La sicurezza dei dati personali in ambito lavorativo: il Data Protection Officer alla luce del Regolamento UE 679/2016.

(1)

INDICE

INTRODUZIONE

………4

CAPITOLO I

L'EMERSIONE DEL DIRITTO ALLA PRIVACY

1.1 Le prime elaborazioni concettuali e il contesto di riferimento del diritto alla riservatezza …………...10 1.2 Primi passi verso la riservatezza in Europa …..22 1.3 La vita privata nella Costituzione italiana ……..29 1.4 I primi tentativi di una configurazione dottrinale e giurisprudenziale in Italia: dai diritti della personalità al diritto alla riservatezza …………33 1.5 Le prime leggi degli anni '70: lo Statuto dei

lavoratori ……….40 1.6 Il lungo iter per l'approvazione della prima disciplina in materia: la legge 31 dicembre 1996 n. 675 ………..44

CAPITOLO II

(2)

PERSONALI: IL CODICE DELLA PRIVACY E

L'AUTORITÀ GARANTE

2.1 Un Testo Unico in materia di privacy: il D.Lgs n.

196/03 ………..49

2.1.1 Tipologie di dati e trattamento ………..53

2.1.2 I diritti dell'interessato ..………60

2.1.3 Informativa e consenso ………68

2.2 L'Autorità garante per la protezione dei dati personali: attività e compiti ………72

2.2.1 Le sanzioni amministrative ………75

2.2.2 Gli illeciti penali ………..79

2.3 Le novità del Regolamento Europeo sulla protezione dei dati ………87

CAPITOLO III

PRIVACY OFFICER: LA FIGURA CHIAVE

DELLA DATA PROTECTION EUROPEA

3.1 La storia del Privacy Officer ……….95

3.2 Il responsabile per la sicurezza dei dati nel contesto italiano ………97

3.3 La figura del Privacy Officer con il nuovo Regolamento Europeo……….103

(3)

3.4 Ruolo, compiti e responsabilità assegnate al

Privacy Officer con il Regolamento Europeo ……..112

3.5 La collocazione del Privacy Officer nello scenario aziendale………..115

CAPITOLO IV

DATA PROTECTION OFFICER: REQUISITI E

CERTIFICAZIONI

NEL

NUOVO

REGOLAMENTO EUROPEO SULLA PRIVACY

4.1 Le caratteristiche necessarie per ricoprire il ruolo di Responsabile della Protezione dei dati …122 4.1.1 Formazione ed esperienza ………..124

4.1.2 Caratteristiche personali ………..126

4.1.3 Conoscenze e attività trasversali ………128

4.1.4 Conoscenze professionali specifiche ……..128

4.1.5 Esperienza lavorativa generale ………129

4.1.6 Esperienza lavorativa specifica ………130

4.2 Il futuro del Privacy Officer come figura professionale certificata ………131

CONCLUSIONI

………..………137

BIBLIOGRAFIA

………..143

(4)

INTRODUZIONE

Le scoperte scientifiche sono state ordinariamente nella storia dell'uomo fonte di progressiva emancipazione e di sviluppo.

La nostra epoca è segnata da un nuovo grande passaggio storico, conseguente alla trasmissione alla memorizzazione e al recupero dell'informazione tramite i processi informatici e telematici. Sono superate oggi le invalicabili categorie dello spazio e del tempo: chiunque può entrare in contatto con le informazioni che nel mondo si producono ed insieme può confrontarle fra di loro e con quelle del passato. E' una autentica rivoluzione che trasforma radicalmente su scala planetaria il panorama sociale, culturale e politico. L'informazione diviene perciò la nuova ricchezza, il nuovo mercato, il nuovo lavoro, il nuovo potere, il nuovo sviluppo. Introdotta nelle case con la telematica, diventa anche forma alternativa di socializzazione del modo di vivere degli uomini.

È proprio in questo contesto che un tema vecchio quanto il mondo, legato alla necessità di proteggersi dalla curiosità altrui e dal controllo asfissiante del potere, dà vita alla

(5)

“riservatezza” come diritto autonomo che, però, si articola presto in due nuovi e distinti diritti: quello alla privacy, storicamente legato al potere dell'informazione nell'ambito delle società democratiche; quello alla protezione dei dati personali, legato invece alla volontà di porre un freno al potere di controllo legato alla raccolta e utilizzo delle informazioni sulla vita delle persone.

Verranno messe a fuoco le tappe fondamentali, che hanno segnato il passaggio nell’elaborazione dottrinale dalla nozione originaria di riservatezza, intesa come diritto a non subire intrusioni nella propria sfera privata, all’idea dell’autodeterminazione informativa, fondata sull’assunto che il controllo sulle proprie informazioni sia essenziale per il libero sviluppo della propria personalità, senza vincoli o costrizioni imposte dall’esterno. Verrà così evidenziato uno slittamento da un approccio meramente difensivo, che tende all’isolamento, a un approccio di tipo relazionale, che investe i rapporti con gli altri consociati.

La privacy è stata definita prima come “diritto ad essere lasciato solo”; in seguito è stata ripensata come “potere di controllo sui dati personali”; ed infine studiata dalla dottrina moderna attraverso una “prospettiva multidimensionale”

(6)

che tiene conto di tutti gli interessi in campo.

Il cammino dell’emancipazione del diritto alla protezione dei dati personali dal diritto alla privacy è stato contraddittorio, lungo e faticoso.

Saranno esaminati dettagliatamente i primi riferimenti normativi, partendo dalla legislazione europea, con la Convenzione di Strasburgo n° 108, primo atto ufficiale in materia di tutela della privacy e protezione degli individui rispetto al trattamento dei dati di carattere personale, fino ad arrivare alla direttiva-madre, considerata il fulcro della disciplina europea. La Carta di Nizza rappresenta un punto di riferimento essenziale per l’inquadramento ‘costituzionale’ del diritto alla privacy in Europa in quanto a trovare tutela non è solo il più generico diritto al rispetto della vita privata, ma anche il più specifico diritto alla protezione dei dati personali. L’ordinamento italiano, seppur in forte ritardo rispetto agli altri ordinamenti giuridici europei, si è dotato di una specifica disciplina in materia di privacy – ossia in materia di protezione dei dati personali – con il D.Lgs. n. 196 del 30 giugno 2003, denominato Codice sulla protezione dei dati personali. Il Codice rappresenta il frutto di un lungo processo normativo

(7)

che ha avuto inizio a partire dagli anni ottanta con una serie di progetti, e che ha avuto come tappa fondamentale l’emanazione della legge 31 dicembre 1996 n. 675.

Dopo aver tracciato un quadro generale sui primi riferimenti normativi a livello nazionale ed europeo, e analizzato l'attuale Codice in materia di protezione di dati personali, evidenziandone le disposizioni maggiormente innovative si è cercato di porre l'attenzione su quello che è il “nocciolo duro” del presente elaborato e cioè il nuovo Regolamento Europeo sulla protezione dei dati personali 679/2016 e la figura chiave della data protection europea, ossia il Data Protection Officer.

Entrato in vigore il 24 maggio 2016 il Regolamento sulla protezione dei dati personali (Regolamento 679/2016, citato frequentemente con l’acronimo GDPR-General Data

Protection Regulation-) dal 25 maggio 2018, sostituirà tutte le

normative nazionali in materia: tra queste il nostro D.Lgs. 196/2003, il c.d. Codice privacy, disciplina la cui applicazione ha sollevato negli anni diverse difficoltà, e che da quella data verrà abrogata e non dovrà più essere rispettata.

