U
NIVERSITÀ DI
P
ISA
Dipartimento di Giurisprudenza
Corso di Laurea Magistrale in Giurisprudenza
Tesi di Laurea
Diritto alla protezione dei dati personali:
quale controllo?
Candidato:
Relatrice:
Ivan Tizzanini
Prof.ssa Dianora Poletti
A nessuno interessa come funziona una cosa, finché funziona.
Consigliere Hamann
Non possiamo mai vedere al di là delle scelte che non ci sono chiare.
Oracolo
Scelte... forse Mr Robot ha ragione; è di questo che si tratta, i si e i no della vita. Ma siamo noi a decidere? O decidono loro?
I
SOMMARIO
INTRODUZIONE _________________________________________________ 3 1. La “questione” tecnica _______________________________________ 3 2. Gli Elaboratori e la Rete _____________________________________ 4 3. I dati ____________________________________________________ 6 4. I metadati _________________________________________________ 7 5. I Big Data e Il Data Mining __________________________________ 9 CAPITOLO I ____________________________________________________ 11
1. L’IDENTITÀ PERSONALE ______________________________________ 11
1.2 Il rapporto dell’identità personale con il diritto ________________ 13 1.3 La persona digitale ______________________________________ 13 1.4 La tutela della persona digitale _____________________________ 17
2. PRIVACY E PROTEZIONE DEI DATI PERSONALI _____________________ 22
3. I DATI _____________________________________________________ 27 3.2 I dati personali _________________________________________ 27 3.3 Le tipologie di dati _______________________________________ 33 CAPITOLO II ____________________________________________________ 38
IL QUADRO NORMATIVO SULLA PROTEZIONE DEI DATI __________________ 38
1. Quadro giuridico internazionale ______________________________ 38 2. Il quadro giuridico europeo __________________________________ 39 3. Il quadro normativo italiano _________________________________ 47 CAPITOLO III ___________________________________________________ 53
IL “GENERAL DATA PROTECTION REGULATION” ______________________ 53 1. L’ANALISI SVOLTA DALLA COMMISSIONE EUROPEA ________________ 53 1.1 Insufficiente consapevolezza e sottovalutazione dei rischi legati ai dati personali _____________________________________________________ 53
SOMMARIO
II
1.2 La perdita di controllo e di fiducia ___________________________ 54 1.3 La “breccia” nei dati _____________________________________ 58 1.4 Frammentazione ________________________________________ 59 1.5 La difficoltà di accedere ai propri dati ________________________ 60 1.6 Le difficoltà di avere i propri dati cancellati – il "diritto all'oblio" __ 61 1.7 Le difficoltà di ritirare e trasferire i dati personali ______________ 62 1.8 Le difficoltà ad accedere a rimedi efficaci ______________________ 63 1.9 Le Linee Guida della Commissione Europea sul GDPR __________ 63 CAPITOLO IV ___________________________________________________ 66
DIRITTO AL CONTROLLO __________________________________________ 66 1. Il concetto di controllo ______________________________________ 66 2. Il “Controllo” nella visione delle Istituzioni UE __________________ 69 3. Il concetto di controllo: tra dottrina e nuovo Regolamento _________ 122 4. Asimmetrie e Controllo ____________________________________ 124 CAPITOLO V ___________________________________________________ 128 CONCLUSIONI _________________________________________________ 128 BIBLIOGRAFIA ________________________________________________ 133 ALTRE FONTI __________________________________________________ 141 DOCUMENTI ISTITUZIONALI ______________________________________ 144 GIURISPRUDENZA ______________________________________________ 149 RIFERIMENTI NORMATIVI ________________________________________ 152
3
INTRODUZIONE
1. LA “QUESTIONE” TECNICA
Il progresso tecnologico porta con sé importanti mutamenti dal punto di vista morale, sociale e consequenzialmente giuridico1. Infatti,
l’aumentata simbiosi uomo-macchina ha creato sempre più problematiche da risolvere da ogni punto di vista: si pensi allo sviluppo di sistemi in grado di muoversi in modo autonomo compiendo delle scelte in base ad input predeterminati e non, si pensi all’impatto sull’utilizzo delle nuove forme di educazione in modalità digitale, oppure alla nascita di relazioni puramente o parzialmente virtuali (si veda i social network ad esempio), oppure alla possibilità di vedere in tempo reale una persona o un bene dall’altra parte del
1 Si veda il Considerando n. 6 del Regolamento EU 679/2016:
“La rapidità dell'evoluzione tecnologica e la globalizzazione comportano nuove sfide per la protezione dei dati personali. La portata della condivisione e della raccolta di dati personali è aumentata in modo significativo. La tecnologia attuale consente tanto alle imprese private quanto alle autorità pubbliche di utilizzare dati personali, come mai in precedenza, nello svolgimento delle loro attività. Sempre più spesso, le persone fisiche rendono disponibili al pubblico su scala mondiale informazioni personali che li riguardano. La tecnologia ha trasformato l'economia e le relazioni sociali e dovrebbe facilitare ancora di più la libera circolazione dei dati personali all'interno dell'Unione e il loro trasferimento verso paesi terzi e organizzazioni internazionali, garantendo al tempo stesso un elevato livello di protezione dei dati personali”.
INTRODUZIONE
4
globo, inoltre alla possibilità concreta di controllare l’andamento dei flussi finanziari personali o addirittura mondali. Queste elencate sono solo alcune delle infinite possibilità che il progresso tecnologico ha portato con sé, ma allo stesso tempo ha creato nuovi interrogativi con cui gli studiosi si sono dovuti confrontare: l’uso dei social network da parte di bambini o ragazzi che conseguenze possono portare alla loro educazione e al loro sviluppo come persone? Quali insidie risiedono dietro i collegamenti telematici? Se un sistema che si muove in modo autonomo arrecasse danno ad un individuo o ad un bene, di chi sarebbe la responsabilità?
Si può dunque affermare che il progresso tecnologico sia potenzialmente una strada a due corsie: quella potenzialmente buona e quella potenzialmente cattiva.
2. GLI ELABORATORI E LA RETE
Affrontando la questione preliminarmente dal punto di vista tecnico, è necessario rivolgere la nostra attenzione principalmente a quelli che noi identifichiamo con il nome di elaboratori.
L’elaboratore è uno strumento meccanico/elettronico automatico a cui si applicano leggi fisiche, chimiche nonché logiche, in grado di eseguire calcoli matematici ed eventuali altri tipi di elaborazione dati. Nella sua configurazione moderna, il computer è una macchina digitale che elabora dati formati da impulsi elettronici convertiti in
INTRODUZIONE
5 codice binario (0;1)2.
La disciplina che ne studia il funzionamento e il suo sviluppo è l’informatica, la quale si occupa del trattamento dell’informazione mediante procedure automatizzate. Essa è un insieme di strumenti teorici e pratici con lo scopo di elaborare dati3.
Anche l’elaboratore si è evoluto negli ultimi decenni, diventando sempre più complesso e sempre più piccolo, fino a diventare un oggetto “tascabile”4.
Un ruolo chiave nello sviluppo dell’elaboratore è stato svolto dalla rete di comunicazione globale: Internet5.
La rete Internet è nata (e cresciuta) come strumento di comunicazione, mediante una connessione basata su standard (protocolli) condivisi a livello globale6.
Questa grande rete di comunicazione, questa tipologia di connessione (destinata inizialmente ad utilizzarsi mediante computer nella
2 Novario F., Computer forensics. Tra giudizio e business, Cortina, Torino, 2012,
p. 141.
3 Novario F., Prove Penali Informatiche, Cortina, Torino, 2011, p. 95.
4 Il riferimento è relativo, ad esempio, agli smartphone e agli altri oggetti
“intelligenti” facilmente trasportabili.
