Trattamento dei dati personali: profili evolutivi della responsabilità dal "Right to privacy" al nuovo Regolamento UE 2016/679

UNIVERSITÀ DEGLI STUDI DI PISA

F

G

CORSO DI LAUREA MAGISTRALE IN GIURISPRUDENZA

TESI DI LAUREA

Trattamento dei dati personali: profili evolutivi della responsabilità dal

“Right to privacy” al Regolamento UE 2016/679

Relatore

Candidata

Ch.ma prof.ssa Dianora Poletti

Laura Luisotti

1

INDICE

Preambolo ... 3

1. La nascita e l’evoluzione di un diritto “moderno” tra privacy e protezione dei dati personali ... 7

1.1. La protezione dei dati personali quale diritto fondamentale di libertà7 1.2. Il ruolo dirompente dell’evoluzione tecnologica nella conformazione attuale del diritto alla privacy ... 13

1.2.1. Segue: diritto alla riservatezza e diritto alla protezione dei dati personali: un breve excursus storico ... 14

1.2.2. L’evoluzione della figura della protezione dei dati personali nel diritto europeo ... 21

2. Profili di responsabilità del D.lgs. 196/2003 ... 32

2.1. Introduzione ... 32

2.2. L’attuale regime della responsabilità per violazione del diritto di riservatezza ... 37

2.3. Legittimazione attiva e passiva ... 53

2.4. Applicazioni giurisprudenziali e applicazioni del Garante Privacy . 55 2.4.1. Internet Service Provider ... 57

2.4.2. Banche e Intermediari finanziari... 67

2.4.3. Ambito Sanitario ... 73

2.5. Art. 15 Codice privacy: brevi cenni conclusivi ... 82

3. Dal concetto di responsabilità alla nuova dimensione dell’accountability: profili evolutivi ... 84

3.1. I confini della responsabilità nel nuovo regolamento UE ... 84

3.1.1. Il titolare del trattamento ... 87

3.1.2. Il responsabile del trattamento ... 91

3.2. Il principio di accountability e i criteri di applicazione ... 93

3.2.1. Data protection by design e by default ... 97

3.2.2. Valutazione d’impatto sulla protezione dei dati ... 105

3.3. I corollari: il registro dei trattamenti… ... 110

3.3.1. …Data breach… ... 111

3.3.2. Responsabile della protezione dei dati, codice di condotta e certificazione ... 116

3.4. Profili evolutivi: work in progress ... 119

2 Bibliografia ... 127 Ringraziamenti ... 132

3

PREAMBOLO

Per comprendere appieno l’importanza della protezione dei dati personali è necessario partire da una considerazione, ovvero che la “vita” on line è, di fatto, reale e proteggere la nostra identità e le nostre informazioni che sono presenti in rete equivale a proteggere la nostra vita reale.

Infatti, non è possibile negare che i principali rischi che possono derivare ai dati personali derivano dalle nuove tecnologie e dalla rete internet, la quale, in particolare, presenta le maggiori criticità per una serie di motivi. In primo luogo, si tende a sottovalutare le condotte che ciascun utente adotta quando utilizza un computer o uno smartphone; in secondo luogo, la capillarità delle interconnessioni e l’assenza di barriere alla circolazione, permettono ai dati di essere condivisi (più o meno lecitamente) e utilizzati spesso in assenza di piena cognizione da parte degli interessati.

Per far fronte alle nuove sfide imposte dalla globalizzazione digitale e a quello che è stato definito “rischio dello spazio

cibernetico”1_{, i vari soggetti nazionali e comunitari hanno provveduto}

ad adottare norme e disposizioni che, a differenza di quanto è accaduto in precedenza, cercano di prevenire ed arginare le problematiche che si sono evidenziate negli anni in relazione al trattamento dei dati personali. Il risultato ha interessato

1 Così S. LANDINI durante il convegno “Privacy digitale e protezione dei dati personali tra persona e mercato” tenutosi il 23 ottobre 2017 presso la sede della Fondazione Cesifin in Firenze.

4

essenzialmente due profili: il primo attiene ad un piano – per così dire – soggettivo, mentre il secondo è più sostanziale.

Infatti, attesa la trasversalità e l’universalità dei pericoli che possono minacciare i dati personali, le istituzioni Comunitarie hanno adottato un approccio centralizzato per dettare regole comuni in tutti gli Stati Membri e superare quella mera coesistenza non coordinata tra le diverse disposizioni in materia di privacy che sono state adottate, di volta in volta, nei differenti settori dalle Autorità nazionali. L’effetto di tale approccio, a ben vedere, ha determinato una importate erosione di competenze in materia a discapito proprio delle Autorità di Garanzia nazionali che, di fatto, hanno visto limitare, e di molto, le proprie competenze in materia2_{. A ciò si aggiunge che, a parere di chi}

scrive, nel tempo concesso dal nuovo Regolamento 2016/679, l’Autorità Garante italiana abbia tardato l’adozione di linee guida e delle relative disposizioni di attuazione.

L’altro aspetto, quello sostanziale, ha determinato il passaggio da “diritto alla privacy” a “protezione dei dati personali” con un capovolgimento della prospettiva che, di fatto, rappresenta una delle maggiori novità introdotte dal citato Regolamento.

Alla luce di quanto sopra evidenziato, il presente lavoro, partendo dalle considerazioni appena esposte, si prefigge – senza pretesa di completezza – di analizzare il tema della responsabilità in

2 _{Così U. DE SIERVO durante il convegno “Privacy digitale e protezione dei}

dati personali tra persona e mercato” tenutosi il 23 ottobre 2017 presso la sede della Fondazione Cesifin in Firenze.

5

ambito Privacy e di come questo assuma sfumature peculiari partendo dal generale concetto dell’art. 2050 del codice civile, richiamato dall’attuale normativa, per arrivare alle disposizioni del Regolamento UE 2016/679 (“Regolamento”).

L’analisi prende le mosse dallo studio evolutivo del concetto della responsabilità civile che, letto anche attraverso i provvedimenti adottati dal Garante per la Protezione dei Dati Personali (di seguito “Garante Privacy”), ne vuole evidenziare il cambiamento attraverso le diverse epoche.

La definizione di Privacy come istituzione giuridica autonoma, dotata di un insieme di regole che gli ordinamenti tutelano, è un fenomeno relativamente recente ed è legato soprattutto allo sviluppo della tecnologia. Punto obbligato di tale percorso è un saggio americano del 1890 che, facendosi interprete di nuove esigenze sociali, ha ridelineato la sfera dei diritti personali arricchendola delle sfumature della riservatezza. Il seme così gettato ha visto la propria maturazione verso il finire del secolo scorso con l’evoluzione dell’era informatica. Ciò è testimoniato dalla maggiore attenzione che il legislatore - europeo ed italiano - ha riservato alla materia sino all’adozione del Regolamento che tenta di aggiornare il dettato normativo all’era di internet3_{, almeno sotto il profilo dei principi} generali.

3 Sul punto, preme evidenziare come, all’inizio del 2017 la Commissione Europea abbia presentato una proposta di Regolamento concernente il trattamento

6

“L’attenzione rinnovata

per la protezione dei dati personali si conferma così non solo come un’utopia necessaria,

ma come una via che deve essere percorsa

per mantenere condizioni di libertà della persona

e garantire condizioni di esercizio democratico del potere”. Rodotà, Il diritto di avere diritti, 2012.

dei dati personali e la tutela della vita privata nel settore delle comunicazioni elettroniche, Regolamento destinato ad abrogare la Direttiva 2002/58/CE.