Il regolamento mira a rispondere alle sfide poste dall'evoluzione tecnologica e dal sempre più massiccio

(8)

utilizzo di dati personali da parte delle imprese private e delle autorità pubbliche nello svolgimento delle proprie attività, ponendosi come obiettivo quello di garantire un livello equivalente di tutela delle persone fisiche nei Paesi membri nonché quello di realizzare la libera circolazione dei dati personali nell'Unione Europea.

Il testo in esame sancisce l'obbligo per le imprese di nominare un Data Protection Officer (chiamato nel testo citato “responsabile della protezione dei dati”). L’obbligo di introdurre tale figura è previsto nel settore pubblico e, nel settore privato, per le grandi imprese o allorquando le attività principali del responsabile del trattamento e dell’incaricato del trattamento consistono in trattamenti che richiedono il controllo regolare e sistematico degli interessati (art. 37).

Il Privacy Officer, o Consulente della Privacy, è una nuova figura professionale alla quale sono richieste determinate competenze giuridiche ed informatiche in modo tale da poter organizzare nel modo più opportuno la gestione e tutela dei dati personali all’interno di un’azienda, nel rispetto della normativa vigente.

(9)

disposizioni del Regolamento evidenziando il loro impatto giuslavoristico. Si analizzeranno le nuove norme a tutela della riservatezza che si limitano a puntualizzare principi già contenuti nella previgente disciplina e quelle che “rivoluzionano” il sistema di protezione della persona anche nel “contesto occupazionale” imponendo un cambiamento di prospettiva e di organizzazione aziendale.

(10)

Capitolo I

L'emersione del diritto alla privacy

1.1 Le prime elaborazioni concettuali e il contesto di

riferimento del diritto alla riservatezza.

“L'evoluzione dei rapporti commerciali e lo sviluppo dell'industria richiamano l'attenzione su un ulteriore elemento rappresentato dalla protezione della persona al fine di assicurare all'individuo ciò che il giudice Cooley definisce come il diritto di esser lasciati soli”.1

L'«età dell'oro» della privacy è stata identificata nella seconda metà dell'Ottocento negli Stati Uniti d'America,2

quando lo sviluppo della borghesia nella società americana ha raggiunto il suo apice. In tale contesto, a livello sociale ed istituzionale, la privacy non risulta affatto essere la realizzazione di un diritto naturale di ogni individuo, ma l’acquisizione di un privilegio da parte di un gruppo, la 1 S. Warren, L.D. Brandeis, The right of privacy, in Harv.L. Rev., 1890, 4, 193 hanno testualmente scritto “recent inventions and business methods call attention to the next step,

which maust be taken for the protection of the person and for securing to the individual what Judge Cooley calls the right to be let alone”. Tuttavia, il termine to be let alone è stato usato

per la prima volta dal giudice T.M. Cooley, Treatise on the law of Torts or the Wrongs Which Arise Independently of Contract, del 1878, pubblicato da Callaghan & Company, 1907. 2 E. Shils, Privacy: Its Constitution and Vicissitudes, in «Law and Contemporary Problems», 31

(11)

borghesia. La privacy, dunque, viene riconosciuta pienamente come diritto e potere, derivante da un atto di volontà. Storicamente3_{la dottrina fa risalire la prima}

formulazione del concetto di diritto alla privacy al saggio di Samuel D. Warren e Louis D. Brandeis, The right to privacy, del 1890, mentre il termine to be let alone ha visto la luce due anni prima, con il trattato del giudice Thomas M. Cooley, A treatise on the Law of Torts. Il giudice Cooley focalizzò la sua attenzione e scrisse un approfondimento sugli illeciti extracontrattuali, in cui esaminò il diritto alla privacy come un diritto strettamente connesso alla sicurezza delle persone. Sebbene il testo del trattato non riguardasse i diritti della persona, alla “voce” personal

immunity il giudice ha espressamente osservato: “the right to one's person may be said to be a right of complete

immunity: to be let alone”,4_{caratterizzando la privacy quale}

diritto a starsene soli.

Warren e Brandeis furono influenzati pienamente da Cooley 3 Per altri autori l'origine del diritto alla privacy è nato nel Regno Unito nel case Prince Albert

vs Strange del 1849, dove compare per la prima volt il termine privacy. Il caso riguardava un

dipendente della casa reale che aveva fatto delle copie abusive di alcune acqueforti ordinate dal Principe Alberto, marito della Regina Vittoria e raffiguranti i loro figli. Il termine privacy fa la sua prima comparsa sia in primo grado, che in appello, quando il Lord Chancellor, oltre a dare ragione ai regnanti per la violazione della proprietà, statuì che era stato violato il tacito accordo di riserbo che deve presumersi intercorrere tra il dipendente ed i suoi datori di lavoro.

(12)

tantoché nel loro saggio ripresero il concetto espresso dal giudice, affermando che il right to be let alone, il diritto cioè di starsene soli e di godere della vita privata, è un diritto fortemente minacciato dalle intrusioni nella sfera della vita privata. Nel loro celebre articolo i due studiosi rivelarono che “l'intensità e la complessità della vita, con l'avanzare della civiltà, hanno reso necessaria una ritirata dal mondo e l'uomo, sotto l'influenza della nuova cultura, è diventato più sensibile alla pubblicità, così che la solitudine è diventata più necessaria per l'individuo”.5

Il diritto alla privacy si configurava come un diritto della persona ad escludere qualsiasi ingerenza estranea all'interno delle mura domestiche e dunque come un diritto a contenuto negativo che doveva consentire a ciascuno un isolamento “morale” per conseguire la peace of mind.

Il significato che i due giuristi di Boston diedero del diritto alla riservatezza, con questa spiegazione del right to be let

alone,6_{non deve meravigliare, poiché Warren scrisse questo}

saggio con l'intenzione di sensibilizzare i tribunali a 5 S. Warren, L.D. Brandeis, The right to Privacy, cit., 196, hanno testualmente scritto che “the intensity and complexity of life, attendant upon advancing civilization, have rendered necessary some retreat from the world, and man under, the refining influence of culture, has become more sensitive to pubblicity, so that solitude has become more essential to the individual”.

(13)

prendere in considerazione il right to privacy, dal momento che egli stesso era bersagliato dai gossip scandalistici dell'epoca. Pare, infatti, che l'avvocato Warren e la moglie Mabel Bayard, nonostante la nascita di sei figli, conducessero una vita di fasto mondano che per il suo carattere dispendioso e lussuoso aveva suscitato le “attenzioni” e la critica di uno dei primi giornali che adottavano la stampa a rotativa, la Evening Gazzette di Boston. Warren, fortemente irritato dalle cronache del tempo decise, insieme al compagno di studi Brandeis (poi divenuto giudice della Corte Suprema USA), di ricercare e analizzare quali informazioni concernenti la vita privata di una persona potessero essere di pubblico dominio e quali invece fossero meritevoli di essere tutelate da qualsiasi forma di interferenza esterna.

La loro indagine prese a considerare innanzitutto le innovazioni tecnologiche dell'epoca, partendo dalla “stampa rotativa“, quale efficace strumento di diffusione delle notizie in grado di alterare e modificare l'impatto delle informazioni stesse sulla società. Esaminarono, poi con attenzione, tutti quei casi in cui le innovazioni tecnologiche, come ad esempio la fotografia, erano potenzialmente idonee a

(14)

violare la sfera privata di ognuno. Il particolare interesse mostrato dai due studiosi verso le innovazioni tecnologiche e l'esigenza di un attento e approfondito studio del diritto alla privacy, nasce in un contesto storico tutt'altro che casuale. Ci troviamo infatti, negli Stati Uniti di fine XIX secolo, in un'America che cambia volto velocemente, mutando la sua struttura politica ed economica, ma anche sociale.