5 “[…] non è un'entità fisica o tangibile, ma piuttosto una gigantesca rete che
interconnette un numero infinito di gruppi più ristretti di reti informatiche collegate fra di loro. Si tratta dunque di una rete di reti” Zeno-Zencovich, V.,
Manifestazione del pensiero, libertà di comunicazione e la sentenza sul caso “Internet”, in Dir. inf., 1996, p. 640 (nota a Corte federale USA 11.6.1986). 6 Il Federal Networking Council del 24 ottobre 1995, definisce: “‘Internet’
refers to the global information system that -- (i) is logically linked together by a globally unique address space based on the Internet Protocol (IP) or its subsequent extensions/follow-ons; (ii) is able to support communications using the Transmission Control Protocol/Internet Protocol (TCP/IP) suite or its subsequent extensions/follow-ons, and/or other IP-compatible protocols; and (iii) provides, uses or makes accessible, either publicly or privately, high level services layered on the communications and related infrastructure described herein”.
INTRODUZIONE
6
configurazione semplice che si immagina con detto termine: mouse, tastiera, schermo, corpo/torre) è stata inserita anche all’interno degli oggetti d’uso comune, dando loro la possibilità di interfacciarsi con gli altri oggetti della casa e con l’utente stesso. Questa è l’Internet delle Cose (IoT, Internet of Things).
Alcuni oggetti sono stati resi in grado di registrare tramite sensori le più diverse informazioni (tempo, temperatura, altitudine, posizione geografica, uso, ecc.), le quali saranno poi comunicate ad altri sistemi e (forse7) allo stesso utente mediante un’interfaccia.
Il bilanciamento tra ridotte dimensioni e potenza di calcolo ha individuato in Internet la soluzione, demandando a server 8
(computer con grande potenza di calcolo) la gestione delle informazioni registrate dagli oggetti con accesso alla rete9, dando
successivamente all’utente l’informazione desiderata nella forma più semplificata.
3. I DATI
Nel linguaggio comune, dato e informazione sono spesso usati come
7 Il termine forse viene usato volontariamente, in quanto spesso gli oggetti di
cui si parla non sono dotati di interfaccia utente in grado di controllare realmente quali e quanti dati vengano registrati sul dispositivo.
8 Il riferimento va al Cloud Computing. Per un approfondimento: Reese, G., Cloud Computing. Architettura, infrastrutture, applicazioni, Tecniche Nuove,
Milano, 2010, pp. 1 e ss.
9 È stato sostenuto che “Nell’epoca delle tecnologie della comunicazione e
dell’informazione (ICT, Information and Communication Technologies) accesso vuol dire reti fisse o mobili che consentano a chiunque (anybody) di connettersi da dovunque (anywhere), in qualsiasi tempo (anytime), per usufruire di qualsiasi contenuto (anything)”, Zeno-Zencovich, V., Diritto di
informazione e all’informazione, in Enciclopedia Italiana, XXI Secolo, Norme e idee,
INTRODUZIONE
7 sinonimi.
Il termine dato deriva dal latino datum, che significa letteralmente “fatto”. Il vocabolario definisce il sostantivo dato come “Ciò che è immediatamente presente alla conoscenza, prima di ogni forma di elaborazione”10.
In ambito informatico il dato è un elemento noto, una particella elementare costituita da simboli che devono essere elaborati. L’informazione diviene un momento successivo rispetto ai dati, ovvero è il prodotto dell’elaborazione degli stessi, derivante dall’interpretazione di un insieme di dati.
Ritornando ai dati, essi sono descrizioni elementari di cose o fatti, rilevanti da soli o nel loro insieme. Nel campo dell’informatica il dato può essere concepito come una componente software, necessariamente contenuta in una componente hardware, che possiede determinate caratteristiche: è digitale, è variamente rappresentabile ed è immateriale11.
4. I METADATI
L’Accademia della Crusca12 definisce i metadati come “una serie di
informazioni su dati, di varia natura, […] l’ambito d’uso più rilevante è oggi senza dubbio quello informatico, in particolar modo
10 Voce “dato” in Vocabolario Treccani Online:
<http://www.treccani.it/vocabolario/dato/>.
11 Sartor, G., Corso di Informatica Giuridica, Giappichelli, Torino, 2008. 12 Biffi, M., Metadati / metadata, in Accademia della Crusca. Disponibile su
<http://www.accademiadellacrusca.it/it/lingua-italiana/consulenza-linguistica/domande-risposte/metadati-metadata>.
INTRODUZIONE
8
quello legato alla gestione dell’informazione”. Si distinguono in: metadati strutturali, che definiscono l’architettura dei dati e le relative relazioni; metadati di contenuto che classificano e descrivono l’informazione, ovvero metadati descrittivi (descrivono il contenuto dell’oggetto), tecnici (informazioni utili per la gestione, l’archiviazione e la preservazione dei dati, sul formato, sulla provenienza software del dato), amministrativi (informazioni di gestione e sui diritti associati all’informazione).
L’importanza dei metadati è legata all’enorme proliferazione di contenuti web e di banche dati.
All’interno dell’elaboratore hanno le stesse caratteristiche dai dati sopra descritti.
Secondo quanto affermato dal Generale Michael Hayden – l’uomo che ha creato l’NSA per il Presidente George W. Bush – durante il dibattito del 1° aprile 2014 presso la John Hopkins University, i metadati hanno un’enorme potenzialità, infatti egli dichiara: “… is absolutely correct. We kill people based on metadata.”13 (“…è
assolutamente corretto. Noi uccidiamo persone sulla base di metadati”).
13 John Hopkins University, The Johns Hopkins Foreign Affairs Symposium Presents: The Price of Privacy: Re-Evaluating the NSA, video pubblicato su
Youtube il 07 aprile 2014. Disponibile su:
<https://www.youtube.com/watch?v=kV2HDM86XgI&feature=youtu.be& t=1064>.
INTRODUZIONE
9
5. IBIG DATA E IL DATA MINING
Il fenomeno dei Big Data viene tendenzialmente associato al paradigma delle tre (o quattro) “V”, indicando le tre caratteristiche principali: Volume14, Velocità15 e Varietà16 (e Veracità17, veridicità
ovvero qualità dei dati). Sinteticamente, il termine Big Data indica la molteplicità dei dati prodotti e riversati nella rete Internet, che necessitano di metodi di analisi per l’estrazione delle informazioni. Il termine però può indicare anche il sistema di analisi che permette la strutturazione delle informazioni mediante l’utilizzo della ricerca connessa al singolo dato, ovvero la trasformazione di una grande quantità di dati in un dato più grande, ovvero un’informazione più complessa.18 Questi dati possono essere usati “to identify more
general trends and correlations but it can also be processed in order to directly affect individuals”19.
Il data mining è un’operazione che consiste nell’estrapolare dati in formato elettronico dai database che compongono la rete Internet e
14 Si riferisce alla enorme quantità di dati che vengono giornalmente prodotti
dagli individui. Si pensi ai dati prodotti dagli apparecchi di uso comune, ovvero a tutto il mondo cd. smart.
15 Si riferisce alla continuità con i dati vengono prodotti giornalmente. Il
mondo degli oggetti connessi ad Internet produce incessantemente dati che vengono trasmessi continuamente.
16 Si riferisce alla diversità dei dati, che deve intendersi sia nella tipologia del
formato (pdf, doc, jpeg, ecc.), sia alla varietà delle fonti (siti internet, caselle di posta, ecc.).
17 Conseguentemente alle tre precedenti V, la correttezza del dato è di
fondamentale importanza al fine di portare ad una corretta analisi successiva.
18 D’Acquisto, G. & Naldi, M., Big Data e Privacy by Design. Anonimizzazione Pseudonimizzazione Sicurezza, 5, Giappichelli, Torino, 2017.
19 Article 29 Data Protection Working Party, Opinion 03/2013 on purpose limitation, WP n. 203, 02 aprile 2013, p. 35.
INTRODUZIONE
10
non solo20, in altre parole è un sistema di raccolta che utilizza
determinati software, come le c.d API21 (Application Program Interface),
ricerca dati in formato grezzo, messi a disposizione sulla rete, al fine di creare, mediante l’uso di inferenze, un’informazione complessa ovvero una conclusione nuova rispetto ai dati singolarmente trattati. Questo intreccio dei dati può avere motivi d’interesse storico, statistico o scientifico, ovvero anche implicazioni in termini di profilazione22 o comunque aventi rilevanza economica, tale per cui
possono (e devono) essere meritevoli d’attenzione.
