
privacy)58. Anzi, a livello di Unione europea, la data protection riceve una disciplina molto più particolareggiata e stringente rispetto alla privacy.
La situazione è diversa negli Stati Uniti, poiché, lì, la necessità di tutelare i dati personali quando si procede al loro trattamento non assurge a diritto fondamentale della persona, ma viene volta per volta riconosciuta dalle diverse legislazioni che riguardano la materia59. D’altronde, non potrebbe essere diversamente, se si considera che il Quarto Emendamento esplica la sua tutela avverso azioni dell’autorità pubblica e non riconosce in alcun modo la privacy come diritto fondamentale della persona. In più, l’interpretazione originaria statunitense del diritto alla privacy come right to be let alone – sebbene la giurisprudenza, non senza battute d’arresto, stia in molti casi portando avanti un processo evolutivo della stessa – si pone come piuttosto restrittiva. Di conseguenza, in mancanza di un riconoscimento esplicito, è difficile inferire dal Quarto Emendamento anche un diritto autonomo alla data protection, contrariamente a quanto la Corte EDU ha fatto in relazione all’art. 8 CEDU.
In linea generale, la necessità di un separato diritto alla protezione dei dati personali viene in rilievo in un momento successivo rispetto al diritto alla privacy, a causa del fatto che esso è legato allo sviluppo di nuove forme di comunicazione e al fenomeno tecnologico60. Secondo alcuni si tratta, appunto, di una sorta di “avanzamento” della privacy, dovuto alla necessità di rendere la relativa tutela idonea ad essere applicata in situazioni che si manifestano nella c.d. information society61. Altri, invece, sottolineano come la data protection costituisca l’obbligo “in
58 La Corte di Strasburgo ha interpretato il diritto alla privacy tutelato dall’art. 8 CEDU in maniera molto più ampia che un semplice right to be left alone, sviluppandone una nozione assai più ampia. Peraltro, la Corte ha evidenziato il legame tra l’art. 8 CEDU e la Convenzione n. 108. V. Corte EDU, Z. v. Finlandia, ric. 22009/93, 25 febbraio 1997.
59 V. ad esempio USA Freedom Act, Pub. L.114-23 (June 2, 2015). Sulla mancanza, negli Stati Uniti, di un quadro giuridico organico in tema di data protection, si veda S.M.BOYNE,
Data Protection in the United States, in 66 American Journal of Comparative Law, 2018,
299 ss.
60 In seno al Consiglio d’Europa, ci si era chiesti, durante il corso degli anni ’70, se il diritto garantito dall’art. 8 CEDU fosse idoneo a regolare le questioni emergenti dallo sviluppo della tecnologia. Proprio per questo motivo si arrivò, nel 1981, all’adozione della Convenzione n. 108 del 1981, cit., che pone in essere un quadro giuridico separato e autonomo relativo alla data protection.
61 C. DOCKESEY,Four Fundamental Rights: Striking the Balance, in 6 International Data
Privacy Law, 3/2016, 195, 197. V. anche R.POSCHER,The Right to Data Protection: A Non- Right Thesis, in R.A.MILLER,Privacy and Power, Cambridge, Cambridge University Press,
2017, 129 ss. che, in relazione alla data protection, parla di un offspring right derivante dall’art. 8 CEDU.
112
positivo” o la dimensione “dinamica” che scaturisce dal diritto alla privacy62, non riconoscendo alla prima una dimensione totalmente autonoma rispetto al secondo. Si intende rimarcare, in questo senso, il fatto che il diritto alla privacy non dia luogo solamente ad un obbligo “negativo” di non interferenza, ma che sullo Stato gravi anche un dovere positivo consistente nel proteggere ciò che ha a che fare con la vita intima e personale dell’individuo, ossia i suoi dati personali. Altra parte della dottrina sottolinea, poi, come la data protection costituisca la dimensione “informativa” della privacy, ossia tutto ciò che, nell’ambito della sfera personale, può dare luogo alla produzione di informazioni63. Comunque, gli studiosi concordano nel rilevare che alla base di entrambi i diritti deve essere posto il principio di autodeterminazione, il quale implica la possibilità, per ogni individuo, di mantenere il controllo sulle informazioni correlate a se stesso64.
La conseguenza di tale costruzione teorica è che il consenso della persona interessata debba essere, perlomeno in linea di principio, alla base di qualsiasi trattamento dei dati personali, pena l’illegittimità di tale attività65.
Le questioni teoriche relative alla natura del diritto alla data protection non si arrestano alla sua caratterizzazione o meno come diritto “figlio” della privacy (e, si potrebbe dire, dell’avanzare della tecnologia) oppure strumentale ad esso66. Al
62 S.RODOTÀ,Il diritto di avere diritti, Bari, Laterza, 397.
63 O. MIRONENKO ENERSTVEDT,Aviation Security, Privacy, Data Protection and Other
Human Rights: Technologies and Legal Principles, Cham, Springer, 2017, 39. Secondo
questa ricostruzione, come sottolineato anche dall’A. citata, una violazione del diritto alla
data protection implica necessariamente una violazione del diritto alla privacy, perlomeno
nella sua dimensione informativa. Al contrario, una violazione del diritto alla privacy non implica necessariamente una violazione del diritto alla data protection.