L' industrializzazione aveva preso piede, trasformando la vecchia America contadina: le piccole comunità nate attorno alla proprietà terriera lasciano il posto alla nuova classe operaia, che vive nelle città, dove il rapporto di vicinato cede il passo a relazioni interpersonali sempre più anonime. Lo sviluppo tecnologico di quegli anni porta alla invenzione delle macchine da stampa a rotativa, delle linotipie e di altri strumenti che permettono una rapidità e una quantità di diffusione di informazioni mai vista prima. Notizie di interesse generale, avvenimenti d'oltreoceano, pettegolezzi locali: il quotidiano permette una rinnovata compenetrazione negli affari altrui, decisivi o discreditanti che siano.

(15)

Columbia University di New York, ritenuto uno dei maggiori esperti di privacy negli Stati Uniti, analizzando il contesto storico in cui si trovarono a scrivere Warren e Brandeis, affermò che la classe sociale più colpita ed offesa dai cambiamenti emersi nel settore tecnologico, era l'aristocrazia (alla quale i due giuristi bostoniani appartenevano), legata ancora ad un forte sentimento di intangibilità, che riteneva le fosse dovuto dalle classi sociali inferiori. Il fatto che la stampa scandalistica esponesse alla pubblica divulgazione ogni attività o vizio dei personaggi più in vista dell'alta società, era ritenuto da questi ultimi ingiustificato ed aggressivo.7

Prima di scrivere il loro celebre saggio, Warren e Brandeis, esaminarono anche lo stato della carente giurisprudenza in materia ed analizzarono una sentenza di mezzo secolo prima, emessa dalla Corte Suprema degli Stati Uniti, in

Wheaton vs Peters,8_{dove la Corte aveva stabilito la pienezza}

del diritto dell'imputato ad essere lasciato in pace, fino a quando non fosse stato dimostrato che avesse infranto il diritto di un altro soggetto.

In The right to privacy, i due giuristi, sottolinearono 7 Westin A. F., Privacy and Freedom, Atheneum, New York, 1967

8 Wheaton vs. Peters, 33 U.S. 591, 634, 1834, in Ronald B. Standler, Privacy Low in the U.S.A., 1997.

(16)

scrupolosamente come al centro di tutta l'analisi doveva esservi la persona nel suo fondamentale right to enjoy life e che le eventuali intromissioni nella sfera personale erano frutto soprattutto dei progressi tecnologici sempre più invasivi e irruenti.

Warren e Brandeis scrivendo quello che sarebbe divenuto un classico della dottrina giuridica statunitense, posero le vere basi di un dibattito che continua ancora oggi, poiché quello che si proposero di fare era la definizione stessa del diritto alla privacy, cercando di porre una netta separazione tra privacy materiale, che riguardava proprietà e possesso, e “inviolate personality”, entità stessa del diritto bisognoso di tutela.9

Nonostante il celebre saggio dei due giuristi americani, le Corti, nei decenni successivi, non dimostrarono grande sensibilità per la protezione dei fatti privati dalla diffusione attraverso i mezzi di comunicazione. Ciò trova spiegazione del fatto che la nozione di privacy, che era andata diffondendosi negli Stati Uniti anteriormente al loro saggio, vedeva tutelata la privacy dell'individuo, in quanto fondata sull'intangibilità del domicilio o dei luoghi privati (c.d.

privacy-property) e non sull'inviolabilità della dignità intesa

(17)

come riservatezza (c.d. privacy-dignity).

A sottolineare lo stato della giurisprudenza statunitense ci pensò William Prosser,10_{il quale nel 1960 studiò più di}

trecento casi giurisprudenziali che lo portarono ad affermare che l'utilizzo del concetto di privacy fatto proprio dalle Corti, non era riconducibile a un unico significato, avendo la giurisprudenza dell'epoca ricondotto al concetto di privacy anche fattispecie più direttamente riconducibili allo sfruttamento economico degli attributi alla personalità, in quanto più affini ad un concetto di property right tipico dell'epoca e dal quale Warren e Brandeis si erano discostati, introducendo per la prima volta il diritto alla riservatezza come diritto personale. Prosser aveva proposto una nuova definizione del diritto qui studiato affermando che la disciplina della privacy riguarda “quattro distinte lesioni a cui corrispondono diversi interessi dell'attore, che sono uniti dal medesimo nome, ma che in effetti non hanno nulla in comune ad eccezione del fatto che ciascuno di questi rappresenta un'ingerenza nei confronti del diritto dell'attore «ad essere lasciato solo» coniato dal giudice Thomas Cooley”.11

10 W. Prosser, Privacy, a legal analysis, in California Law Review, 1960.

11 Prosser, Privacy, cit., 1960, 389 ha scritto testualmente che “four distinct kinds of invasion of

(18)

L'approccio di Prosser al problema, così come la sua schematizzazione attraverso la quadripartizione dei torts, ebbe un notevole clamore nel sistema di common law, tanto che fu recepita integralmente nel 1977 dal secondo

Restatement of tort, venne adottata in tutti gli stati federati,

ed è ancora oggi un punto di riferimento usuale in materia di diritto alla riservatezza. La dottrina ha però tenuto ad evidenziare come Prosser non abbia mai proposto un effettiva nozione di diritto alla privacy ma si sia solo limitato ad elencare le fattispecie illecite, sistematizzando la casistica giurisprudenziale precedente. Nel 1964 Edward Blounstein, criticò fortemente l'approccio di Prosser poichè ne aveva intuito le conseguenze negative in relazione ad una sostanziale protezione della privacy. La constatazione sull'assenza di una nozione unitaria di privacy non era infatti condivisa da E.J. Bloustein,il quale in privacy as an Aspect of

Human Dignity: An Answer to Dean Prosser,12_{ha cercato di}

portare ad unità il concetto di privacy, in quanto gli interessi sottostanti non devono essere considerati diversi ma hanno tutti un minimo comune denominatore nella human dignity

otherwise have almost nothing in common except that each represents an interference with the right of the plaintiff, in the phrase coined by Judge Cooley, «to be let alone».

12 39 N.Y.U.L. Rev. 962 (1964) Privacy as an Aspect of Human Dignity: an Answer to Dean Prosser.

(19)

e possono dunque essere ricondotti ad unità, dato che il diritto alla riservatezza deve considerarsi come “un valore sociale“, la cui violazione avrebbe comportato “un attacco alla dignità umana o un'ingiuria alla personalità”.13_{L' utilizzo}

da parte di Bloustein di un concetto così poliedrico come quello di dignità umana, ha avuto il risultato però, di non riuscire a fornire una spiegazione esaustiva.

A partire dalla fine degli anni settanta la dottrina ha cominciato a elaborare una nozione unitaria del diritto alla riservatezza. In questo senso, nel 1967 in Privacy and

Freedom, Alan Westin, ha definito per primo il diritto alla

privacy come “la pretesa degli individui, gruppi e istituzioni di determinare loro stessi quando, come ed in che misura le informazioni sul loro conto sono comunicate ad altri”.14

Ben presto, però, sono emerse la giusta dimensione sociale del concetto di privacy e il forte rilievo in merito alla tutela della persona sia come singolo che come cittadino; così nel 1971 Arthur Miller ha definito la privacy come “l'attributo di base per un diritto effettivo è la possibilità dell'individuo di 13 Bloustein, Privacy as an aspect oh Human Dignity: an answer to Dean Prosser, cit., 974, ha

testualmente scritto “a blow to human dignity or an injury to a personality”.