20 La raccolta dei dati degli utenti fatta utilizzando i diversi strumenti e
tecniche (ad esempio, trackers, cookies, ecc) produce una quantità enorme di dati, per non parlare di tutti i dati “non strutturati”, ovvero non contenuti all’interno di database organizzati.
21 Un’interfaccia di programmazione di un’applicazione (Application
Programming Interface, API) è costituita da una serie di sottoprogrammi (o funzioni), protocolli e strumenti per la creazione di software e applicazioni. Con il termine API si indicano le interfacce di applicazioni o servizi web resi disponibili da un titolare per consentire ad altri sistemi o altre applicazioni di connettersi e operare con i propri sistemi. Per un approfondimento: Maalej, W., Robillard, M. P., Patterns of Knowledge in API Reference
Documentation, in IEEE Transactions on Software Engineering, Vol. 39, Issue 9,
2013. Per un approfondimento giudiziario: US District Court for Northern District of California, Oracle America Inc. v. Google Inc., Causa n. C 10-03561 WHA (Consultabile su: https://www.wired.com/wp-
content/uploads/blogs/wiredenterprise/wp- content/uploads/2012/05/Judge-Alsup-Ruling-on-Copyrightability-of-APIs.pdf); il termine viene definito anche all’interno del D.Lgs. 259/2003 (Codice delle Comunicazioni Elettroniche) nell’ art. 1, comma 1, lett. e).
22 “cioè per l'analisi e l'elaborazione di informazioni relative a utenti o clienti,
al fine di suddividere gli interessati in "profili", ovvero in gruppi omogenei per comportamenti o caratteristiche sempre più specifici, con l'obiettivo di pervenire all'identificazione inequivoca del singolo utente (cd. single out) ovvero del terminale e, per il suo tramite, anche del profilo, appunto, di uno o più utilizzatori di quel dispositivo”, Garante per la protezione dei dati personali, Linee guida in materia di trattamento di dati personali per profilazione
on line - 19 marzo 2015 (Pubblicato sulla Gazzetta Ufficiale n. 103 del 6 maggio 2015), [doc. web n. 3881513].
11
CAPITOLO
I
1. L’
IDENTITÀ PERSONALESecondo un’interpretazione costituzionalmente orientata 1 , alla
formula “identità personale” possono essere attribuiti diversi significati, ancorati al pieno sviluppo della personalità e della partecipazione politica e sociale del Paese, che ruotano tutti attorno all’art 2 della Costituzione, quale diritto inviolabile dell’uomo, ed esplicitata dalla Corte Costituzionale: il “diritto ad essere sé stesso, inteso come rispetto dell'immagine di partecipe alla vita associata, con le acquisizioni di idee ed esperienze, con le convinzioni ideologiche, religiose, morali e sociali che differenziano, ed al tempo stesso qualificano, l’individuo. L’identità personale costituisce quindi un bene per sé medesima, indipendentemente dalla condizione
1 Secondo G. Pino e A. Pace, “Sembra invece preferibile […] ricondurre la
garanzia costituzionale del diritto all’identità personale al principio della libertà di manifestazione del pensiero di cui all’art. 21 Cost., in base all’agevole rilievo che l’attribuzione ad un soggetto di opinioni mai professate viola il suo diritto appunto a non manifestare certe idee e opinioni, e a vedersi riconosciuta la paternità solo delle proprie idee e opinioni”, Pino, G., Il diritto all’identità personale ieri e oggi. Informazione,
mercato, dati personali, in Panetta, R.(a cura di), Libera circolazione e protezione dei dati personali, t. 1, Giuffrè, Milano, 2006; sul tema anche Finocchiaro, G., Identità personale (diritto alla), in Digesto delle Discipline Privatistiche, Sezione Civile, Torino, Utet, 2010, pp. 721 e ss.
CAPITOLO I
12
personale e sociale, dai pregi dai difetti del soggetto, di guisa che a ciascuno è riconosciuto il diritto a che la sua individualità sia preservata.”2
È importante evidenziare che l’identità personale non è una struttura predefinita, quanto piuttosto il risultato di un processo costruttivo, avente alla base scelte più o meno consapevoli da parte dell’individuo, né tantomeno una struttura immutabile, soggetta invece a cambiamenti nel tempo3, dovuti alle influenze esterne che il
soggetto interiorizza.4
L’identità nella sua formulazione affermativa definisce il soggetto per ciò che è, ma allo stesso modo lo definisce per ciò che esso non è, cioè svolge una funzione discriminante rispetto agli altri soggetti.
Sotto il cappello dell’identità ritroviamo la caratteristica dell’appartenenza o meno ad un gruppo, possa essere esso familiare, culturale, etnico, religioso, ecc.5
2 Sent. Corte Cost. n. 13 del 24 gennaio 1994 - GU 1a Serie Speciale.
3 Finocchiaro, G., Identità personale (diritto alla), in Digesto delle Discipline Privatistiche, Sezione Civile, Torino, Utet, 2010, pp. 721 e ss.
4 Pino, G., L’identità personale, in Rodotà, S. & Tallacchini, M. (a cura di), Trattato di biodiritto, vol. I, Ambito e fonti del biodiritto, Giuffrè, Milano, 2010,
pp. 297 e ss.
5 Sent. Cass. Civ., Sez. I, 07/02/1996, n.978, che configura “L’identità
personale è venuta emergendo, nella più recente elaborazione giurisprudenziale, come bene - valore costituito dalla proiezione sociale della personalità dell'individuo, cui si correla un interesse del soggetto ad essere rappresentato, nella vita di relazione, con la sua vera identità, a non vedere quindi, all'esterno, modificato, offuscato o comunque alterato il proprio patrimonio intellettuale, ideologico, etico, professionale (ecc.) quale già estrinsecatosi o destinato, comunque, ad estrinsecarsi, nell'ambiente sociale, secondo indici di previsione costituiti da circostanze obiettive ed univoche (cfr. in particolare, Pret. Roma 6 maggio 1974, Giur. it. 95 I, 2, 514; Cass., 22 giugno 1985, n. 3769; Corte Cost. n. 13 del 1994)”; Zeno-Zencovich, V., La Corte di Cassazione riconosce il diritto all'identità personale, in NGCC, Cedam, 1985, 1, pp. 654 e ss. (nota a Cass. 22.6.1985, n. 3769).
CAPITOLO I
13
1.2 IL RAPPORTO DELL’IDENTITÀ PERSONALE CON IL DIRITTO
La prima funzione che si scorge banalmente nell’identità è l’identificabilità del soggetto.6 Questo in particolar modo è evidente
nel rapporto dell’individuo con i pubblici poteri con i quali lo stesso si può o deve interfacciare nell’arco del tempo. Le caratteristiche principali che sono oggetto utile all’identificazione sono rinvenibili nella carta d’identità.7
Ma il diritto all’identità personale non si esaurisce solo nella sua dimensione correlata al pubblico potere. Si espande in una dimensione sostanziale come diritto fondamentale tutelato dall’art. 2 della Costituzione: il diritto ad essere sé stessi e il diritto che la propria individualità sia preservata. Sotto queste frasi di ampio respiro si raccolgono numerosi ed eterogenei interessi.8
1.3 LA PERSONA DIGITALE
La “Dichiarazione dei diritti in Internet” definisce il diritto all’identità su Internet e all’art.9 stabilisce che: “1. Ogni persona ha diritto alla rappresentazione integrale e aggiornata delle proprie identità in Rete.