7

CAPITOLO PRIMO

1. LA NASCITA E L’EVOLUZIONE DI UN DIRITTO

“MODERNO” TRA PRIVACY E PROTEZIONE DEI DATI

PERSONALI

SOMMARIO: 1.1 La protezione dei dati personali quale diritto fondamentale di libertà. – 1.2 Il ruolo dirompente dell’evoluzione tecnologica nella conformazione attuale del diritto alla privacy. – 1.2.1 Segue: diritto alla riservatezza e diritto alla protezione dei dati personali: un breve excursus storico. – 1.2.2 L’evoluzione della figura della protezione dei dati personali nel diritto europeo.

1.1. LA PROTEZIONE DEI DATI PERSONALI QUALE

Il primo aspetto da mettere in luce nel percorso che si vuole intraprendere riguarda la centralità della persona umana e i suoi diritti fondamentali.

Preliminarmente appare opportuno delineare il significato di tutela della persona e della sua dignità che, alla luce del dettato costituzionale di cui all’art. 2, rappresentano il “nucleo” dei diritti fondamentali dell’uomo. È necessario considerare che la dignità della persona umana, intesa come elemento di valore e come oggetto di

8

diritti fondamentali, è ritenuta, da molti studiosi della dottrina, datata e legata soprattutto al personalismo cattolico francese del secolo scorso4. Il concetto di dignità è molto importante perché aiuta a cogliere nella visione della libertà personale, economica, sociale e politica, il “centro” dei diritti universali dell’uomo e soprattutto possiede, a seguito di una realtà ormai globalizzata, una forza eccezionalmente importante5.

Viviamo in un mondo in cui milioni di persone migrano da uno Stato all’altro e da un continente all’altro, in cerca di pace; in un mondo che non dimentica i conflitti del XX secolo e tutt’oggi, ancora, è costretto a subirli. Ecco perché la dignità della persona umana è diventata, insieme ma forse anche di più della libertà personale6, il vero valore dominante di tutte le Carte dei Diritti, a partire da quella dell’ONU7_{, poi quella della CEDU}8_{, fino ad arrivare alla Carta di}

4 _{La letteratura su questa corrente del cattolicesimo francese ed europeo è}

sterminata. In questa sede, ci si limita ad inviare al sintetico ma pregevole saggio di J.-M.DOMENACH, personalismo, in Enciclopedia del Novecento, Treccani, Roma, 1980.

5 _{In questo senso la Enciclica “Laudato sì” di PAPA FRANCESCO “sulla cura}

della casa comune”, del 24 maggio 2015 è assolutamente moderna e offre un quadro del mondo di oggi e di quello che verrà nella quale si ritrovano tutti i temi della contemporaneità, dalla difesa intransigente dei diritti fondamentali dell’uomo, all’attenzione alla tutela dell’ambiente fino all’analisi delle promesse e dei pericoli della società digitale.

6 _{Per un approfondimento sul confronto tra la dignità umana e la libertà}

personale è opportuno citare E.RIPEPE, Sulla dignità umana e su alcune altre cose, 1-33, Torino, 2014.

7 _{Cfr. Il Preambolo della dichiarazione dei diritti umani, proclamata nel 1948}

a Parigi, dall’Assemblea generale delle Nazioni Unite, inizia così: “Considerato che il riconoscimento della dignità inerente a tutti i membri della famiglia umana e dei loro diritti, uguali e inalienabili, costituisce il fondamento della libertà, della giustizia e della pace nel mondo”.

9

Nizza, contenente i diritti fondamentali dell’Unione Europea. Tra i diritti alla cui base si pone tale concetto di dignità, si annovera proprio il diritto alla protezione dei dati personali che trova riconoscimento nell’art. 8 della Carta di Nizza rubricato “Protezione dei dati di

carattere personale”.

La necessità di tutelare e proteggere i dati personali e sensibili e di inquadrare il diritto ad esso sotteso nell’ambito dei diritti fondamentali è legata proprio all’evoluzione tecnologica delle comunicazioni elettroniche, base della nostra società digitale. Inoltre, anche la globalizzazione ha contribuito ad accelerare la rete delle relazioni sociali, commerciali e finanziarie.

Questi primi accenni ci permettono di avere una visione di partenza sulla dimensione attuale del tema della protezione dei dati, concetto sempre più messo alla prova dalla frenetica evoluzione rappresentata dal mondo delle nuove tecnologie. L’automatizzazione del trattamento delle informazioni, che caratterizza la società digitale di questi ultimi anni, ha fatto nascere l’esigenza di prevedere una tutela normativa sempre più efficace dei dati personali.

È giocoforza pensare, infatti, che al fine di assicurare servizi che la stessa persona richiede, i vari sistemi informatici (provider) potrebbero far circolare in rete informazioni potenzialmente acquisibili e controllabili da altri, come i dati personali di ognuno.

8 _{Cfr. Convenzione europea dei diritti dell’uomo, firmata a Roma il 4}

novembre 1950, preambolo e art. 8, dedicato al “Diritto al rispetto della vita privata e familiare”.

10

La rete di Internet e i servizi integrati ad essa consentono una circolazione potenzialmente illimitata e difficilmente rintracciabile - nel tempo e nello spazio - delle informazioni che riguardano un individuo. Tale aspetto “problematico” affligge il nostro presente e comporta elevati rischi per la libertà e per la dignità delle persone che, anche senza il loro consenso, si vedono sottrarre informazioni strettamente personali.

Limitare o vietare la circolazione telematica dei dati personali non è certo una soluzione attuabile (anche se efficace) nella società moderna; la risposta deve, pertanto, necessariamente passare per lo sviluppo di strumenti di tutela che siano in grado di intercettare e limitare i rischi informatici sopra indicati.

Solo così si potrà parlare di “diritto” al trattamento dei dati personali, considerato fondamentale in moltissime Dichiarazioni, Carte, Convenzioni e Costituzioni; inoltre, grazie alla diffusione del sistema delle telecomunicazioni, tale “diritto fondamentale” sta diventando sempre più centrale per la difesa della dignità di ognuno di noi.

Tra i temi affrontati nella relazione annuale del Garante per la protezione dei dati personali (Garante Privacy) del 2015 emerge quello del terrorismo e del necessario bilanciamento con il diritto alla

privacy. Le esperienze di questi anni, infatti, hanno dimostrato come

l’attività di intelligence, che può avvalersi di tecnologie tanto efficaci quanto pervasive e suscettibili di abusi, necessiti di regolamentazione

11

e di cautele rigorose, per impedire che funzioni volte a garantire la democrazia, finiscano paradossalmente per violarla. Non a caso il tema delle garanzie di sicurezza rispetto all’attività di prevenzione è stato oggetto di importanti sentenze. Due su tutte adottate nel corso del biennio 2014/2015, una della Corte Costituzionale Portoghese9 _e

una della Corte europea dei Diritti dell’uomo10, affermano l’orientamento comune circa la necessità di un vaglio su particolari misure di intelligence (quali in particolare le “intercettazioni preventive”) che tutelano i diritti dei cittadini. In questa ottica è inevitabile l’esigenza di inquadrare e delimitare i presupposti per applicare, a strumenti d’indagine definiti tradizionali, tecnologie che possono essere capaci di mutare in un attimo la natura e l’incidenza sui diritti fondamentali. Come nel caso dei cd. Software-spia utilizzati nelle intercettazioni ambientali, un potente strumento di controllo e

9 _{Importante la sentenza del 29 agosto 2015 del Tribunale Costituzionale}

Portoghese, che ha dichiarato illegittima la disciplina delle intercettazioni preventive come riformata poco dopo l’attentato a Charlie Hebdo, per l’assenza di un vaglio giurisdizionale analogo a quello del procedimento penale, sull’ammissibilità delle captazioni.