14 Westin, Privacy and Freedom, cit., 7, scrive testualmente che “the claim of individuals, groups,

or institution to determine for themselves when, how, and to what extent information about them is communicated to others”.

(20)

controllare la circolazione delle informazioni che lo riguardano”.15_{Anche Fried ha elaborato una definizione}

simile secondo cui la privacy è “non semplicemente l'assenza di informazioni su di noi nella mente degli altri, piuttosto è il controllo che noi abbiamo sulle informazioni che ci riguardano”.16

Queste costruzioni del diritto alla privacy sono state influenzate da forti innovazioni tecnologiche e da ampi mutamenti sociali. A partire dalla metà degli anni settanta si diffondono nuovi strumenti di rilevazione e di memorizzazione dei dati altrui e ad un tempo le schedature di massa in banche dati computerizzate. In questo quadro la concezione del right of privacy come diritto ad esser lasciato solo è apparsa ormai anacronistica poiché la riservatezza viene chiamata in causa anche al di fuori dalle mura domestiche, inoltre appare chiaro che l'individuo ha interesse non solo alla sesclusion ma anche al control del trattamento dei propri dati necessario per una effectiveness 15 A. Miller, personal privacy in the computer age: the challange of a new technology in an information-oriented society, in Mich. L. Rev., 1969, 67, 1107, ha scritto testualmente che “the

basic attribute of an effective right of privacy is the individual's ability to control the circulation of information relating to him”.

16 Fried, Privacy, in Yale L. J., 1968, 77, 482, ha scritto testualmente “not simply an absence of

information about us in the minds of other; rather is the control we have over information about ourselves”.

(21)

del diritto.

A distanza di tempo la concezione del diritto alla riservatezza come potere di controllo sui dati personali è stata adottata anche dalla giurisprudenza statunitense. In questo senso è significativa la sentenza della Corte Suprema nel caso United States Department of Justice v. Reporters

Comm. For freedom of the press secondo cui il diritto alla

privacy è “il controllo sulle informazioni che lo riguardano“.17

La definizione del diritto alla riservatezza come potere di

control over personal information ha incontrato importanti

approvazioni sia nella dottrina che nella giurisprudenza americana. La dottrina ha tuttavia notato che questa impostazione non determina se il diritto dell'individuo al controllo sulle proprie informazioni si estende a tutte o solo ad alcune di esse.18_{L'impostazione qui in esame considera}

poi il diritto alla riservatezza in un'ottica meramente individualistica, basata sull'esaltazione del controllo, e così trascura gli interessi pubblici e privati alla conoscenza dei dati.19

17 489 U.S. 749,763,109 S.Ct. 1468, 1476, (1989), ha osservato testualmente che “control of

information concerning his or her person”.

18 V. Schoeman, Privacy, philosophical dimension of the literature, cit., 3.

19 Karas, Privacy, identity, databases, cit., 410, ha osservato che la tesi prodotta da Westin e seguita da altri “while extolling the rigth to control one's information, it overlooks the often legitimate reasons for others interest in that information”.

(22)

1.2 Primi passi verso la riservatezza in Europa.

Determinare una data di nascita con cui specificare l'emergere del desiderio per una tutela legale della riservatezza nella tradizione giuridica moderna in Europa non è cosa semplice.

La concezione europea di privacy quale diritto fondamentale della persona trae, con ogni probabilità, origine da ragioni di carattere storico. Se si considera, infatti, che gli Stati Uniti d’America non hanno mai sperimentato la dittatura quale forma di governo, non pare si possano nutrire dubbi sul fatto che l’esperienza dei regimi nazi-fascisti del novecento abbia contribuito a rafforzare l’intensità con la quale, in Europa, viene avvertita l’esigenza di una forte tutela della sfera privata individuale. D’altronde, la manipolazione dei dati personali “sensibili” a fini politici (si pensi alla razza, al credo religioso, all’affiliazione sindacale come pure all’orientamento sessuale) quale strumento per l’attuazione di una politica repressiva o razzista ha rappresentato una prassi generalizzata in seno a numerosi regimi autoritari europei. Basterà ricordare, nel caso dell’Italia, l’emanazione delle leggi razziali.

(23)

un controllo delle informazioni sui cittadini da parte degli Stati: il vero problema, in tale contesto, non erano tanto gli articoli diffamatori della stampa, ma più che altro la volontà del potere e dello Stato di conoscere la comunicazione interpersonale. Emblematico è il caso della Stasi,20_il

“Ministero per la sicurezza dello Stato”, la principale organizzazione di sicurezza e spionaggio della Germania Est, durata fino al 1990: la posta veniva letta ad ogni individuo, tutti avevano il telefono sotto controllo, le pareti degli appartamenti celavano talvolta sofisticati sistemi di ascolto, venivano spiate anche le informazioni più personali e sensibili, come le cartelle cliniche. La menzogna e la calunnia erano armi usuali. Tutti sospettavano di tutti. La dottrina europea, dunque, ha iniziato a considerare la privacy non più legata agli aspetti tradizionali della riservatezza, intesa cioè come diritto ad essere lasciati soli, ma anche come pretesa di controllo sui propri dati personali.21_{Basti pensare che in Europa, quando il concetto}

è stato preso in considerazione dalle istituzioni, si è preferito utilizzare l'espressione Data Protection (protezione dei dati), concentrando l'attenzione proprio su quell'aspetto 20 Ministero per la sicurezza dello Stato.

(24)

di controllo dei propri dati evidenziato da A. Westin nel suo trattato.

La mancanza di una qualsiasi regolamentazione relativa al trattamento dei dati personali, spinse alcuni Stati europei (tra cui Svezia, Rep. Federale tedesca, Spagna, Austria, Danimarca, Norvegia e Francia) ad emanare le prime leggi nazionali in materia, le quali però si rivelarono presto disomogenee e incomplete, tanto da spingere il legislatore europeo ad intervenire.

Il primo atto ufficiale in materia di tutela della privacy e protezione degli individui rispetto al trattamento dei dati di carattere personale, è stata la Convenzione di Strasburgo n° 108 fra gli Stati membri del Consiglio d’Europa, stipulata il 28 Febbraio 1981.22_{Il nostro Legislatore ha ratificato e reso}

interamente esecutivo tale atto con legge 21 Febbraio 1989 n° 198.

La Convenzione riconosceva e garantiva nell’ambito dei Paesi contraenti il rispetto dei diritti e delle libertà fondamentali di ogni persona fisica ed in particolar modo il diritto alla vita privata nei confronti dell’elaborazione automatica dei dati di carattere personale. La Convenzione 22 Convenzione Europea per la salvaguardia dei diritti dell'uomo, n. 108 del 28 gennaio 1981, Strasburgo.

(25)

voleva porre nel giusto equilibrio la libertà di circolazione di dati con la tutela della riservatezza della persona.

La nozione di «vita privata» elaborata dalla giurisprudenza della Corte di Strasburgo è stata una nozione ampia, non soggetta ad una definizione esaustiva che comprende l’integrità fisica e morale della persona e può, dunque, includere numerosi aspetti dell’identità di un individuo.