6 Trucco, L., Introduzione allo studio dell’identità individuale nell’ordinamento costituzionale italiano, Giappichelli, Torino, 2004, p. 18, sostenendo che risulta
“[e]vidente in ogni caso lo stretto rapporto evolutivo tra identificazione giuridica e forma dello Stato […]ha reso necessario identificare gli individui non solo per la gestione della cosa pubblica ma anche perché costoro possano beneficiare di tutte le prestazioni derivanti dal welfare e dai fondamentali riconoscimenti racchiusi nelle costituzioni rigide”.
7 Falco, G., voce Identità personale, in Nuovo Digesto Italiano, VI, Torino, 1938,
p. 649, secondo cui “Fissare in un documento caratteri e nome di una persona vuol dire fissare la identità”.
8 Sul punto: Pino, G., L’identità personale, in Rodotà, S. & Tallacchini, M. (a
CAPITOLO I
14
2. La definizione dell’identità riguarda la libera costruzione della personalità e non può essere sottratta all’intervento e alla conoscenza dell’interessato. 3. L’uso di algoritmi e di tecniche probabilistiche deve essere portato a conoscenza delle persone interessate, che in ogni caso possono opporsi alla costruzione e alla diffusione di profili che le riguardano. 4. Ogni persona ha diritto di fornire solo i dati strettamente necessari per l’adempimento di obblighi previsti dalla legge, per la fornitura di beni e servizi, per l’accesso alle piattaforme che operano in Internet […]”.9
L’evoluzione dell’informatica legata alle tecnologie di Internet ha permesso a tale mezzo di comunicazione di diventare anche un “luogo non luogo”10. Con la semplice espressione “sono su internet”
una persona dice di essere in un posto che in realtà è puramente
9 Atto non legislativo, promosso dalla Camera dei Deputati, approvata dalla Commissione per i diritti e i doveri in Internet il 28 luglio 2015, presieduta da
Stefano Rodotà.
10 Passaglia, P., Internet nella Costituzione italiana: considerazioni introduttive, in
Nisticò M. e Passaglia P. (a cura di), Internet e Costituzione, Atti del Convegno. Pisa, 21-22 novembre 2013, Torino, Giappichelli, 2014, sottolinea come “l’originaria impronta di mezzo di comunicazione di massa, diverso dai tradizionali (essenzialmente solo) in ragione del tipo di interazione comunicativa (potenziale, con il web 1.0, ed effettuale, con il web 2.0) ha progressivamente perso corrispondenza con la realtà di Internet, nella misura in cui sulla rete non ci si limita ad esprimersi o a prendere cognizione dell’altrui espressione, ma si fa o si può fare anche molto altro: si studia e si lavora, si fruisce di un servizio pubblico e si adempie ad obblighi, ci si riunisce e ci si associa, si esercita la libertà di iniziativa economica e si esplica la propria libertà sessuale. […] il novero delle attività che possono svolgersi su Internet è, per il presente, indeterminabile a priori e, pro futuro, addirittura inconoscibile, avuto riguardo all’impossibilità di prevedere con ragionevole approssimazione gli esiti del progresso tecnologico […] giacché anche solo gli elementi menzionati portano pianamente a concludere che su Internet si esercita una tale varietà di azioni da poter ritenere che solo il riferimento, sopra accennato, allo svolgimento della propria personalità possa essere una sintesi idonea a ricomprendere tutto ciò che sulla rete si fa o si può fare (o, magari, si deve fare)”.
CAPITOLO I
15
formato di bit11. La stessa persona si trasforma in un insieme di bit,
costruendo la propria rappresentazione mediante i dati che inserisce all’interno del computer e della stessa rete. La persona diviene dunque digitale12, un vero e proprio corpo elettronico13, con la stessa
necessità di tutela del corpo fisico. Questo passaggio è efficacemente descritto da un illustre studioso che, richiamando l’habeas corpus, invoca una nuova visione basata sull’habeas data14. Tale concetto
deriva dalla presa di coscienza che “la nostra rappresentazione sociale (la nostra identità) è sempre più affidata a informazioni sparse in una molteplicità di banche dati, e ai profili che su questa base
11 Un bit è una cifra binaria, ovvero uno dei due simboli del sistema
numerico binario, classicamente chiamati zero (0) e uno (1). Per un approfondimento: Borruso, R., Russo & S., Tiberi, C., L’informatica per il
giurista. Dal Bit a Internet, Giuffrè, Ed. III, Milano, 2009.
12Per il concetto di Persona Digitale v. Clarke, R., The Digital Persona and its Application to Data Surveillance, in The Information Society, Vol. 10, issue 2,
1994, pp. 77 e ss., secondo cui “the digital persona is a model of an individual's
public personality based on data and maintained by transactions, and intended for use as a proxy for the individual” (tradotto: “la persona digitale è un modello
della personalità pubblica dell’individuo basata sui dati e mantenuta dalle transazioni (interazioni), e destinata ad essere utilizzata come proxy (delega) per l’individuo” le parole fra parentesi fungono da sinonimi chiarificatori dei termini). Questa definizione è stata successivamente riformulata v. Roosendaal, A., Digital Personae and Profiles in Law. Protecting Individuals’
Rights in Online Contexts, Wolf Legal Publishers, 2013.
13 Rodotà, S., Il mondo nella rete. Quali i diritti, quali i vincoli, Laterza, Roma –
Bari, 2014.
14 Come osservato autorevolmente, il concetto di habeas data è stato
inizialmente previsto come garanzia costituzionale esplicita dagli ordinamenti latino-americano (sul punto Borea Odrìa, A., Las garantìas
constitucionales: habeas corpus y amparo, Libros Peruanos, Lima, 1992). Per
poter definire completamente l’habeas data è necessario fare riferimento ai dati personali, nonché alla libertà informatica e di informazione. Il concetto è stato ripreso anche da S. Rodotà, Relazione per l’anno 1997 – Discorso del
presidente, [doc-web 3528995], Id., Una scommessa impegnativa sul terreno dei nuovi diritti, in Relazione Annuale 2001 [doc-web 3541955] (disponibili sul
sito: www.garanteprivacy.it); Frosini, T. E., Il diritto all’oblio e la libertà
CAPITOLO I
16
vengono costruiti, alle simulazioni che permettono.”15
Si faccia a tal proposito il seguente esempio:
Rossi Mario è vivo. Da questa frase (rectius informazione) potremmo ipotizzare che (probabilmente) una persona umana di nome Mario e di cognome Rossi, in questo momento è viva. Che schematizzata:
Nome Cognome Umano Vivo
Mario Rossi Sì Sì
Trasponendo queste informazioni all’interno di un database, i campi Nome e Cognome sono di tipo TEXT, mentre i campi Umano e Vivo sono tipo BOOLEAN (Sì/No; 0/1).
Se altri dati sul soggetto Mario Rossi fossero contenuti in questo database (come il sesso, l’attività lavorativa, le preferenze musicali, la situazione sentimentale, le idee politiche, le relazioni sociali), sarebbe possibile, mediante procedimenti automatizzati, costruirne un profilo16.
Anche se può risultare eccessivo dire che “noi siamo i nostri dati”, è altresì vero che la nostra rappresentazione sociale è sempre più affidata alle informazioni sparse in una molteplicità di banche dati, e ai profili che su queste vengono costruiti17.
15 Rodotà, S., Il mondo nella rete. Quali i diritti, quali i vincoli, Op. cit., p. 30. 16 Sul punto v. Roosendaal, A., Digital Personae and Profiles in Law. Protecting Individuals’ Rights in Online Contexts, Op. cit.
17 Rodotà, S., Il mondo nella rete. Quali i diritti, quali i vincoli, Op. cit.,
concordemente anche Stanzione, M.G., Il nuovo Regolamento europeo sulla
protezione dei dati personali: genesi e ambito di applicazione, su Comparazione
Diritto Civile, Salerno, 2016, p. 3, sostenendo inoltre che vi sia un punto di congiunzione tra identità personale e protezione dei dati personali, “il punto di congiunzione tra tutela dell’identità personale e protezione dei dati personali, per cui non v’è l’una senza il soddisfacimento dell’altra nella
CAPITOLO I
17
Il primo pensiero va a Facebook©, dove siamo noi stessi inseriamo i
nostri dati al fine di poter accedere alla piattaforma social e usufruire di un servizio in modo apparentemente “gratuito”18.