64 V. H. KRANENBORG,Art 8 – Protection of Personal Data, in S.PEERS,T.HERVEY,J. KENNER,A.WARD (eds.), The EU Charter of Fundamental Rights. A Commentary, Oxford- Portland, Hart Publishing, 2014, 229. Questo concetto, cui si è soliti riferirsi con il nome di
informational self-determination, origina dalle elaborazioni della giurisprudenza tedesca.
Infatti, a partire dal 1983, il Tribunale costituzionale federale tedesco riconosce questo diritto, che scaturirebbe, a sua volta, dal diritto alla protezione della dignità e al libero sviluppo della personalità (artt. 1 e 2 della Costituzione tedesca). BVerfG 1 BvR 209/83, 15.12.1983.
65 Si deve notare che, nell’ambito della disciplina euro-unitaria, il consenso si configura come una delle possibili basi per il trattamento dei dati personali.
66 Tale teoria della strumentalità tra privacy e data protection sembrerebbe essere accolta dalla Convenzione n. 108, cui si è prima fatto riferimento. Il suo art. 1 afferma che obiettivo della Convenzione stessa è di «garantire, sul territorio di ciascuna Parte, ad ogni persona fisica, quali che siano la sua nazionalità o la sua residenza, il rispetto dei suoi diritti e delle sue libertà fondamentali, e in particolare del suo diritto alla vita privata, in relazione all’elaborazione automatica dei dati a carattere personale che la riguardano (protezione dei dati)».
113
contrario, l’elaborazione dottrinale è giunta a ritenere che la data protection potrebbe essere una sorta di “appendice” di qualsiasi altro diritto67, con funzioni di potenziamento della tutela.
Tali teorie derivano dalla riflessione circa la natura concreta dell’interesse protetto dal diritto alla data protection. Un primo approccio, che non sfuggirebbe a critiche di superficialità, potrebbe agevolmente individuare la risposta nel concetto stesso di “dato personale”, che costituisce l’oggetto di protezione del citato diritto. Dall’altro lato, però, pare opportuno approfondire il tema, al fine di concentrarsi su quale sia l’essenza del diritto alla protezione dei dati personali.
In un primo momento, la giurisprudenza del Tribunale costituzionale federale tedesco – una delle corti più aperte, nel panorama comparato, al riconoscimento del diritto alla data protection legandolo a diversi interessi costituzionalmente riconosciuti e, in ultima analisi, al diritto all’autodeterminazione – aderisce ad una concezione “proprietaria” dei dati personali.68 Essi sarebbero meritevoli di protezione in quanto “di proprietà” di un soggetto. Il proprietario dei dati si troverebbe nella condizione di poter disporre degli stessi, alla stregua di come si comporterebbe con un qualsiasi altro oggetto di sua proprietà. In questo modo, secondo la giurisprudenza menzionata, il soggetto estrinseca la propria autodeterminazione.
Questa concezione è stata superata, non solo e non tanto a causa dell’immaterialità dei dati69, ma soprattutto perché, con l’avanzare della tecnologia, essi diventano concetto costantemente più “fluido”. In parole più chiare, i dati vengono scambiati e conservati da parte di entità che sfuggono totalmente al controllo del “proprietario” del dato. Per questo motivo, parte della dottrina ha visto nella data protection un “modo di esercizio” di taluni diritti – e, si badi bene, non solo quello alla privacy: qualsiasi altro diritto – piuttosto che un autonomo diritto fondamentale.
Giungono a diverse conclusioni altri Autori, che hanno considerato come, perlomeno nel contesto europeo, vi sono strumenti giuridici – il riferimento è, in primis, alla Carta dei diritti fondamentali dell’Unione europea – che enucleano esplicitamente la data protection come diritto fondamentale e – parrebbe – autonomo. Ben lungi dal dichiarare il diritto alla data protection come una
67 V. in questo senso R.POSCHER,op. cit., 133. 68 BVerfG 1 BvR 209/83, 15.12.1983.
69 Essendo la dottrina concorde a ritenere il concetto di “proprietà” rapportabile a beni immateriali. V. sul tema I.GARACI,Lo statuto giuridico dei "nuovi beni" immateriali: fra proprietà privata e beni comuni. Riflessioni su recenti interventi giurisprudenziali e normativi, in Rassegna di diritto civile, 2/2015, 434 ss.
114
duplicazione – di dubbia utilità, se davvero così fosse – del diritto alla privacy, queste teorie ne sottolineano il carattere “protettivo”. In termini più espliciti, si argomenta come il diritto alla protezione dei dati personali offra garanzie più forti e rispetto ad un novero più ampio di dati70. In particolare, si è sottolineato come il diritto alla data
protection potrebbe essere attivato anche nel caso del trattamento di dati che non abbiano una valenza essenzialmente “privata”, tale da innescare l’applicazione del diritto alla privacy71.