Il diritto al rispetto della «vita privata» implica che ciascuno possa stabilire, in sostanza, la propria identità.

L’identità di un individuo è data dall'intreccio di diversi aspetti e si caratterizza di molteplici elementi. I vari aspetti sussunti nel termine privacy riguardano il diritto al nome,23

all'immagine,24_{all'identità personale, alla riservatezza, alla}

reputazione, all'onore.

L'affermazione del diritto al rispetto della vita privata è stato consacrato dall'art. 8 della Convenzione Europea per la salvaguardia dei diritti dell'uomo e delle libertà fondamentali, che la Corte ha impiegato non solo per colpire incriminazioni penali ed intercettazioni telefoniche illegittime, ma anche una serie di interferenze nell'organizzazione della vita familiare ed affettiva delle 23 Sentenza del 5 dicembre 2013, V sez., Henry Kismoun contro Francia, in tema di cambiamento

del cognome e del nome delle persone fisiche.

(26)

persone. Anche nel codice penale iniziarono a rinvenirsi alcune previsioni attuative del diritto alla privacy (introdotte dalla L. 8 aprile 1974, n. 98): l'art. 615-bis puniva chiunque, mediante l'uso di strumenti di ripresa visiva o sonora, si procurava indebitamente notizie o immagini attinenti alla vita privata svolgentesi nell'abitazione altrui o privata dimora, e l'art. 617-bis vietava, fuori dai casi stabiliti dalla legge, di installare appartai o strumenti al fine di intercettare od impedire comunicazioni o conversazioni telegrafiche o telefoniche tra altre persone.

L'Europa, dunque, ha provveduto a tutelare concretamente i principi fondamentali della persona soprattutto per via giurisprudenziale.

Tuttavia il merito della consacrazione formale dei diritti umani all’interno dei testi normativi comunitari è stata possibile soprattutto grazie alla nascita dell’Unione europea nel 1993 per mezzo del Trattato di Maastricht. Quest’ultima, dopo aver sviluppato il principio del rispetto dei diritti fondamentali attraverso la giurisprudenza della Corte ed aver consacrato lo stesso nell’art. 6 TUE, si è finalmente dotata di uno strumento autonomo di rilevazione di quei diritti, adottando nel 2000 la ‘Carta dei diritti fondamentali

(27)

dell’Unione europea’ (Carta di Nizza) che rappresenta un punto di riferimento essenziale per l’inquadramento ‘costituzionale’ del diritto alla privacy in Europa. Nella Carta, trova tutela non solo il più generico diritto al rispetto della vita privata, ma anche il più specifico diritto alla protezione dei dati personali.25_{La distinzione tra questi due diritti,}

come notato brillantemente da Rodotà, è data dal fatto che «nel diritto al rispetto della vita privata e familiare si manifesta soprattutto il momento individualistico, il potere si esaurisce sostanzialmente nell’escludere interferenze altrui: la tutela è quindi statica e negativa. La protezione dei dati, invece, fissa regole sulle modalità del trattamento dei dati, si concretizza in poteri di intervento: la tutela è dinamica, segue i dati nella loro circolazione».26_Il

riconoscimento e l'affermazione del diritto alla protezione dei dati personali nella Carta di Nizza rappresenta il compimento di una lunga e non facile evoluzione normativa che ha avuto inizio con l'emanazione della direttiva 95/46/CE e che ha inaugurato un vero e proprio modello europeo, 25 Questo è ciò che differenzia la Carta di Nizza dalla CEDU. Anche la CEDU tutela la vita privata e familiare in modo espresso (art. 8), ma, differentemente dalla Carta di Nizza, non contiene un esplicito e specifico riferimento alla tutela dei dati personali, cosicché la protezione di quest’ultimi può essere garantita solo tramite la giurisprudenza estensiva della Corte di Strasburgo. 26 S. Rodotà, Tra diritti fondamentali ed elasticità della normativa: il nuovo Codice sulla privacy, in Europa e diritto privato, 2004, pag. 3.

(28)

distinguendosi nettamente da quello statunitense.27

Con la direttiva del Parlamento europeo e del consiglio n. 95/46/CE, la Comunità europea non ha soltanto introdotto un complesso sistema di regole che devono governare i trattamenti, anche non automatizzati, di dati personali; la direttiva 95/46/CE che viene anche definita “Direttiva madre”, dal momento che costituisce il testo di riferimento – a livello europeo – in materia di protezione dei dati personali, ha fissato limiti precisi per la raccolta e l'utilizzazione dei dati personali, ha chiesto inoltre a ciascuno Stato membro di istituire un organismo nazionale indipendente incaricato della protezione di tali dati, portando così alla nascita delle Autorità nazionali di protezione dati.28

L’obiettivo principale della direttiva è stato quello di trovare un equilibrio tra il rispetto del diritto alla vita privata e la libera circolazione dei dati tra gli Stati membri. Si è trattato di una direttiva di armonizzazione finalizzata a fissare i principi comuni in materia di protezione dei dati al fine di garantire una normativa uniforme all'interno dell'Unione Europea, principi e regole che gli Stati membri devono 27 S. Rodotà, Libertà personale. Vecchi e nuovi nemici, cit., pag. 52 “immerge il corpo elettronico piuttosto nel fluire delle relazioni di mercato” .

(29)

recepire all'interno delle normative nazionali. La direttiva ha introdotto il concetto che un elevato livello di protezione delle persone nel trattamento dei dati personali che li riguardano è condizione essenziale per consentire la libera circolazione di tali dati all'interno dei Paesi dell'Unione, ed ha quindi disciplinato i vari aspetti: le condizioni di liceità del trattamento, le regole di sicurezza, il regime di alcune categorie di informazioni (dati sensibili), le condizioni per la trasmissione di dati all'esterno dell'UE.

1.3 La vita privata nella Costituzione italiana.

Nell'ordinamento giuridico italiano le prime decisioni giurisprudenziali che affrontano il problema dell'esistenza o meno del diritto alla riservatezza risalgono agli anni Cinquanta, periodo in cui comincia ad affermarsi una più ampia libertà degli organi di stampa. Nel 1956 la Corte di Cassazione29_{ha affermato che “non esiste nel nostro}

ordinamento positivo un generale diritto alla riservatezza o privatezza”, che “nessuna disposizione di legge autorizza a 29 Cass. 22 dicembre 1956, n. 4487, in Giur. it., 1957, I, 1, 366, resa in riferimento a Trib. Roma, 14 settembre 1953, in Foro it., 1954, I, 115 – con nota critica di G. Pugliese, Il preteso diritto

alla riservatezza e le indiscrezioni cinematografiche – e ad App. Roma 17 maggio 1955, in Foro. it., 1956, I, 793. Cfr. C. Cossu, Dal caso Soraya alla nuova legge sulle tutela della riservatezza, in Contr. Impr., 1998, 49 ss.