1.4 LA TUTELA DELLA PERSONA DIGITALE
In una Risoluzione del 2012 il Consiglio per i Diritti Umani ha affermato che “gli stessi diritti che le persone hanno offline, devono essere protetti anche online”19.
La tutela del corpo elettronico passa necessariamente attraverso la tutela del dato (dell’informazione) e le sue caratteristiche, in particolare nella forma digitale, hanno delle peculiarità20 che il diritto
deve necessariamente tenere ben presente. Tali peculiarità consento di trasmettere, ovvero diffondere i dati con estrema semplicità, stante l’intrinseca natura degli stessi.21
Infatti, dietro la rapidità e la velocità degli scambi si nascondono numerose insidie per l’individuo, molte di queste facenti riferimento all’uso dei suoi dati. Come ben evidenziato “[l]e tecniche di raccolta
prospettiva della dignità della persona e della libera costruzione della personalità che discende dalle tradizioni costituzionali comuni”.
18 “Apparentemente” (come si vedrà più avanti), in quanto “[…] i dati personali sono il petrolio dell’economia digitale”, Jacona, A., Internet, i dati personali sono il petrolio dell’economia digitale, in Wired.it, del 13 marzo 2015.
Disponibile su <https://www.wired.it/internet/web/2015/03/13/internet-dati-personali-petrolio-economia-digitale> [URL Consultato il 02 febbraio 2017].
19 Risoluzione delle Nazioni Unite 29 giugno 2012, su “The promotion, protection and enjoyment of human rights on the Internet”, par. 1. Disponibile su
<http://ap.ohchr.org/documents/alldocs.aspx?doc_id=20280>.
20 V. Introduzione, par. 3, I dati.
21 Zeno-Zencovich, V., Diritto di informazione e all’informazione, in Enciclopedia Italiana, XXI Secolo, Norme e idee, Op. cit.
CAPITOLO I
18
dei dati e profilazione individuale, rese possibili dalle nuove tecnologie, determinano il rischio che l’io venga frammentato, a sua insaputa, in una molteplicità di banche dati, offrendo così una raffigurazione parziale e potenzialmente pregiudizievole della persona, la quale verrebbe così ridotta alla mera sommatoria delle sue proiezioni elettroniche”22.
La tutela si sostanzia dunque nell’attribuzione di un potere di controllo all’individuo a cui i dati si riferiscono, avendo un effettivo potere di verificarne la correttezza, nonché il percorso che le sue informazioni seguono23, avendo conseguentemente anche il potere di
agire sugli stessi dati, in quanto necessario alla definizione della propria identità. In questo senso rientrano nel cono della tutela anche i giudizi emessi da terzi24, che pur non essendo suscettibili di rettifica
o integrazione, sono comunque rilevanti riguardo la costruzione della propria identità.
Si evidenziano due problemi legati all’identità digitale, mentre il primo è relativo all’identificazione del soggetto, quindi nel rapporto di accesso alla propria proiezione e di presenza nel mondo digitale (profilo soggettivo), il secondo è collegato alle informazioni connesse alla sua persona digitale, specie nei suoi profili reputazionali25, quindi
22 Resta, G., Identità personale e identità digitale, in Il diritto dell’informazione e dell’informatica, Anno XXIII, Fasc. 3, Giuffrè, 2007, p. 522.
23 Trucco, L., Introduzione allo studio dell’identità individuale nell’ordinamento costituzionale italiano, Op. cit.
24 In questo senso diversi sono i Provvedimenti del Garante della protezione
dei dati personali (doc web nn. 40337 – 1102939 – 1150997).
CAPITOLO I
19
all’impatto verso l’esterno che l’identità comporta (profilo informativo). 26
Relativamente al profilo soggettivo del fenomeno, l’ossimoro anonimato27-autenticazione28 è indubbiamente la parte più evidente
del problema. A cui si aggiungono i problemi di impossessamento-furto d’identità (digitale)29, questi ultimi sicuramente percepibili
anche offline.
Quanto al secondo, le informazioni personali connesse potranno essere errate relativamente ad aspetti dei quali il soggetto ha diretta e concreta apprensione (si pensi, in questo caso, ai dati anagrafici), oppure si avranno situazioni nei quali la falsità è collegata all’espressione altrui, come nel caso di giudizi e opinioni altrui, ed in
infine, fra identità personale e reputazione: innanzitutto mentre la prima è costituita dalla proiezione sociale della personalità del soggetto e dalla conoscenza che di essa ha la collettività, la seconda rappresenta un giudizio sulla persona espresso dai consociati”, I diritti della personalità, in Lipari, N. e Rescigno, P. (a cura di), Diritto civile, vol. I, Giuffrè 2009, pp.495 e ss.
26 Resta, G., Identità personale e identità digitale, in Il diritto dell’informazione e dell’informatica, Op. cit.
27 Nella sentenza della Corte Cost. n. 139 del 26 marzo 1990, si sostiene che
l’anonimato debba essere protetto alla stregua di un “valore costituzionale”, ogni volta che i dati o le notizie concernenti i singoli sono raccolti da poteri pubblici o privati. Per un approfondimento Trucco, L., Introduzione allo studio
dell’identità individuale nell’ordinamento costituzionale italiano, Op. cit., pp. 114
e ss.; Bisi, S., Identificabilità delle persone sulla rete Internet, Centro Nexa su Internet & Società del Politecnico di Torino.
28 Ovvero il metodo con il quale il sistema informatico, identifica
l’utilizzatore, utilizzando dati collegati al singolo individuo (password, dati biometrici, smart-card, ecc.). V. anche Lessing, L., Code: Version 2.0, Basic Book, New York, 2006, pp. 40 e ss.
29 Cipolla, P., "Social network", furto di identità e reati contro il patrimonio, in Giurisprudenza di merito, fasc. 12, 2012, pp. 2672 e ss., che dopo aver
inquadrato il fenomeno della sostituzione di persona e del furto di identità nella prospettiva sociologica, psicologica, criminologica e giuridica, analizza "sub specie poenali" i c.d. "social network", evidenziando come gli stessi siano ambiente favorevolissimo alla realizzazione di plurime forme di sostituzione di identità. Soffermandosi infine sulle truffe commesse in quel peculiare ambito telematico.
CAPITOLO I
20
tal caso la tutela potrà essere apprestata, come ad esempio nel caso di lesione del diritto all’onore e alla reputazione, ovvero nel caso di “screditamento” della persona (come nel caso Veronesi30), che
potendo avvenire anche nel mondo digitale, nel cd. cyberspace31. Si
pensi, alla cd. web reputatio32 dell’individuo, formata dalla percezione
altrui di una persona, costruita tramite le notizie e i contenuti presenti nella rete. Nel merito, l’Avvocato Generale Pedro Cruz Villalòn, nelle conclusioni presentate nelle cause riunite C-509/09 e C-161/10, eDate Advertising GmbH/X, Olivier Martinez, Robert Martinez/MGN Limited, presentate in data 29 marzo 2011, ha infatti affermato: “[…] le eventuali vittime di pubblicazioni lesive dei diritti della personalità si trovano in una posizione particolarmente vulnerabile quando il loro supporto è fornito da Internet. La portata universale delle informazioni contribuisce a rendere la lesione potenzialmente più incisiva di quella subita, ad esempio, attraverso un mezzo convenzionale”33.
30 Zeno-Zencovich, V., La Corte di Cassazione riconosce il diritto all'identità personale, in NGCC, Cedam, 1985, 1, pp. 654 e ss. (nota a Cass. 22.6.1985, n.
3769).