10 _{Sentenza nella cause riunite C-293/12 e C-594/12 Digital Rights Ireland e}

Seitlinger. In particolare la Corte di giustizia ha dichiarato l'illegittimità della direttiva "Frattini" (2006/24/Ce) per violazione del principio di proporzionalità nel bilanciamento tra diritto alla protezione dei dati personali ed esigenze di pubblica sicurezza. All'attenzione della Corte erano, appunto, le disposizioni della direttiva volte a garantire la conservazione dei dati di traffico telefonico e telematico, i dati relativi all'ubicazione e quelli necessari all'identificazione dell'abbonato, per fini di accertamento e repressione dei reati. Se, in linea generale, l'accesso a tali dati può giustificarsi in ragione di un obiettivo d'interesse generale quale, appunto, il contrasto a gravi forme di criminalità e, in definitiva, le esigenze di pubblica sicurezza, la direttiva avrebbe, secondo la Corte, ecceduto i limiti imposti dal principio di (stretta) proporzionalità. Limiti, questi, da valutare secondo uno scrutinio particolarmente rigoroso in ragione della rilevanza del diritto fondamentale alla protezione dei dati personali, che in tal modo viene compresso.

12

sorveglianza sulla vita delle persone applicabile senza limiti di spazio e di tempo11.

È chiaro, dunque, che il tema che presenta maggiori sfide e che necessita di maggiori attenzioni è quello delle nuove tecnologie al fine di garantire un rapporto il più equilibrato possibile tra libertà e sicurezza, privacy e prevenzione.

11 _{Cfr. Relazione annuale 2015, discorso del Presidente Antonello Soro,}

13

1.2.

TECNOLOGICA NELLA CONFORMAZIONE ATTUALE DEL DIRITTO ALLA PRIVACY

La riservatezza nasce, sostanzialmente, come diritto di tenere segreti aspetti, comportamenti, atti relativi alla sfera intima della persona. Quella che, con un termine ormai entrato nell’uso comune, viene indicata come privacy, rappresenta uno strumento giuridico posto a salvaguardia e a tutela della sfera privata di ogni individuo; in particolare con il termine privacy si indica la facoltà di impedire che le informazioni riguardanti la sfera personale siano divulgate in assenza dell’autorizzazione dell’interessato, od anche il diritto alla non intromissione nella sfera privata da parte di terzi. Tale diritto assicura all’individuo il controllo su tutte le informazioni e i dati riguardanti la sua vita privata, fornendogli nel contempo gli strumenti per la tutela di queste informazioni e per evitare che queste siano conosciute da parte di terzi.

Il diritto alla riservatezza è da ricondurre alla ristretta cerchia dei diritti della personalità, cerchia che tende sempre di più ad ampliarsi con l’aumentare della sensibilità sociale verso certi aspetti, mediata dall’opera della giurisprudenza, soprattutto costituzionale. Da ricordare in questo senso gli art. 2 e 3 della Costituzione che tutelano la personalità e la dignità dell’uomo.

14

Per comprendere appieno l'evoluzione della complessa nozione di privacy, occorre partire dalla nascita e dalla affermazione di tale diritto, diritto che subirà nel corso degli anni una evoluzione anche in relazione allo sviluppo tecnologico e telematico.

1.2.1. SEGUE: DIRITTO ALLA RISERVATEZZA E DIRITTO ALLA PROTEZIONE DEI DATI PERSONALI: UN BREVE EXCURSUS STORICO

Nel sistema italiano, il processo di giuridificazione dell’istituto della protezione dei dati personali12 è stato preceduto e condizionato da due importanti esperienze internazionali, quella statunitense e quella europea.

L’esperienza internazionale più risalente è quella statunitense, che segna l’origine della figura giuridica della privacy e che risale addirittura alla fine dell’ottocento.

12 È importante notare come parte della dottrina, in particolare Stefano Rodotà, abbia affermato, da un punto di vista non tecnico, che l’emersione della figura della privacy sia stata vista come la creazione di uno strumento giuridico a disposizione della nuova classe borghese trovatasi nelle condizioni economiche per rivendicare nuovi spazi di influenza nella dimensione sociale (S. RODOTÀ, La privacy tra individuo e collettività, in Pol. dir. 1974, 545; Id., Intervista su privacy e libertà, a cura di P.CONTI, Roma-Bari, 2005, 8 e segg.). A questo proposito sono indicative le circostanze di fatto da cui ha avuto origine l’elaborazione dottrinale alla base dello scritto di Warren e Brandeis: il giovane avvocato Warren membro dell’alta società bostoniana lamentava la illiceità della diffusione ad opera della stampa di notizie relative al suo tenore di vita ed ad i suoi ricevimenti mondani.

15

La nozione ha avuto origine dottrinale ed è comunemente ricondotta all’ormai celebre saggio del 1890 di Samuel Warren e Louis D. Brandeis13.

Tradizionalmente le origini della privacy si fanno risalire a questi due giuristi americani, laureati nella prestigiosa università di Harvard. Essi fondano la propria teoria utilizzando gli strumenti del diritto civile per configurare una nuova posizione soggettiva, che corrisponde alle prerogative possessorie o proprietarie che l’individuo può esercitare sui propri beni materiali, ma ha un oggetto diverso, di carattere immateriale, rappresentato da una sorta di sfera personale inviolabile14.

In una prima fase il problema principale consisteva nel definire il confine tra sfera pubblica e privata della propria vita personale; solo in un secondo momento, il concetto di privacy si è arricchito di una accezione molto più tecnica. Per confinare su basi fortificate la loro costruzione giuridica con categorie già presenti nell’evoluzione giurisprudenziale statunitense, Warren e Brandeis utilizzano una prerogativa definita dalla Corte Suprema15 qualche anno prima nella

13 _{L. D. BRANDEIS, S. WARREN, The Right of Privacy, in 4 Harvard Law}

Review, 1890, 193 - 220.

14 _{E. BRUGIOTTI, La privacy attraverso le “generazioni dei diritti”,}

in www.dirittifondamentali.it; N. LUGARESI, Internet, Privacy e Pubblici Poteri negli Stati Uniti, Milano, 2000, 47.

15 _{WHEATON VS. PETERS, 33 U.S. 591, 634, 1834. Due anni prima la}

pubblicazione dell’articolo di Warren e Brandeis, il giudice T.C. Cooley, scrisse A Treatise on the Law of Torts or the Wrongs which Arise Independent of Contract, Callaghan & Company, Chicago, IL, 1888, 29, che di fatto ispirò i due avvocati di boston. Infatti, “La citazione “the right to be let alone” è tratta dalla prefazione alla seconda edizione dell'opera del giudice Cooley, che fu scritta in realtà nel 1879”,

16

celeberrima formula “right to be let alone” e relativa ad una posizione diversa, cioè quella di non essere soggetto a restrizioni della libertà personale prima di una sentenza di colpevolezza, ovvero una sorta di habeas corpus dalla dimensione processuale.

Sulla base di queste premesse, il diritto alla privacy di fine ‘800 si compone di due elementi: il diritto a conservare una sfera privata intangibile nei confronti dei terzi; e il diritto di mantenere il controllo delle informazioni relative alla propria sfera privata che eventualmente hanno la possibilità di circolare all’esterno attraverso i mezzi di informazione quali, ad esempio, i fotogiornali16_{. Una sorta di}

diritto alla privacy dai terzi – nella prima accezione - e una sorta di diritto alla privacy verso i terzi – nella seconda.

Era il 1890 e i due giovani avvocati preparavano una causa contro le indiscrezioni sulla vita matrimoniale della moglie dello stesso Warren, diffuse da uno dei principali giornali di Boston17_.

Punto di partenza della loro ricostruzione furono le valutazioni in merito ai limiti della legittima ingerenza dei mezzi di stampa nella sfera privata di un individuo; i due avvocati si domandarono, infatti,

cfr. M. Surace, Evoluzione storico-giuridica del diritto alla riservatezza: da diritto borghese a sinonimo di libertà, in http://www.altrodiritto.unifi.it/ricerche/control/surace/cap2.htm.