(30)

ritenere che sia stato sancito, come principio generale, il rispetto assoluto all'intimità della vita privata” e che “il semplice desiderio del riserbo non è stato ritenuto dal legislatore un interesse tutelabile”.30_{La sentenza della}

Cassazione 20 aprile 1963, n. 990, compie tuttavia un'azione introduttiva di rilievo ai fini di questa tutela, non si pronuncia esplicitamente sul riserbo ma riconosce che l'art. 2 della Costituzione tutela un “diritto erga omnes alla libera autodeterminazione”, che, seppur non costituendo un diritto al riserbo vero e proprio, trova un primo fondamento nella Carta Costituzionale.31_{L'art. 2 riconosce e garantisce i}

diritti inviolabili dell'uomo sia come singolo, sia nelle formazioni sociali dove svolge la sua personalità.32_Accanto

ai diritti dell'individuo, che tendono ad assicurare condizioni minime e decorose di esistenza (ad esempio, il diritto al lavoro o alla salute), nascono altri diritti rivolti 30 In dottrina, conf. G. Pugliese, Il preteso diritto alla riservatezza, cit., 119. Contra A. De Cupis,

Il diritto alla riservatezza esiste, in Foro it., 1954, IV, 89 e Id., I diritti della personalità, in Tratt. dir. civ. e comm., diretto a A.Cicu e F. Messineo, Mengoni, Milano, 1982, 283 ss. e in Riservatezza e segreto, in Noviss. dig. it., XVI, Torino, 1969, 120.

31 Cass., 20 aprile 1963, n. 990, cit., secondo cui la violazione del diritto alla libera autodeterminazione doveva essere accertata dal giudice caso per caso. Nello stesso senso v. anche Cass., 29 ottobre 1963, n. 2878, in Giust. civ.,1963, I, 2520, nella cui massima si osserva che “non esiste nel nostro ordinamento un diritto alla riservatezza ma soltanto un diritto alla libertà di autodeterminazione nello svolgimento della personalità”.

(31)

all'affermazione di una persona più emancipata e libera dal bisogno materiale, come il diritto alla privacy, all'identità sessuale: diritti non menzionati dalla Costituzione, ma considerati quasi del tutto alla pari dei diritti di libertà.

La persona, dunque si colloca al vertice dei valori riconosciuti dall'ordinamento giuridico: è questo il principio

personalista, presente in tutte le Costituzioni dei Paesi

democratici.

Tra le altre disposizioni che accennano un richiamo seppur implicito al diritto in questione, si possono rinvenire l'art. 13 che riconosce la libertà personale come un diritto inviolabile dell'individuo, diritto che nasce con la persona e pertanto non è concesso, ma soltanto riconosciuto e tutelato dallo Stato. Libertà che deve essere intesa come il diritto di ogni persona a non subire imposizioni che impediscano o limitino le sue azioni o i suoi movimenti.

L'art. 14 che nel sancire l'inviolabilità del domicilio attribuisce rango costituzionale al principio secondo cui «

my home is my castle »33_{proteggendo l'ambiente privilegiato}

in cui l'individuo esplica la propria vita privata escludendo la presenza di estranei.

33 Sir Edward Coke, in The Institute of Laws of England, 1628, ha scritto testualmente che “for a man's house is his castle”.

(32)

Particolarmente importante, risulta l'art. 15 ai termini del quale: “la libertà e la segretezza della corrispondenza e di ogni altra forma di comunicazione sono inviolabili”: i concetti di libertà e segretezza della corrispondenza sono strettamente interconnessi, poiché un'effettiva libertà di comunicazione deve necessariamente accompagnarsi alla garanzia della riservatezza del suo contenuto. La segretezza di ogni forma di corrispondenza e di comunicazione è ampiamente tutelata per consentire ad ogni persona di trasmettere il proprio pensiero solo a chi desidera, senza che estranei posano venirne a conoscenza. Tale libertà è infatti espressione del più ampio diritto alla riservatezza. Infine, l'art. 21 che sancisce la libertà di manifestazione del pensiero, quale fondamento di ogni sistema democratico basato sul pluralismo ideologico, che garantisce ad ognuno di esprimere le proprie opinioni, di diffonderle e di farne propaganda. La libertà di manifestazione del pensiero non va intesa solo come riconoscimento del diritto di esprimere liberamente le proprie opinioni, ma anche come diritto al silenzio (ossia diritto di non esternare ciò che si pensa), come diritto di utilizzare ogni mezzo tecnico per diffondere il proprio pensiero e come libertà di informare (cioè di

(33)

diffondere liberamente notizie) e di essere informati.

L'assenza di una previsione nel testo costituzionale di un diritto alla riservatezza, non è dovuta ad un interesse recente per la tutela della sfera privata, la ragione di tale omissione è piuttosto rinvenibile nell'arretratezza dei Costituenti nell'affrontare alcuni problemi reali34_{e nella}

mancanza di esperienza rispetto ai nuovi strumenti che andavano diffondendosi e che avrebbero condizionato per sempre la vita di ogni individuo.

1.4 I primi tentativi di una configurazione dottrinale

e giurisprudenziale in Italia: dai diritti della

personalità al diritto alla riservatezza.

Da quanto sin qui richiamato emerge chiaramente la difficoltà di fornire una definizione di privacy. Si tratta di un diritto che proprio per la sua intrinseca complessità non ha trovato immediatamente riconoscimento in Italia.

Il dibattito sull'esistenza nel nostro ordinamento di un diritto alla Privacy/Riservatezza e’ rimasto sopito per tutto l’inizio secolo a causa del forte ritardo nello sviluppo economico.

34 A. Barbera, Principi fondamentali. Art. 2, in Branca G., Comm. Cost., Zanichelli, Bologna e Roma, 1975.

(34)

Il primo a proporre una teoria dell'interesse al riserbo è stato Ferrara Santamaria, che nel 1937 lo ha definito come “un diritto contro le indiscrezioni e curiosità altrui; una sorta di diritto all'inedito, applicato alla sfera di intimità della persona, ed escludente in vario grado l'ingerenza di estranea conoscibilità e pubblicità, oltre i limiti imposti da ragioni di ordine pubblico”.35_{Altri ancora hanno definito}

l'interesse al riserbo come: “diritto a veder rispettato «il sacrario della vita privata»”;36_{“diritto alla segretezza della}

propria vita privata”;37_{“diritto di essere lasciati soli”.}38_Altri

hanno parlato di diritto alla riservatezza e l'hanno definita “come quel modo di essere della persona il quale consiste nella esclusione dall'altrui conoscenza di quanto ha a riferimento la persona medesima”.39

La questione relativa al tema della privacy, nel sistema giuridico italiano, iniziò a sentirsi intorno il 1950 quando, in 35 F. Santamaria, Il diritto alla illesa intimità privata, in Riv. dir. Priv. , 1937, I, 168.

36 Ondei, Esiste un diritto alla riservatezza?, in rass. dir. cinem., 1955, 66.

37 C. E. Traverso, Riservatezza e diritto al rispetto della vita privata, nota a Cass. 20 aprile 1963, n. 990, in Riv. dir. ind., 1963, II, 30. traverso ha sostenuto che “il diritto alla segretezza difende la persona contro le attività di terzi, rivolte a venire a conoscere, scoprire, violare la sfera della vita privata” mentre “il diritto alla riservatezza difende la persona dalla divulgazione di notizie sue private, legittimamente acquisite dal divulgatore”.

38 Rescigno, Il diritto di essere lasciati soli, Napoli, 1964, 494.

39 De Cupis, I diritti della personalità, in Trattato di diritto civile e commerciale, Giuffrè, Milano, 1982, 326.

(35)

previsione della riforma del codice civile, diversi giuristi italiani cominciarono a mostrare interesse al tema della “riservatezza”, collocandolo all'interno dei diritti della persona. Venne così a crearsi un dibattito dottrinale incentrato soprattutto sulla mancanza di una forma esplicita e di portata generale che si ponesse a fondamento giuridico del sopraddetto diritto.