31 Il termine cyberspace non ha origini recenti, ma l’identificazione con
Internet si può far risalire al giugno del 1990 ad opera di John Perry Barlow (l’autore della Dichiarazione di indipendenza del Cyberspazio, pubblicata nel febbraio 1996). Il termine lo ritroviamo anche in Gandy Jr, O., Exploring
identity and identification in cyberspace, in Notre Dame J.L. Ethics & Public Policy, vol. 14, issue 2, 2000, pp. 1085 e ss., nel quale si evidenzia il rapporto
tra identità e identificazione all’interno del cyberspazio, criticando le giustificazioni presentante a sostegno dei modelli predittivi derivanti dall’uso delle informazioni come guida nelle interazioni di mercato, nonché la conseguente discriminazione statistica derivante da tali modelli.
32 La web reputation si riferisce alle informazioni sia relative alla persona
fisica, che alla persona giuridica.
C-CAPITOLO I
21
Non mancano però altre dissertazioni relative al potere di controllo sui contenuti presenti sul web. Come ha affermato la recente decisione della Corte di Cassazione 5 aprile 2012, n. 552534, parlando
di contestualizzazione dell’informazione al fine di garantire che l’identità del soggetto non venga travisata sulla Rete.
509/09 e C-161/10, eDate Advertising GmbH, X e Olivier Martinez e Robert
Martinez c. MGN Limited, punti 44 – 47: “[…] la messa in rete di contenuti su
un sito Internet si distingue dalla diffusione circoscritta territorialmente di un mezzo di comunicazione quale una stampa, giacché, in via di principio, essa mira all’ubiquità di detti contenuti. Questi possono essere consultati istantaneamente da un numero indefinito di internauti, ovunque al mondo, indipendentemente da qualsiasi intenzione del loro emittente in ordine alla loro consultazione al di là del proprio Stato membro di stabilimento e al di fuori del proprio controllo. 46. Sembra dunque che Internet riduca l’utilità del criterio inerente alla diffusione, poiché la portata della diffusione di contenuti messi in rete, in linea di principio, è universale. Inoltre, sul piano tecnico è tuttora impossibile quantificare tale diffusione con certezza ed attendibilità rispetto ad un determinato Stato membro e, di conseguenza, valutare il danno causato esclusivamente in tale Stato membro. 47. Le difficoltà di attuazione, nel contesto di Internet, di detto criterio della concretizzazione del danno […], contrastano […] con la gravità della lesione che può subire il titolare del diritto della personalità, il quale constata che un’informazione lesiva di suddetto diritto è disponibile in qualunque parte del mondo”.
34 Finocchiaro, G., Il quadro del diritto all’oblio nel quadro dei diritti della personalità, in Diritto dell’Informazione e dell’Informatica, 4-5, 2014, pp. 591 e ss.;
Id., Identità personale su Internet: il diritto alla contestualizzazione
dell'informazione, in Diritto dell’Informazione e dell’Informatica, 3, 2012, pp. 383
e ss.; criticano Di Cimmo & F., Pardolesi, R., Dal diritto all’oblio in internet alla
tutela dell’identità dinamica. È la rete, bellezza!, in Danno e responsabilità, VII,
CAPITOLO I
22
2. P
RIVACY E PROTEZIONE DEI DATI PERSONALIComunemente associati terminologicamente, privacy e protezione dei dati personali esprimo due concetti diversi35, anche se intersecanti.
Il termine privacy viene genericamente associato alla riservatezza (sfera intima della persona), ma tale definizione finisce con l’essere riduttiva. Il concetto di privacy varia, invece, nel tempo e nello spazio, assumendo accezioni diverse.
Come spesso viene ricordato, il right to be let alone è una formula che risale al 1890, quando Samuel Warren e Louis Brandeis (futuro giudice della Corte Suprema degli Stati Uniti d’America) pubblicarono un articolo intitolato The Right to Privacy36.
In questo articolo si evidenzia, in particolar modo, il rapporto sussistente tra il diritto ad informare ed informarsi e il diritto alla riservatezza37 della persona. Risulta evidente, malgrado l’attualità
delle argomentazioni, che in tale articolo sia contenuta solo una parte di ciò che oggi potremmo chiamare col nome di privacy.
35 Per un approfondimento giurisprudenziale, Kokott, J., Sobotta, C., The distinction between privacy and data protection in the jurisprudence of the CJEU and the ECtHR, in International Data Privacy Law, Vol. 3, No. 4, 2013, pp. 222 e
ss.
36 Brandeis, L., Warren, S., The right to privacy, in Harward Law Review, Vol. IV
n. 5, 15 Dicembre 1890.
37 “[…]pare opportuno evidenziare una peculiarità della riservatezza: si
tratta di una situazione dinamica la cui estensione è mutevole non solo da soggetto a soggetto (il che non sarebbe un connotato esclusivo), ma anche con riguardo allo stesso soggetto a seconda di una serie di variabili: i dati, il modo della loro raccolta o presentazione, la cerchia dei destinatari, il tempo”, così Zeno Zencovich, V., Una svolta giurisprudenza nella tutela della
riservatezza, in Diritto dell’Informazione e dell’Informatica, 1986, p. 932 (nota a
CAPITOLO I
23
Infatti l’evoluzione tecnologica ha modificato profondamente il Right to privacy, acquistando un nuovo significato ed una nuova ampiezza: questo consiste nel diritto, riconosciuto all’individuo, “di esercitare anche un controllo sull’uso dei propri dati personali inseriti in un archivio elettronico”38.
Al diritto alla riservatezza riguardo i propri dati personali non andrà attribuita solo un’accezione negativa (repulsione di ingerenze nella propria sfera privata), ma altresì positiva (come affermazione della libertà e dignità della persona)39. In questa formulazione si evince con
chiarezza la trasversalità40 del concetto privacy41.
Ma “nel linguaggio internazionale l’espressione più usata è ormai data protection, […] per sottolineare che non si tratta soltanto di restare chiusi nel proprio mondo privato, al riparo da sguardi indiscreti, ma anche di potersi proiettare liberamente nel mondo attraverso le proprie informazioni, mantenendo però sempre il controllo sul modo
38 Frosini, V., Il giurista e le tecnologie dell’informazione, Bulzoni, Roma, 1998. 39 Iaselli, M., Privacy e Nuove Tecnologie, III ed., Altalex - Wolters Kluwer
Italia, Milano, 2015.
40 Brugiotti, E., La privacy attraverso le “generazioni dei diritti”. Dalla tutela della riservatezza alla protezione dei dati personali fino alla tutela del corpo elettronico,
su Dirittifondamentali.it.
41 Famosa è la dissenting opinion, scritta nell’ambito della decision, assunta
dalla Corte Suprema degli USA nella causa Olmstead v. United States, 227
U.S. 438, da parte del Giudice Brandeis, che definì il right to be let alone come
“the most comprehensive of rights, and the right most valued by civilized men. To protect that right, every unjustifiable intrusion by the Government upon the privacy of the individual, whatever the means employed”; De Giacomo, C., Diritto, libertà e Privacy nel mondo della comunicazione globale, Giuffrè, Milano, 1999, definisce la privacy come una “nozione ombrello, che sottende il riferimento ad una pluralità di interessi ed ambiti di vulnerabilità ben distinti ed individuabili”.
CAPITOLO I
24
in cui queste circolano e vengono utilizzate da altri”42
Il Garante Europeo per la Protezione dei Dati Personali43 ha
dichiarato nel 2013 che la: “[…] ‘data protection’ is broader than ‘privacy protection’ because it also concerns other fundamental rights and freedoms, and all kinds of data regardless of their relationship with privacy, and at the same time more limited because it merely concerns the processing of personal information, with other aspects of privacy protection being disregarded”.44
La preferenza internazionale verso la definizione più ampia di protezione dei dati personali ha anche origini storiche, derivanti dagli avvenimenti accaduti nel Novecento. Le nuove forme di assolutismo che prevalsero in quel periodo, legate allo svilupparsi dello Stato totalitario e alle dittature (di qualsiasi estrazione politica), il carattere
42 Rodotà, S., Intervista su privacy e libertà, Conti, P. (a cura di), Laterza,
Roma-Bari, 2005, p. 19.