16 _{E.BRUGIOTTI, op. cit.; N.LUGARESI, op. cit., 6. Per la dottrina statunitense}

gli elementi possono essere ritenuti tre, cfr. V.V.PALMER, Three Milestones in the History of Privacy in the United States, in 26 Tulane European & Civil Law Forum, 2011, in quale afferma che “It seems they sought protection for at least three phases of the personality: (1) control over the use of one’s name, likeness or photograph, (2) a reserved sphere of personal and family life, and (3) control over one’s creations, writings and thoughts”.

17 _{Alcuni autori sostengono che le indiscrezioni riguardassero la figlia, e non}

la moglie, di Warren, che era un importante uomo politico di Boston le cui vicende familiari erano al centro dell'attenzione della stampa locale.

17

quali informazioni della vita personale di un individuo potessero essere di pubblico dominio e quali, invece, meritassero una tutela dalla invadenza altrui.

Dalla specificità del caso che li coinvolse, Warren e Brandeis iniziarono ad allargare l’ambito della propria speculazione, intuendo l’impatto sociale che le invenzioni del tempo (nella specie i fotogiornali) avrebbero avuto su tale argomento.

Ne conseguì un saggio dal titolo “The Right to Privacy” che fu pubblicato il 15 dicembre 1890, un articolo scientifico con taglio giuridico nel quale i due autori esaminarono in maniera minuziosa gli aspetti che legano il diritto ad informare, il diritto dell'opinione pubblica ad essere informata e il rispetto della riservatezza.

L'articolo delinea una netta distinzione tra il diritto ad informare e ad essere informati senza quasi limiti, se l'oggetto dell'informazione è una persona pubblica; mentre delinea una estensione del diritto alla riservatezza se la persona è un comune privato cittadino.

L'attenuazione della riservatezza, nel primo caso, trova legittimazione, per così dire, democratico-sociale soprattutto se la persona in questione ha una carica che comporta responsabilità pubbliche; nel secondo caso, invece, manca un legittimo interesse sociale a conoscere i comportamenti di un individuo che non ricopra ruoli pubblici. In uno scenario sociale agli albori dei principali processi di civilizzazione moderna, i due avvocati invocarono la tutela

18

della sensibilità e la protezione dei sentimenti, delle emozioni e dei pensieri privati, come estensione del diritto alla proprietà privata. Per usare le parole dei due autori “Siamo insomma arrivati a riconoscere

il valore giuridico della sensibilità umana”18.

Su un piano teorico la distinzione operata da Warren e Brandeis appare chiara, ma tale chiarezza si perde sul piano pratico nel quale la linea di demarcazione tra dimensione pubblica e privata diventa spesso sottile. In sintesi, il diritto alla privacy nasce negli Stati Uniti come elemento di equilibrio fra riservatezza e informazione.

Il diritto alla privacy è, dunque, inteso come diritto alla riservatezza e, nella accezione sopra richiamata, è ancora un concetto embrionale che vedrà la sua evoluzione soprattutto nel corso del ‘900 fino ad arrivare ai giorni nostri.

Il saggio di Warren e Brandeis ha costituito una pietra miliare nella nascita del diritto alla riservatezza, concetto che ancora oggi fonda per noi il diritto soggettivo all’inviolabilità della persona, al rispetto per la sfera privata e alla riservatezza sui dati personali e sensibili.

Nel corso degli anni, negli Stati Uniti, la teoria dei due avvocati di Boston ha offerto l’argomento chiave per risolvere centinaia di casi giudiziari di privati che invocavano la tutela della

19

riservatezza contro il primo emendamento della Costituzione19, che invece garantisce la libertà di stampa.

Occorre sottolineare che il diritto alla privacy, una volta acquisita la “cittadinanza” all’interno del mondo giuridico, da un lato rimase, per così dire, defilata nelle ricostruzioni teoriche, dall’altro lato non raggiunse un grado accettabile di definizione nei suoi contenuti sostanziali20. Esso è stato anche, per lungo tempo, oggetto di scarsa considerazione, resistenze e aggiramenti da parte di giudici pronti a salvaguardare l’interesse collettivo a conoscere la vita degli altri, piuttosto che a tutelare l’inviolabilità del privato. Per questo, la giurisprudenza americana diede origine ad un gran numero di sentenze che davano applicazione alla figura giuridica della privacy in maniera differenziata ed eterogenea, attribuendole differenti contenuti e finalità21. Ciò determinò una sorta di crisi di rigetto nella dottrina giuridica statunitense, amplificata dal metodo di creazione giuridica della common law che aveva fatto assumere alla figura contorni eterogenei ed indefiniti.

19 _{Primo Emendamento della Costituzione Americana del 1787: “E’ vietato al}

Congresso di fare alcuna legge per il riconoscimento di qualsiasi religione o per proibirne il libero culto; o per limitare la libertà di parola, o di stampa; o il diritto del Popolo a riunirsi in forma pacifica, e a presentare petizioni al Governo per la rettifica di torti subiti.”, ratificato il 15 dicembre 1791.

20 _{Cfr. NEIL M. RICHARDS, DANIEL J. SOLOVE, Prosser's Privacy Law: A}

Mixed Legacy, 98 Cal. L. Rev., 1887, 2010, che affermano “Although they discussed several potential legal options to protect the right to privacy, they viewed tort law as the principal remedy”; cfr. anche D. K. CITRON, Mainstreaming Privacy Torts, 98 Cal. L. Rev., 1805, 2010. Per la dottrina italiana questo fu il vero merito degli Autori, cfr. A. BALDASSARRE, Privacy e Costituzione. L’esperienza statunitense, Roma, 1974, 48.

21 _{Per l’evoluzione giurisprudenziale cfr. U. PAGALLO, La tutela della}

“privacy” negli Stati Uniti d'America e in Europa: modelli giuridici a confronto, Milano, 2008.

20

Per circa settant’anni, i tribunali americani non seppero fare della dottrina di Warren e Brandeis un argomento decisivo per la tutela della sfera privata22.

Questo arco temporale vide i tribunali americani esitare nel riconoscere piena tutela della sfera personale, tant’è vero che il concetto di riservatezza languì tra le aule del tribunale e quelle del legislatore.

Con l’avvento della televisione, dei primi mezzi di comunicazione di massa e lo sviluppo della stampa tabloid, la tendenza s’invertì. Le cose cominciarono davvero a cambiare quando, a partire dal 1960, un altro giurista, Dean William Prosser23, sistematizzò il concetto di riservatezza e la sua violazione attraverso quattro distinte categorie24.

In particolare, in un saggio pubblicato sulla California Law Review, egli afferma che penetrare in uno spazio chiuso, rivelare in pubblico fatti privati, mettere qualcuno in cattiva luce e appropriarsi a

22 _{Emblematiche furono due sentenze, la prima del Tribunale del}

Massachusetts del 1903 che respinse le accuse di violazione della vita privata dell’inventore George Corliss, supportando la ragione dell’editore di una biografia a lui dedicata. La seconda nel 1940 è della Corte di Appello di New York che respinse la tesi di tale William James Sidis (ex ragazzo prodigio) per la pubblicazione di un articolo a lui dedicato, pur non essendo più una figura pubblica.

23 _{W.PROSSER, Privacy, 48 Cal. L. Rev., 1960, 383.}

24 _{Secondo W.PROSSER “The law of privacy comprises four distinct kinds of}

invasion of four different interests of the plaintiff, which are tied together by the common name, but otherwise have almost nothing in common except that each represents an interference with the right of the plaintiff, in the phrase coined by Judge Cooley, “to be let alone”. Without any attempt to exact definition, these four torts may be described as follows: 1. Intrusion upon the plaintiff's seclusion or solitude, or into his private affairs. 2. Public disclosure of embarrassing private facts about the plaintiff. 3. Publicity which places the plaintiff in a false light in the public eye. 4. Appropriation, for the defendant's advantage, of the plaintiff's name or likeness” (op. cit., 389).