In questo clima di incertezze e di mancanze normative, il ruolo che ricoprì la giurisprudenza, nell'affermazione del diritto alla riservatezza come situazione giuridica autonoma, fu decisivo.

Tra le sentenze più importanti possiamo ricordare quella relativa al caso Caruso,40_{al caso Petacci}41_{e in particolare la}

vicenda Soraya.42

E' proprio con il caso Soraya che il diritto alla riservatezza ottenne pieno riconoscimento dalla giurisprudenza italiana. I giudici della Corte Costituzionale individuarono, infatti, un 40 La controversia relativa al caso Caruso ha riguardato la realizzazione di due film, “Enrico Caruso leggenda di una voce” e “Il grande Caruso”, che raccontavano la vita intima del tenore. 41 La controversia relativa al caso Petacci ha invece riguardato la pubblicazione della vicenda

amorosa tra la Petacci e Mussolini su un periodo: v. al riguardo Trib. Milano, 24 settembre 1953, cit; App. Milano, 21 gennaio 1955, cit; Trib. Milano, 12 novembre 1959, cit; App. Milano, 26 agosto 1960, cit.; Cass., 20 aprile 1963, n. 990, in Foro it., 1963, I, 887.

42 Il caso riguardava una delle controversie instaurate dalla principessa Soraya Esfandiari contro alcuni giornali che avevano pubblicato delle fotografie realizzate con teleobiettivo che la ritraevano in atteggiamenti intimi con un uomo nelle mura della sua abitazione.

(36)

duplice fondamento del diritto di privacy, uno implicito e l’altro esplicito. Quello implicito venne individuato “in quel complesso di norme ordinarie e costituzionali che, tutelando aspetti peculiari della persona, nel sistema dell’ordinamento sostanziale, non possono non riferirsi anche alla sfera privata di essa”. Quello esplicito, invece, venne fissato “in tutte quelle norme, contenute in modo particolare in leggi speciali, nelle quali si richiama espressamente la vita privata del soggetto o addirittura la riservatezza”.43

Le disposizioni richiamate dal Supremo Collegio a sostegno della sua rivoluzionaria decisione, furono molte tra cui gli art. 2, 3, 14, 15, 27, 29 e 41 Cost. ed anche alcune normative internazionali. A tal proposito bisogna ricordare che questa importante pronuncia, è stata preceduta da una sentenza della Corte costituzionale in cui veniva affermato che tra i diritti inviolabili sanciti dall’art. 2 cost., insieme al diritto all’onore, al decoro e alla reputazione, rientrasse anche il diritto alla intimità e alla riservatezza. «In questa prospettiva l’art. 2 Cost. non è più una formula riassuntiva dei diversi diritti della persona costituzionalmente riconosciuti, ma una clausola generale attraverso la quale operare il continuo 43 F. Carigliano, A. Benvegnù, F. Paruzzo, Diritto dell'internet, Primiceri, 2016.

(37)

adeguamento delle garanzie giuridiche alle sempre nuove esigenze di tutela della persona».44

E' proprio con l'avvento delle nuove tecnologie che il quadro inizia ad arricchirsi. Nel concetto di privacy non si riflette più soltanto il classico tema della sfera privata contro le invasioni provenienti dall'esterno, in esso si realizza infatti un importantissimo cambiamento qualitativo, che ci induce a considerare le problematiche legate alla privacy nel quadro dell'attuale organizzazione del potere, di cui le nuove tecnologie dell'informazione rappresentano la componente principale. La tutela dell'interesse della persona a essere lasciata sola, proposta da Warren e Brandeis e riproposta in Italia da De Cupis, non soddisfaceva più l'esigenza di riserbo della persona nella nuova era dell'informatica. Nel 1974, Rodotà ha scritto che “non è più possibile considerare i problemi della privacy solo seguendo il pendolo tra riservatezza e divulgazione; tra l'uomo prigioniero dei suoi segreti e l'uomo che non ha nulla da nascondere; tra la casa fortezza che glorifica la privacy e favorisce l'egocentrismo, e la casa vetrina, che privilegia gli scambi sociali”45_{: ed ha proposto di adottare}

44 S. Niger, Le nuove dimensioni della privacy:dal diritto alla riservatezza alla protezione dei

dati personali, Cedam, 2006.

(38)

una nuova visione di privacy data dal passaggio di una privacy negativa e individualistica ad una impostazione di privacy collettiva e positiva”.46

Dopo Rodotà, la dottrina italiana ha iniziato a considerare l'interesse verso la privacy non più solamente come diritto ad essere lasciato in pace e caratterizzato dall'atteggiamento di seclusion, ma come pretesa di un diritto che investe la libertà del cittadino di controllare le informazioni che egli stesso ha fornito al raccoglitore.47

Nel contesto giuridico internazionale, da tempo, l’espressione più usata al posto di privacy è data protection, “per sottolineare che non si tratta di stare chiusi nel proprio mondo privato, al riparo da sguardi indiscreti, ma anche di potersi proiettare liberamente nel mondo attraverso le proprie informazioni, mantenendo però sempre il controllo sul modo in cui queste circolano e vengono da altri utilizzate”.48_{L’ordinamento italiano, seppur in forte ritardo}

rispetto agli altri ordinamenti giuridici europei, si è dotato di una specifica disciplina in materia di privacy – ossia in materia di protezione dei dati personali – con il D.Lgs. n. 196 del 30 giugno 2003, denominato Codice sulla protezione dei 46 S. Rodotà, La «privacy» tra individuo e collettività, cit., 551.

47 S. Rodotà, Privacy e Costituzione della sfera privata. Ipotesi e prospettive, in Pol. Dir., 1991. 48 S. Rodotà, Intervista su Privacy e libertà, cit., pag. 19.

(39)

dati personali. Il Codice rappresenta il frutto di un lungo processo normativo che ha avuto inizio a partire dagli anni ottanta con una serie di progetti, e che ha avuto come tappa fondamentale l’emanazione della legge 31 dicembre 1996 n. 675.

Il Codice sulla protezione dei dati personali si presenta come un’opera di sistemazione e di armonizzazione delle norme vigenti in materia di protezione dei dati personali. Esso, infatti, va a compendiare la legge fondativa (31-12-1996, n. 675), i decreti legislativi recanti “disposizioni integrative” o “correttive” di quella legge. La logica del Codice non è solo ed esclusivamente una logica riproduttiva, quest'ultimo apporta non pochi elementi di novità sotto il profilo contenutistico, il più importante fra questi è rappresentato dall’introduzione della figura del “diritto alla protezione dei dati personali”, non menzionata nella legge n. 675/1996, ed invece espressamente disciplinata negli art. 1 e 2 del Codice.49

49 R. Acciai, Il diritto alla protezione dei dati: la disciplina sulla privacy alla luce del nuovo

(40)

1.5 Le prime leggi degli anni '70: lo Statuto dei

lavoratori.

In materia di lavoro è stata, senza dubbio, la fonte normativa più importante nel nostro ordinamento dopo la Costituzione, che ha fissato i principi fondamentali della materia. La legge ha accolto le motivazioni essenziali del progetto lanciato dal Congresso di Napoli della CGIL, del novembre 1952, quando per la prima volta G. Di Vittorio sollecitò l’approvazione di uno «Statuto dei diritti dei lavoratori». L'esigenza di una tutela più ampia e incisiva del diritto alla riservatezza, mirata a porre una barriera al problema dell'indiscrezione nella vita privata altrui, accentuato dal continuo progresso tecnologico che ha reso molto più agili le interferenze e più deboli gli argini, costituite dalle sole mura di casa, ha condotto la legislazione a intervenire disciplinando i differenti aspetti del problema. La privacy deve essere garantita all'individuo non soltanto come soggetto isolato, ma anche quando egli viene a trovarsi parte di un gruppo e quindi costretto a condividere parte del suo tempo con altri.