43 Il GEPD (in inglese EDPS) è stato istituito con il Regolamento 45/2001,
all’art. 41, esso ha, come si legge dal par. 2, “il compito di garantire il rispetto dei diritti e delle libertà fondamentali delle persone fisiche, segnatamente del diritto alla vita privata, riguardo al trattamento dei dati personali da parte delle istituzioni e degli organismi comunitari”, nonché “[…]di sorvegliare e assicurare l'applicazione del presente regolamento e di qualunque altro atto comunitario relativo alla tutela dei diritti e delle libertà fondamentali delle persone fisiche riguardo al trattamento dei dati personali da parte di un'istituzione o di un organismo comunitario, e di fornire alle istituzioni e agli organismi comunitari nonché agli interessati pareri su tutte le questioni relative al trattamento dei dati personali”.
44 La “[…] ‘protezione dei dati’ è più ampia della ‘protezione della privacy’
in quanto concerne anche altri diritti e libertà fondamentali e ogni tipo di dati a prescindere dalla loro connessione alla privacy, e al tempo stesso più limitata in quanto riguarda soltanto l’elaborazione delle informazioni personali, mentre gli altri aspetti della privacy sono ignorati. (traduzione italiana a cura di Focarelli, C. in La privacy. Proteggere i nostri dati oggi, Il Mulino, Bologna, 2015) da European Data Protection Supervisor, EU Data
Protection Law - Current State and Future Perspectives, High Level Conference:
"Ethical Dimensions of Data Protection and Privacy" Centre for Ethics, University of Tartu / Data Protection Inspectorate, Tallinn, Estonia, 9 January 2013.
CAPITOLO I
25
etico e ideologico dello Stato spingono ad affermare e generalizzare quel concetto riassumibile nell’uomo di vetro45, ossia “se sei un buon
cittadino non hai nulla da nascondere e se hai qualcosa da nascondere è perché non sei un buon cittadino”46. Questo modello di Stato venne
supportato dall’evoluzione delle tecniche legate alla conservazione e consultazione dei dati, attraverso sistemi automatizzati che permettevano una consultazione rapida dell’informazione e pertanto un controllo più efficace.
Infatti, il “Diritto alla protezione dei dati personali” è un diritto di libertà, legato al diritto dell’individuo a non essere sottoposto a controlli e raccolta di informazioni sulla propria identità (nel senso più ampio del termine) senza il preventivo consenso o senza che sussistano ragioni di prevenzione o repressione di reati, esplicitamente previste dalle leggi47.
Per riassumere, si potrebbe dire che il diritto alla privacy è volto alla protezione dell’individuo mentre, il diritto alla protezione dei dati personali può esser rilevante per l’intera collettività.48
Secondo, Rodotà, “in Italia, «privacy» è ormai uno slogan… E se uno
45 Rodotà, S., L’ansia di sicurezza che cancella i diritti, la Repubblica.it, 23
ottobre 2011. Disponibile su:
<http://www.repubblica.it/online/speciale/ventitreottobredue/ventitreott obredue/ventitreottobredue.html> [URL Consultato il 02 febbraio 2017].
46 Pizzetti, F., Privacy e il diritto europeo alla protezione dei dati personali. Dalla Direttiva 95/46 al nuovo Regolamento europeo, 4/I, Giappichelli, Torino, 2016. 47 Pizzetti, Privacy e il diritto europeo alla protezione dei dati personali. Dalla Direttiva 95/46 al nuovo Regolamento europeo, Op. cit.
48 Focarelli, C., La privacy. Proteggere i nostri dati oggi, Il Mulino, Bologna,
CAPITOLO I
26
slogan funziona con gli italiani, è difficile cambiarlo.”49
La fluidità e l’intersecabilità di entrambi i concetti rende impossibile una definizione unica e a priori. Accogliere una sola posizione rischia di rendere vuoto il concetto stesso, riducendo il senso del diritto espresso nella normativa. Potremmo immaginare questi due concetti come due arcobaleni che si incrociano nel cielo: una pluralità di colori, con sezioni che si incontrano solo in alcuni punti. Probabilmente, la vera definizione è lassù, nel punto d’incontro, ma è talmente ricca di sfumature che probabilmente soltanto la sua immagine potrebbe farcela cogliere realmente.
CAPITOLO I
27
3. I
DATI3.1 I DATI PERSONALI
Sul piano giuridico, il problema di carattere generale riguarda la definizione di dato. Allo stato attuale esistono norme applicabili ai dati in genere, altre invece applicabili ai soli dati personali50. Questi ultimi,
a differenza dei dati “comuni” (un evento metereologico, una misurazione), riguardano il soggetto nonché le sue connessioni e sfumature, ossia la sua identità.51
La definizione massimamente condivisa a livello normativo, definisce i dati personali come “qualsiasi informazione relativa a un individuo identificato o identificabile”52.
L’art. 4, punto 1, del Regolamento UE 2016/679 del 27 aprile 2016, che abroga la direttiva 95/46/CE, definisce il dato personale come “qualsiasi informazione riguardante una persona fisica identificata o identificabile («interessato»); si considera identificabile la persona fisica che può essere identificata, direttamente o indirettamente, con
50 Focarelli, C., La privacy. Proteggere i nostri dati oggi, Op. cit.
51 V. Zeno-Zencovich, Diritto di informazione e all’informazione, in Enciclopedia Italiana, XXI Secolo, Norme e idee, Op. cit., p. 306.
52 Si veda: OECD, Guidelines Governing the protection of privacy and transborder flow of personal data, [C(80)58/FINAL, as amended on 11 July 2013 by
C(2013)79], 2013 (par. 1, lett. b); Convenzione del 28 gennaio 1981, n. 108 (art. 2, lett. a); Direttiva 95/46/CE (art. 2 lett. a); D.Lgs. 30 giugno 2003, n. 196 –
Codice in materia di protezione dei dati personali – (art. 4, comma 1, lett. b). Per
una visione d’insieme Zeno-Zencovich, V., “[…] nel termine dato si ricomprende ogni elemento riconducibile ad un soggetto identificabile e rappresentativo della sua personalità, della sua attività, del suo pensiero o dei suoi comportamenti, ivi compresi l’immagine, la voce, i materiali biologici.”, I diritti della personalità, in Lipari, N. e Rescigno, P. (a cura di),
CAPITOLO I
28
particolare riferimento a un identificativo come il nome, un numero di identificazione, dati relativi all’ubicazione, un identificativo online o a uno o più elementi caratteristici della sua identità fisica, fisiologica, genetica, psichica, economica, culturale o sociale”.
Evidente è il ricalco della definizione data dalla direttiva abrogata, con l’aggiunta di alcune specifiche ulteriori: ubicazione, identificativo online, dati genetici.
Come si evince dalla lettera della disposizione, la scelta del legislatore europeo è stata quella di inserire in modo preciso un elenco di possibili metodologie di identificazione diretta e/o indiretta, al passo con le tecnologie finora sviluppate, ma senza volerle esaurire con un numero chiuso, anteponendo una definizione generalizzante: qualsiasi informazione.
Il concetto di dato personale comprende qualsiasi tipo di affermazione su una persona, siano esse “oggettive” o “soggettive”. Per far si che l’informazione diventi un “dato personale” non è necessario il requisito di veridicità. Inoltre, dal punto di vista del contenuto, qualsiasi informazione, se riferita o riferibile ad una persona identificata o identificabile, costituisce dato personale, indipendentemente dal fatto che riguardi o no un contesto determinato, quale potrebbe essere la vita privata o la vita familiare53.
Questo in relazione ad una evidenziata54 difficoltà di isolare la vita
53 Article 29 Data Protection Working Party, Opinion 4/2007 on the concept of personal data, WP n. 136, 20 giugno 2007.
CAPITOLO I
29
privata o familiare da ogni altro tipo di attività alla quale un’informazione può riferirsi.