21

fini commerciali del nome o dell’immagine di un privato, senza che questi abbia dato il suo consenso, sono tutti modi per violare il diritto alla privacy.

1.2.2. L’EVOLUZIONE DELLA FIGURA DELLA PROTEZIONE DEI DATI PERSONALI NEL DIRITTO EUROPEO

La coscienza Europea sul tema della protezione dei dati personali ha tardato a formarsi pagando, di fatto, l'affermazione politica degli stati totalitari che hanno agito da “super-controllori” nei confronti dei cittadini. Ciò ha condizionato la maturazione del concetto di privacy nel vecchio continente, determinando una sensibilità diversa nei confronti dei temi discussi ed analizzati nel saggio di Warren e Brandeis. Infatti, l'esperienza europea del Novecento è stata quella di un controllo delle informazioni sui cittadini da parte degli Stati e tale impostazione, naturalmente, non ha permesso la formazione di una consapevolezza individuale circa il limite tra pubblico e privato.

D'altra parte, in tale contesto storico-sociale il problema non era rappresentato dalla necessità di tenere protetta la sfera personale dagli articoli scandalistici, bensì dalla volontà del potere statale di conoscere le comunicazioni interpersonali25_.

25 _{Significativo, sotto tale profilo, l'esistenza in Germania di un Ministero per}

la sicurezza dello Stato, la principale organizzazione di sicurezza e spionaggio della Germania Est esistita sino al 1990.

22

Eppure, con ritardo e con maggiori difficoltà, anche in ambito europeo, e proprio in Germania, cominciò a sentirsi l’eco del fermento statunitense sul tema della riservatezza. Nonostante una timida discussione già presente tra la fine del XVIII secolo e l’inizio del XIX, bisognerà attendere il 195426 _{affinché venga sancita, sotto l’aspetto}

giurisprudenziale, un generale, ma fondamentale, diritto della personalità.

Il dibattito su un pieno riconoscimento giuridico dei diritti della personalità attecchirono oltre i confini germanici, interessando soprattutto la Francia dove, già dal 190927_{, venne teorizzata e}

legittimata la categoria dei diritti della personalità.

In Italia, fu Adolfo Ravà, docente di Filosofia del diritto, a farsi interprete delle nuove esigenze sociali di riservatezza, il quale, pur inserendosi nella discussione già viva nella Germania di quegli anni – siamo all'inizio del secolo scorso –, la svolgerà in maniera autonoma. Ravà, infatti, applicando la filosofia al diritto, finì per delineare la personalità giuridica come “diritto sulla propria persona”; tale concetto condivideva la ratio con le costruzioni sistematiche ideate dagli autori tedeschi, da cui però escludeva alcuni diritti (es. il diritto d’autore, quello d’inventore ecc.). Partendo da tali basi, lo

26 _{Corte Federale con sentenza del 25 maggio 1954 e solo più tardi accolto}

anche dalla Corte Costituzionale con la sentenza del 14 febbraio 1973 in Entscheidungen des Bundesverfassungsgerichts, 34, 269 ss.

27 _{Cfr. PERREAU, Les droits de la personnalitè, in Rev. Trim. dr. Civ. 1909, e}

23

stesso Ravà, anni più tardi, annovererà tra i diritti della personalità anche il c.d. diritto alla riservatezza28.

Pertanto, sotto un profilo strettamente storico, la comunicazione (come nuova tecnologia) ha avuto due differenti coniugazioni: negli Stati Uniti ha favorito la discussione e l'analisi nuova e moderna del rapporto tra riservatezza e diritto di informazione, mentre nel continente europeo ha imposto nuovi problemi potenziando le possibilità di controllo dell'autorità pubblica sui comportamenti dei cittadini. Gli stati totalitari europei profilavano i propri cittadini al fine di determinare se ogni singola persona fosse da classificare come pericolosa oppure come vicina ai vari regimi. Da qui la differente caratterizzazione della protezione dei dati personali: negli Stati Uniti si afferma come “libertà e diritto dell'individuo”, in Europa come “libertà dal potere pubblico” da esercitare nei confronti dei cittadini29_.

Sotto un profilo evolutivo, la definizione di diritti e libertà su un piano legislativo non è stata seguita, per un lungo periodo, dalla maturazione sociale e culturale circa i temi in questione, e tale ritardo risulta significativo proprio nel nostro paese.

28 _{A.RAVÀ, I diritti sulla propria persona nella scienza e nella filosofia del}

diritto, Torino, 1901.

29 _{Emblematico è l'uso delle informazioni effettuata dai nazisti che, negli}

avvenimenti occorsi nella notte del 9 novembre 1938 (c.d. Notte dei Cristalli), incrociarono le note ottenute dagli atti di proprietà e dai dati anagrafici per identificare i negozi proprietà di ebrei e distruggerne le vetrine.

24

L’elaborazione giuridica statunitense in materia di tutela della

privacy ha portato risultati che hanno influito in maniera

indiscutibilmente evidente nella dimensione europea30; in particolar modo, tali risultati hanno influito nella elaborazione di alcune fonti di diritto internazionale, prima fra tutte la Convenzione europea per la tutela dei diritti dell’uomo e delle libertà fondamentali del 1950.

È importante notare che tali fonti, da un lato, hanno configurato l’alba di una giuridicizzazione all’interno del territorio europeo del concetto di privacy, e dall’altro, hanno impresso una significativa evoluzione a tale figura, la quale ha assunto tratti peculiari e sempre più degni di considerazione31.

In Europa, grazie all’entrata in vigore delle fonti internazionali, ha preso corpo progressivamente una figura di privacy

significativamente differente rispetto a quella nata in ambito americano e che ha successivamente assunto i caratteri della protezione dei dati personali o data protection.

30 _{In tale dimensione si erano già avuti interventi dottrinali e normativi in}

materia, i cui risultati, tuttavia, non paiono essersi imposti in maniera uniforme nell’ambito territoriale europeo. Per una panoramica approfondita del processo di “generazione” di normative in alcuni Stati europei cfr. A. DI MARTINO, La protezione dei dati personali, in AA.VV., I diritti fondamentali e le corti in Europa, a cura di S.PANUNZIO, Napoli, 2005.

31 _{In tal senso M.E.BONFANTI, Il diritto alla protezione dei dati personali nel}

Patto internazionale sui diritti civili e politici e nella Convenzione europea dei diritti umani: similitudini e difformità di contenuti, in Dir. um. e dir. int., 2011, 437; G. TIBERI, Il diritto alla protezione dei dati personali nelle carte e nelle corti sovranazionali (in attesa del trattato di Lisbona) (I parte), in Cass. pen., 2009, 4467; Id., Il diritto alla protezione dei dati personali nelle carte e nelle corti sovranazionali (II parte), in Cass. pen., 2010, 355.

25

Gli istituti giuridici della normativa comunitaria, creati e modellati sull’impronta della protezione dei dati personali, rappresentano, insieme alle elaborazioni statunitensi, la seconda e più significativa coordinata all’interno della quale trarrà origine la relativa giuridicizzazione nell’ordinamento italiano.

Questo processo evolutivo ha preso le mosse dall’art. 12 della Dichiarazione universale dei diritti dell’uomo del 1948 che così recita: “Nessun individuo potrà essere sottoposto ad interferenze arbitrarie

nella sua vita privata, nella sua famiglia, nella sua casa, nella sua corrispondenza, né a lesioni del suo onore e della sua reputazione. Ogni individuo ha diritto ad essere tutelato dalla legge contro tali interferenze o lesioni”32.