Relativamente alla forma o al supporto, non vi è rilevanza alcuna, potendo assumere la forma alfabetica, numerica, grafica, fotografica, ecc. siano esse registrate su un supporto fisico o digitale.
3.1.1 Persona fisica “identificata” o “identificabile”
Gli aggettivi posti dopo la locuzione contenuta nell’art. 4 n. 1 di “persona fisica” del Regolamento (e già nel D.Lgs. 196/2003), cioè “identificata” o “identificabile”, si riferiscono alle qualità intrinseche che i dati possano mostrare. Nel primo la possibilità che i dati esprimano già, al momento della loro apprensione, la funzione discriminante dell’identità della persona fisica (identificata), oppure che gli stessi possano essere utilizzati per permettere di risalire all’individuo (identificabile), in altre parole non sono autosufficienti all’identificazione.
Pur ricadendo entrambi nel cono operativo della normativa sulla protezione dei dati, vanno distinti i concetti di identificabilità e di identificazione: il primo si riferisce ai dati che rendono il soggetto potenzialmente distinguibile; il secondo, l’identificazione, è la successiva ed eventuale fase riguardante l’uso degli stessi.
Particolare attenzione è da prestare ai cd. “identificatori”, contenuti
8. Si veda: Corte EDU Sentenza, Amann v. Switzerland (GC), (Application no. 27798/95), del 16 febbraio 2000.
CAPITOLO I
30
esplicitamente nell’elenco della definizione di “dato personale”55
contenuta nel Regolamento UE 679/2016, nonché implicitamente nel termine “qualsiasi”.
L’importanza del singolo identificatore è data nel momento della valutazione dello stesso. In altre parole, laddove è sufficiente il singolo dato al fine di permettere l’identificazione del soggetto, tale dato potrà essere qualificato come “personale”. Con i termini direttamente o indirettamente, viene correlata l’identificabilità del soggetto nella situazione specifica collegata, riferendosi perciò al fenomeno delle “combinazioni uniche”56.
Il Considerando n. 26 del Regolamento UE 679/2016 (già presente nella Direttiva 95/46, sempre al n. 26) sostiene che “Per stabilire l'identificabilità di una persona è opportuno considerare tutti i mezzi, come l'individuazione, di cui il titolare del trattamento o un terzo può ragionevolmente avvalersi per identificare detta persona fisica direttamente o indirettamente.” In altre parole, è necessario determinare la presenza che mezzi identificativi ragionevoli siano a disposizione o siano gestiti dai potenziali utenti delle informazioni, compresi i terzi destinatari.
È necessario tenere conto di diversi fattori, tra cui:
55 “[…] con particolare riferimento a un identificativo come il nome, un numero di identificazione, dati relativi all’ubicazione, un identificativo online o a
uno o più elementi caratteristici della sua identità fisica, fisiologica, genetica,
psichica, economica, culturale o sociale.” (corsivi aggiunti). Considerando n. 26
del Regolamento UE 679/2016.
56 Article 29 Data Protection Working Party, Opinion 4/2007 on the concept of personal data, WP n. 136, 20 giugno 2007.
CAPITOLO I
31
- Il “costo” dell’operazione di identificazione; - Il “valore” dell’informazione;
- La “durata” dell’utilizzabilità del dato rispetto alle finalità perseguite;
- La “tecnologia” a disposizione per l’identificazione.
Fondante però è il parametro di ragionevolezza, perché detta valutazione nasce in via interpretativa dal Considerando n. 26 citato e non può essere lasciata all’arbitrio di interpretazioni opportunistiche. Il Considerando n. 26 prevede una esclusione di applicabilità molto importante: “I principi di protezione dei dati non dovrebbero pertanto applicarsi a informazioni anonime, vale a dire informazioni che non si riferiscono a una persona fisica identificata o identificabile o a dati personali resi sufficientemente anonimi da impedire o da non consentire più l'identificazione dell'interessato. Il presente regolamento non si applica pertanto al trattamento di tali informazioni anonime, anche per finalità statistiche o di ricerca.”
3.1.2 I dati “anonimi”, “anonimizzati” e “pseudonimizzati”
I dati anonimi sono una tipologia di dati personali raccolti fin dall’origine senza la possibilità di identificare il soggetto a cui si riferiscono. Il dato anonimizzato è, invece, il dato che mediante l’applicazione di determinate procedure rende impossibile l’identificazione successiva.57 In altre parole, la differenza tra le due
CAPITOLO I
32
definizioni si pone al momento dell’acquisizione del dato.
La pseudonimizzazione è “il trattamento dei dati personali in modo tale che i dati personali non possano più essere attribuiti a un interessato specifico senza l'utilizzo di informazioni aggiuntive, a condizione che tali informazioni aggiuntive siano conservate separatamente e soggette a misure tecniche e organizzative intese a garantire che tali dati personali non siano attribuiti a una persona fisica identificata o identificabile”58.
Riferendosi inizialmente all’anonimizzazione (e al dato anonimo), nel nuovo Regolamento59, si avverte l’apertura del legislatore a questa
tipologia di dati, comprendendone le potenzialità intrinseche del loro utilizzo (si pensi al fenomeno dei Big Data) per lo sviluppo della società e del mercato.
Concettualmente differente dall’anonimizzazione, la pseudonimizzazione è una tecnica che consiste nel sostituire un attributo, tendenzialmente univoco, di un dato con un altro, ugualmente univoco ma non immediatamente intellegibile60. Sarà
così necessaria la combinazione di altre informazioni al fine di identificare il soggetto da parte del legittimo titolare. Questa metodologia avrà, all’interno di un trattamento legittimo, le caratteristiche di maggior sicurezza del dato, potendo contare sulla
Anonymisation Techniques, WP n. 216, 10 aprile 2014. 58 Art. 4, n. 5, Reg. UE 679/2016.
59 Si vedano, a tal proposito, i Considerando nn. 26, 28, 29, Reg. UE
679/2016.
60 D’Acquisto, G. & Naldi, M., Big Data e Privacy by Design. Anonimizzazione Pseudonimizzazione Sicurezza, Op. cit.
CAPITOLO I
33
divisione dei criteri di identificazione rispetto ai dati. La pseudonimizzazione rientra nel concetto di minimizzazione dei dati e di Privacy by design di cui all’art. 25 del Regolamento, entrambi intesi come utili mezzi di tutela dei diritti individuali nell’ambito del trattamento.
3.2 LE TIPOLOGIE DI DATI
Parlando delle tipologie di dati personali, la tecnica legislativa europea61
è sicuramente un chiaro supporto e la normativa italiana attualmente vigente segue la stessa impostazione. Infatti, le definizioni62 vengono
posizionate dal legislatore nella parte iniziale dell’atto ed espresse in modo chiaro, essendo fondamentali alla coerenza sostanziale.
Si è già parlato del dato personale in genere, le cui parole chiave sono: “qualsiasi informazione”, “identificato o identificabile”.
All’interno della macro-categoria dei dati personali, vi sono alcune sotto classificazioni importanti.
Nel Regolamento EU 679/2016, l’art. 9 (Trattamento di categorie particolari di dati personali) pone un divieto di trattamento per determinate categorie di dati, ad eccezione di quanto contenuto nei
61 Si vedano le indicazioni contenute nella Guida per la redazione dei testi legislativi dell'Unione europea del Parlamento europeo, Consiglio europeo e
Commissione europea, Lussemburgo, 2015, pp. 42 e ss.; nonché Pagano, R.,
Introduzione alla legistica. L’arte di preparare le leggi, III ed., Giuffrè, Milano,
2004, pp. 89 e ss.
62 “Qualora i termini utilizzati nell’atto non abbiano un significato univoco, è
opportuno riservare alla loro definizione un articolo all’inizio dell’atto. Tale definizione non contiene elementi normativi autonomi.”, Parlamento europeo, Consiglio europeo e Commissione europea, Guida per la redazione