L’accezione del termine data protection, con ogni evidenza, presenta profili “passivi”, ovvero come diritto a che altri non invadano la propria sfera privata.

Per la dottrina internazionalistica, poi, proprio questa figura di privacy delle fonti di diritto ultranazionale comprenderebbe al suo interno la realtà più ristretta della “vita privata” intesa come somma degli aspetti per così dire immateriali della vita dell’individuo, quali l’integrità fisica e mentale, la sua identità, la sua intimità, il suo orientamento sessuale e, soprattutto, le sue informazioni personali.

32 _{M.E. BONFANTI, op. cit., 439. Secondo l’Autore questa figura sarebbe}

contemplata da varie fonti quali la Dichiarazione universale dei diritti umani del 1948, il Patto internazionale sui diritti civili e politici del 1966 e soprattutto la Convenzione europea per la salvaguardia dei diritti dell'uomo e delle libertà fondamentali del 1948. Ma si vedano nello stesso scritto una serie di ulteriori fonti di diritto internazionale.

26

Sempre secondo tale dottrina è possibile identificare il nuovo concetto di data protection grazie a una serie di fonti internazionali che hanno messo in luce, all’interno della più generale figura della

privacy, una sub-nozione di “informazioni personali” rendendola

oggetto di una peculiare disciplina33_.

L’inizio di questo processo di focalizzazione della protezione dei dati personali può essere collocato nella CEDU ed in particolare nel suo art. 8, costituendo, in ambito europeo, la prima fonte internazionale dei diritti umani che riconosce giuridicamente il diritto alla privacy34_.

Ne consegue che, attraverso le disposizioni della CEDU alla tutela della privacy sono stati attribuiti caratteri ulteriori rispetto al passato che hanno condotto la giurisprudenza, ma anche altre fonti di diritto internazionale, a ricostruire un diverso diritto alla protezione dei dati personali ed una diversa disciplina della data protection35_.

33 _{M.E. BONFANTI, op. cit., 441, che chiarisce come la c. d. data}

protection possa essere posta in rapporto di species del genus tutela della privacy, ma anche come figura assolutamente autonoma secondo la posizione di S.NIGER, Le nuove dimensioni della privacy dal diritto alla riservatezza alla protezione dei dati personali, Padova, 2006, ed infine come figura parzialmente sovrapponibile a quella della privacy.

34 _{M.E.BONFANTI, op. cit., 444. Negli stessi termini D.CALDIROLA, Il diritto}

alla riservatezza, Padova, 2006, che anche richiama le varie posizioni dottrinali che vedono nella CEDU la fonte di giuridicizzazione di un vero e proprio diritto soggettivo pubblico.

35 _{M.E. BONFANTI, op. cit., 446 e segg. ma anche G. TIBERI, Il diritto alla}

protezione dei dati personali nelle carte e nelle corti sovranazionali (in attesa del trattato di Lisbona) (I parte), cit., 4476 e segg. che afferma che tale processo di enucleazione della figura della data protection è essenzialmente determinata dallo sviluppo tecnologico.

27

Ulteriore tappa evolutiva a livello Europeo è stata l'adozione della Convenzione n. 108 in tema di protezione delle persone rispetto al trattamento automatizzato di dati di carattere personale, adottata a Strasburgo il 28 Gennaio del 1981; con essa per la prima volta si pone l’accento sul trattamento “automatizzato” dei dati dei cittadini, trattamento oggetto di specifiche garanzie, tra le quali ricordiamo la necessità del consenso al trattamento da parte dei cittadini e l'obbligo di non trasferire i dati nell’ambito di ordinamenti che non garantiscono eguale protezione dei dati personali.

Tale diritto comincia così, ed è questo il punto di svolta, ad assumere profili di tutela anche “attivi” e a focalizzare la propria attenzione anche al momento del trattamento del dato e, dunque, delle misure di sicurezza e della responsabilità.

Nonostante i contributi appena richiamati, gli organi di governo dell'Unione Europea hanno mancato di fornire il loro contributo sull'argomento, almeno sino al 1995; c’è anche da dire che il ritardo con cui l'UE è intervenuta è legato principalmente alle originarie finalità, di natura strettamente economica, che l'hanno animata almeno sino all'inizio degli anni '90. Infatti, la protezione dei dati personali inizialmente non rientrava nell'orbita del patrimonio dei valori dell'UE, proprio perché le comunità inizialmente costituitesi (Cee, Ceca, EURATOM) avevano lo scopo di mettere in comune le risorse energetiche, le materie prime e, al contempo, favorire libertà di circolazione e scambio, abbattendo le frontiere e le eventuali barriere

28

protezionistiche che ciascuno stato avrebbe potuto applicare all'importazione.

Per comprendere meglio i vari passaggi evolutivi è necessario citare brevemente anche l’Accordo di Schengen del 14 giugno 1985 e la sua relativa convenzione d’applicazione del 19 giugno 1990. Essi hanno istituito uno spazio di libera circolazione delle persone mediante la soppressione dei controlli alle frontiere interne degli Stati membri, nonché l’instaurazione del principio di un controllo unico all’entrata nel territorio Schengen. In particolare, sono stati riconosciute tre categorie di diritti all’interno della Convenzione: il Diritto di accesso alle informazioni, a condizione che siano archiviate nel SIS (Sistema di Informazione di Schengen); il Diritto di rettifica, quando i dati sono archiviati in base a un errore di diritto o materiale (sempre all’interno del SIS); il diritto di porre un’azione dinanzi a giurisdizioni o istanze competenti al fine di ottenere la rettifica o la cancellazione dei dati errati, ovvero un indennizzo.

Ultimo tassello del percorso che abbiamo delineato è rappresentato dal trattato di Maastricht del 7 febbraio 1992, attraverso il quale si comincia a sviluppare la necessità di una integrazione politica che affiancasse quella economica avutasi sino a quel momento. Nel 1995, dopo cinque anni di lavori, l'Unione Europea arrivò all’approvazione della direttiva 95/46/CE in materia di protezione dei dati personali; le successive e diverse normative nazionali per la protezione dei dati sono la conseguenza dell'adozione

29

di tale direttiva che, inevitabilmente, ha determinato l'emersione di peculiarità all'interno dei singoli paesi europei, rappresentando, di fatto, una barriera al libero mercato.

Nonostante ciò, la direttiva del 1995 rappresenta una importante fonte normativa per la protezione dei dati personali, grazie alla quale sono state istituite le Autorità Garanti indipendenti dagli stati e dai governi, con il compito di vigilare sulla conformità delle leggi alla Direttiva 95/46/CE e il Working party articolo 2936, ovvero il gruppo di lavoro composto dalle autorità nazionali. Ma soprattutto, grazie a tale normativa, si concretizza il ribaltamento del concetto di

privacy fino a quel momento sentito, mediante l’introduzione di

36 _{Il Working Party articolo 29 o Gruppo di lavoro articolo 29 è stato istituito}

dall'art. 29 della direttiva 95/46, è un organismo consultivo e indipendente, composto da un rappresentante delle autorità di protezione dei dati personali designate da ciascuno Stato membro, dal GEPD (Garante europeo della protezione dei dati), nonché da un rappresentante della Commissione. Il presidente è eletto dal Gruppo al suo interno ed ha un mandato di due anni, rinnovabile una volta. Il Gruppo adotta le sue decisioni a maggioranza semplice dei rappresentanti delle autorità di controllo. Fra i compiti più rilevanti tra quelli disciplinati dall'art.30 della direttiva:

• esaminare le questioni attinenti all'applicazione delle norme nazionali di attuazione della direttiva;

• formulare pareri sul livello di tutela nella Comunità e nei paesi terzi; • consigliare la Commissione in merito ad ogni progetto di modifica della

direttiva, ogni progetto di misure addizionali o specifiche da prendere ai fini della tutela dei diritti e delle libertà, nonché in merito a qualsiasi altro progetto di misure comunitarie che incidano su tali diritti e libertà;

• formulare pareri sui codici di condotta elaborati a livello comunitario; • formulare di propria iniziativa raccomandazioni su qualsiasi questione

riguardi la protezione dei dati personali nella Comunità; • definire i criteri di adeguatezza per i paesi terzi.

In particolare viene indicato che, qualora ci siano delle divergenze tra le legislazioni degli stati membri che possano pregiudicare l'equivalenza della tutela persone, il gruppo interviene informando la Commissione. Il gruppo ha la possibilità, inoltre, di formulare di propria iniziativa delle raccomandazioni su qualsiasi questione riguardante la tutela dei dati personali nella Comunità. I pareri e le raccomandazioni del gruppo vengono trasmessi di regola alla Commissione.

La Commissione è tenuta ad informare il gruppo del seguito dato ai suoi pareri e raccomandazioni.

Fonte: http://www.garanteprivacy.it/home/attivita-e-documenti/attivita-comunitarie-e-internazionali/cooperazione-in-ambito-ue/gruppo-di-lavoro-ex-articolo-29.

30

obblighi in capo ai titolari e ai responsabili del trattamento e l’introduzione delle misure minime (oggi si parla di misure adeguate) di sicurezza che presuppongono una tutela “attiva”.

Da ultimo, anche la disomogeneità creata dalla scelta dello strumento della direttiva dovrebbe essere superato; infatti il Regolamento UE 2016/679 dovrebbe garantire l'applicazione diretta ed immediata della normativa in tutti i paesi della UE. Tale aspetto risulta di primaria importanza se si pensa alle evoluzioni tecnologiche – su tutti internet e il trattamento dei dati possibili attraverso tale strumento – che mal sopportano le particolarità che caratterizza(va)no le normative nazionali anche in materia di protezione dei dati.

* * *

In conclusione, il diritto alla privacy ha ereditato dall’esperienza americana un’accezione sostanzialmente negativa di riservatezza.

Ciò significa che le prime sfaccettature di esso avevano a che fare con il diritto a conservare una sfera privata intangibile nei confronti dei terzi, e quindi, un diritto alla privacy dai terzi in maniera tale da assicurare una più ampia tutela della propria sfera intima dalle ingerenze dei mass media.

Successivamente, e in particolare a cavallo del nuovo millennio, abbiamo assistito ad un processo evolutivo che ha visto declinare sotto vari aspetti obblighi positivi in capo a soggetti

31

(pubblici o privati) che trattano i dati personali, assumendone così, a seconda delle circostanze, la qualità di responsabile.

In altri termini, mentre prima l’interessato si limitava a pretendere un comportamento di astensione da parte di terzi e una tutela delle istituzioni di tipo “impeditiva”, oggi a questo profilo si aggiunge quello più importante della pretesa che titolare e responsabile del trattamento adottino determinate condotte attive rispondendone, in caso di violazione del trattamento, secondo un principio di responsabilità.

“La globalizzazione attraverso i diritti, non attraverso i mercati.”

32

CAPITOLO SECONDO

2. PROFILI DI RESPONSABILITÀ DEL D.LGS. 196/2003

SOMMARIO: 2.1 Introduzione. – 2.2 L’attuale regime della responsabilità per violazione del diritto alla riservatezza. – 2.3 Legittimazione attiva e passiva. – 2.4 Applicazioni giurisprudenziali e applicazioni del Garante privacy. – 2.4.1 Internet Service Provider. – 2.4.2 Banche e intermediari finanziari. – 2.4.3 Ambito sanitario. – 2.5 Art. 15 Codice privacy: brevi cenni conclusivi.

2.1.

Il principio di responsabilità ha via via assunto una posizione sempre più centrale nella disciplina europea, facendo la sua comparsa – implicita – nella Convenzione di Strasburgo del 28 gennaio 1981 n. 108, sino ad assurgere ad un ruolo primario nel “Regolamento

generale sulla protezione dei dati” n. 679 del 26 aprile 2016 (di

seguito “Regolamento”). Tale principio guarda, da un lato, all'osservanza delle disposizioni giuridiche, tecniche e procedimentali e, dall'altro, alla protezione dei dati e dei diritti dell'interessato.

Come in tutti i processi evolutivi, il Regolamento rappresenta la stratificazione della normativa precedente che, facendo tesoro delle varie esperienze europee, cerca di “prevedere” le evoluzioni tecniche

33

e sociali predisponendo le tutele necessarie per garantire un adeguato livello di sicurezza.

A grandi linee si possono indicare quattro momenti dell'evoluzione del principio di responsabilità:

 la Convenzione europea di Strasburgo del 1981, la n. 108, che affronta solo in modo indiretto il tema in questione37_;

 con la Direttiva europea 95/46/CE, pur non essendoci ancora una definizione chiara, il principio di responsabilità attraversa diverse disposizioni della normativa a partire dell'art. 638 _{che, se nel}

primo comma fissa i criteri per garantire la qualità dei dati trattati, al secondo comma prescrive l'obbligo del Responsabile di “garantire il rispetto” di quanto definito nel comma precedente;

 nei vent’anni che separano la direttiva appena citata e il

37 _{Ne sono un esempio gli artt. 5 (qualità dei dati), 7 (sicurezza dei dati) e 8}

(ulteriori garanzie) relative ai diritti degli interessati.

38 _{Cfr. Direttiva CE 95/46 Sezione I – Principi relativi alla qualità dei dati,}

Art. 6:

1. Gli Stati membri dispongono che i dati personali devono essere: a) trattati lealmente e lecitamente;

b) rilevati per finalità determinate, esplicite e legittime, e successivamente trattati in modo non incompatibile con tali finalità. Il trattamento successivo dei dati per scopi storici, statistici o scientifici non è ritenuto incompatibile, purché gli Stati membri forniscano garanzie appropriate;

c) adeguati, pertinenti e non eccedenti rispetto alle finalità per le quali vengono rilevati e/o per le quali vengono successivamente trattati;

d) esatti e, se necessario, aggiornati; devono essere prese tutte le misure ragionevoli per cancellare o rettificare i dati inesatti o incompleti rispetto alle finalità per le quali sono rilevati o sono successivamente trattati, cancellati o rettificati;

e) conservati in modo da consentire l'identificazione delle persone interessate per un arco di tempo non superiore a quello necessario al conseguimento delle finalità per le quali sono rilevati o sono successivamente trattati. Gli Stati membri prevedono garanzie adeguate per i dati personali conservati oltre il suddetto arco di tempo per motivi storici, statistici o scientifici.

2. Il responsabile del trattamento e tenuto a garantire il rispetto delle disposizioni del paragrafo 1.

34

Regolamento, il Gruppo di lavoro articolo 29 ha adottato diversi pareri tra cui, quello più rappresentativo per il tema oggetto del presente lavoro, il numero 3/2010 relativo proprio al “principio di responsabilità”39_{. A ben vedere le norme riportate nel parere}

appena citato anticipano alcune delle disposizioni più caratterizzanti il Regolamento e già delinea il doppio binario tra adozione delle misure idonee e quello che diventerà il principio di

accountability;

 con il Regolamento, che ha ereditato le varie posizioni sedimentate nel corso del tempo, il principio di responsabilità ha acquisito una dimensione primaria sotto diversi profili, come dimostrato anche dallo spazio dedicato al tema e dagli istituti, alcuni dei quali nuovi, che sono previsti.

Il quadro appena delineato obbliga la scrivente a partire dalla dimensione attuale del principio in commento per poi portare ad evidenza le evoluzioni codificate nel Regolamento e ciò al dichiarato fine di meglio comprendere la ratio che si cela dietro ciascuna delle novità proposte dall'attuale quadro normativo.

39 _{Il Parere n.3/2010 riporta nella sintesi i seguenti passaggi, ritenuti da chi}

scrive, di fondamentale importanza: “I principi e gli obblighi dell’Unione europea in materia di protezione dei dati sono spesso applicati in modo insufficiente a livello di misure e pratiche interne sostanziali. Se la protezione dei dati non diventa parte integrante delle pratiche e dei valori condivisi di un’organizzazione e se le relative responsabilità non sono espressamente ripartite, il rispetto effettivo delle norme in materia di protezione dei dati sarà messo notevolmente a rischio e gli incidenti in questo settore saranno destinati a continuare. […] In particolare, questo parere avanza una proposta concreta per l’introduzione di un principio di responsabilità che richieda ai responsabili del trattamento di mettere in atto misure adeguate ed efficaci per garantire che i principi e gli obblighi stabiliti nella direttiva siano rispettati e per dimostrare tale osservanza, su richiesta, alle autorità di controllo. Ciò dovrebbe contribuire a passare “dalla teoria alla pratica” […].”

35

A ben vedere il Regolamento rappresenta la piena maturazione e valorizzazione del principio di responsabilizzazione (traduzione italianizzata del principio di accountability) nel trattamento dei dati personali in capo a titolari e responsabili del trattamento.

Nel nuovo scenario delineato dal Regolamento il principio appena citato si concretizza attraverso un approccio basato sul rischio del trattamento e rappresenta una grande novità per la protezione dei dati; infatti, è affidato ai titolari il compito di decidere autonomamente le modalità, le garanzie e i limiti del trattamento dei dati personali, nel rispetto delle disposizioni normative e alla luce di alcuni criteri specifici indicati nel Regolamento medesimo.

Da ultimo, per meglio comprendere l'assoluta centralità ed importanza del principio di responsabilità, e la relativa evoluzione rappresentata dal principio di accountability, in ambito del trattamento dei dati, è necessario brevemente evidenziare il valore sempre maggiore che i dati personali hanno assunto.

Tale effetto è conseguenza di diversi fattori: il primo è legato al c.d. “effetto diluvio” che il Gruppo di lavoro art. 29 ha definito come “continuo aumento della quantità di dati personali esistenti,

elaborati e ulteriormente trasferiti”40_{. Il fenomeno appena citato è}

favorito dalla sempre maggiore interconnessione dei sistemi tecnologici ed informatici, senza parlare delle applicazioni del cd.

Internet of Things che determina un trattamento sempre più capillare e

36

invasivo dei dati di ciascun individuo.

Ne consegue che, con l’aumento della quantità di dati trasferiti in tutto il mondo, aumentano anche i rischi di violazioni e la connessa esigenza di adottare misure di sicurezza sempre più evolute per limitarne gli effetti distorsivi.

A tale aspetto di bulimica diffusione di dati, si accompagna un aumento del loro valore sociale, politico ed economico41_{. Ormai, è un}

dato di fatto che sul web i dati personali siano diventati una vera e propria valuta di scambio42_{; di contro, sembra accresciuto il}

riconoscimento sociale della protezione dei dati come valore assoluto. Ciò rappresentato, ne consegue che la violazione dei dati personali può determinare importanti ripercussioni negative per chi è responsabile del trattamento che, di contro, è spinto ad applicare misure reali ed efficaci di protezione dei dati dirette alla corretta gestione della loro protezione, riducendone i pregiudizi giuridici, economici e di reputazione che possono derivare da pratiche inadeguate in materia.

41 _{Cfr. F. PIZZETTI, Privacy e il diritto europeo alla protezione dei dati}

personali, Torino, 2016, 8.

42 _{Basti ricordare i sempre maggiori attacchi hacker che criptano i dati di}

milioni di dispositivi per poi chiedere un riscatto per fornire le chiavi di decriptazione. Altro esempio emblematico sono le società che lucrano sui c.d. big data come Facebbok, Twitter, WhatsApp.

37

2.2.

VIOLAZIONE DEL DIRITTO DI RISERVATEZZA

Come sopra accennato, l'evoluzione sociale e giuridica ha portato ad annoverare il diritto alla riservatezza come uno dei diritti fondamentali della personalità e, in quanto tale, gode della garanzia costituzionale di cui all’art. 2 Cost. il quale dispone che la Repubblica

riconosce e garantisce i diritti inviolabili dell'uomo, sia come singolo sia nelle formazioni sociali ove si svolge la sua personalità43_{; dunque,}

gode della tutela riservata ai diritti inviolabili dell'uomo.

A complicare il quadro delle tutele ha, naturalmente, contribuito il frenetico sviluppo tecnologico che ha offerto nuove modalità di trattamento dei dati e, di conseguenza, nuove criticità legate, sempre più spesso, alla inconsapevolezza degli utenti circa l’effettivo trattamento posto in essere. In altri termini, la facilità e la velocità con cui le informazioni oggi circolano impongono una maggiore attenzione alla raccolta e organizzazione dei dati, accompagnata da un innalzamento delle misure di sicurezza adottate, atteso l'allargamento del fronte di possibili attacchi informatici.

L'assunto da cui partire per comprendere le criticità sottese al tema in esame appare semplice: il trattamento dei dati personali

43 _{Cfr. Corte Cost. 12 aprile 1973 n. 38, in Foro italiano, 1973, I, 1078: “Fra i}

diritti inviolabili dell’uomo, affermati, oltre che nell’art. 2, art. 3, comma 2, e art. 13, comma 1, rientrano quelli del proprio onore, rispettabilità, riservatezza, intimità e reputazione, sanciti espressamente negli artt. 8 e 10 della Convenzione europea sui diritti dell’uomo”

38

costituisce attività in grado di ledere diritti della personalità, e ciò sia che tale trattamento avvenga nella dimensione reale di una società urbana, sia - e forse a maggior ragione - in una società virtuale dell’informazione globale. Tale considerazione è tanto più vera se si riferisce agli strumenti informatici capaci di archiviare, incrociare, scambiare, selezionare, modificare, aggiornare, diffondere e condividere un numero potenzialmente infinito di dati personali44_.

L'osservazione di tali circostanze ha spinto già nei primi anni Settanta del secolo scorso la dottrina italiana più attenta ad intuire le potenzialità (e i pericoli) del nuovo potere informatico45_{, visto come}

un potere in grado di esprimere un dominio sociale su ogni individuo. Tale potere viene alimentato dalla possibilità di accumulare dati, in quantità praticamente illimitata, relativi a ciascun individuo circa condizioni psico-fisiche, economiche, sulle abitudini di consumo o di utilizzo di un certo servizio, sui luoghi e sulle persone frequentate, nonché sulle opinioni politiche e religiose46_.

La trasposizione giuridica dei pericoli legati a quanto appena rappresentato è avvenuta, in relazione alla esperienza italiana, ad

44 _{Emblematico il caso Facebook/WhatsApp che, a seguito della modifica}

della privacy policy effettuata da WhatsApp nell’agosto 2016, prevedeva la messa a disposizione di Facebook di alcune informazioni riguardanti gli account dei singoli utenti della prima, anche per finalità di marketing. A seguito di tale modifica e delle possibili criticità legate a tale scambio di informazioni, il Garante per la protezione dei dati personali ha avviato un'istruttoria, invitando WhatsApp e Facebook a fornire tutti gli elementi utili alla valutazione del caso.

45 Cfr. S. RODOTÀ, Elaboratori elettronici e controllo sociale, Bologna, 1973.

46 _{F.DI CIOMMO, Il danno non patrimoniale da trattamento dei dati personali,}

in Il nuovo danno non patrimoniale, G. PONZANELLI (a cura di), Cedam, 2004, 255 e ss.