La volontà del legislatore, infatti, è stata proprio quella di proteggere il prestatore come parte più debole del rapporto

(41)

di lavoro, nella tradizionale linea di sviluppo del diritto del lavoro, permeata dall’esigenza di salvaguardare la pace sociale e l’ordinato perseguimento dell’unitario fine produttivo dell’organizzazione imprenditoriale.

A tale scopo, dunque, il legislatore ha dettato il primo riconoscimento del diritto alla privacy nel sistema giuridico italiano con la legge 20 maggio 1970 n. 300 recante “Norme sulla tutela della libertà e dignità dei lavoratori, della libertà sindacale nei luoghi di lavoro e norme sul collocamento – Statuto dei lavoratori”. Quello che era stato definito e ritenuto un diritto tipico della borghesia entra nel nostro ordinamento giuridico con una legge che nasce per la pressione e la tutela della classe operaia.50

La legge si articola in 6 titoli, che racchiudono norme dirette a salvaguardare la personalità fisica e morale del dipendente, e inoltre, pongono una serie di divieti a carico del datore di lavoro e di limiti all'esercizio del suo potere direttivo e di controllo.

Vanno, anzitutto, menzionate le due norme di carattere generale poste a tutela del principio di libertà del lavoratore, e precisamente:

• l' art. 1 che riconosce il diritto dei lavoratori di 50 S. Rodotà, Intervista su privacy e libertà, Laterza, 2005, pag.25 .

(42)

manifestare liberamente il proprio pensiero, senza distinzione di opinioni politiche, sindacali e di fede religiosa, nei luoghi di lavoro, nel rispetto dei principi della Costituzione e dello Statuto dei lavoratori.

• L'art. 8, completando il principio posto all'art. 1, vieta al datore di lavoro, ai fini dell'assunzione e nel corso del rapporto, di effettuare indagini, anche tramite terzi, sulle opinioni politiche, religiose o sindacali del lavoratore, nonché sui fatti non rilevanti ai fini della valutazione della sua attitudine professionale.

Tale norma è diretta ad assicurare la libertà del lavoratore e ad impedire ogni tipo di discriminazione attraverso la spersonalizzazione del rapporto di lavoro, caratterizzato dall'irrilevanza di fatti e comportamenti personali, abitudini di vita, profili morali o ideologici, estranei allo svolgimento della prestazione lavorativa.

Per quanto concerne gli ulteriori limiti posti dallo Statuto dei lavoratori va ricordato l'art. 4 che pone il divieto della sorveglianza a distanza, cioè il controllo mediante impianti audiovisivi (es: televisioni a circuito chiuso) o altre apparecchiature. L' impiego di tali strumenti è consentito solo per comprovate esigenze organizzative e produttive o

(43)

per motivi di sicurezza, previo accordo con le rappresentanze sindacali aziendali (RSA o RSU). Oltre al controllo mediante l'utilizzazione di apparecchi audiovisivi a circuito chiuso il legislatore fa riferimento ad “altre apparecchiature” predisposte per controllare a distanza. In tal modo è stato definito illegittimo il cosiddetto «controllo in cuffia», ossia il controllo effettuato, mediante l'inserimento, improvviso e senza mettere al corrente il lavoratore, di un controllore nella conversazione del centralinista con l'utente.51

Il potere di direzione dell'imprenditore, dunque, non può spingersi fino a controllare sempre ed in ogni istante, l'operato dei suoi dipendenti, e deve trovare un limite nel rispetto della dignità dei lavoratori e della loro riservatezza. Un discorso a parte merita il controllo esercitabile tramite i computer poiché in tal caso l'operatore vede immagazzinati tutti i dati relativi al suo lavoro, come il suo codice di accesso, le interruzioni, la frequenza d'uso della macchina e cosi via. Il computer infatti può essere considerato come un tipico caso di tecnologia elettronica «sporca», ossia tale da lasciare dopo l'uso, una intensa scia di informazioni individuali.

(44)

1.6 Il lungo iter per l'approvazione della prima

disciplina in materia: la legge 31 dicembre 1996 n.

675.

Con l'introduzione nel nostro ordinamento della legge n. 675 del 31 dicembre 1996 si è assistito a un salto di qualità sulla via della tutela della riservatezza della persona in un momento in cui la raccolta e la circolazione dei dati personali hanno raggiunto notevoli livelli di perfezione e innovazione tecnologica. Le innumerevoli opportunità offerte dall'informatica, dalla tecnologia digitale e dall'introduzione delle reti hanno reso necessaria una disciplina dettagliata e precisa circa le modalità con cui vengono trattati e raccolti i dati personali di persone, enti, società eccetera.

Con il nuovo testo normativo il formante legislativo ha dato nuovo impulso alla dinamica evolutiva del concetto di privacy, finora frutto esclusivo dell'elaborazione di dottrina e giurisprudenza. La legge 675/96 ha avuto una duplice importanza, riuscendo a positivizzare due figure di creazione pretoria, quali il diritto alla riservatezza e l'identità personale. Inoltre, attraverso il richiamo ai diritti e alle libertà fondamentali e alla dignità della persona, la suddetta

(45)

legge segna il punto di arrivo degli sforzi di dottrina e giurisprudenza atti a dimostrare che si tratta di aspetti qualificanti dell'esistenza umana e pertanto bisognosi di tutela.52_{Accanto a questi due aspetti della personalità, salta}

in rilievo per la prima volta un diritto “ai propri dati”, un potere giuridico del soggetto sui dati che lo riguardano, acquisito tramite il consenso, che però può considerarsi pieno soltanto con riferimento al trattamento dei dati sensibili a causa delle numerose deroghe al principio.

La legge 675/96 ha trovato le sue radici nell'art. 4 della Convenzione di Strasburgo n. 108/1981,53_{sulla protezione}

delle persone rispetto al trattamento automatizzato di dati di carattere personale, e nella direttiva comunitaria n. 95/46/CE, relativa alla tutela delle persone fisiche con riguardo al trattamento dei dati personali, nonché alla libera circolazione di tali dati”, in attuazione dell'Accordo di Schengen del 1985.54

52 A. Clemente, Privacy, Padova, 1999.

53 La Convenzione è stata adottata a Strasburgo il 28 gennaio 1981 e ratificata dall'Italia con legge 21 febbraio 1989, n. 98.

54 L'accordo di Schengen, firmato il 14 giugno 1985 e la sua relativa Convenzione di applicazione siglata il 19 giugno 1990, hanno creato uno spazio di libera circolazione delle persone abolendo i controlli alle frontiere interne degli Stati membri ed instaurando il principio di un controllo unico al momento dell'ingresso nel territorio dei paesi aderenti. L'abolizione dei controlli alle frontiere, potendo comportare un abbassamento del livello generale di “sicurezza”, è stata compensata dalla creazione di un sistema integrato di scambi di

(46)

Il nuovo corpo normativo che, come abbiamo detto, non riguarda soltanto la riservatezza o dignità o identità personale, bensì anche la corretta circolazione dei dati personali, è stato battezzato come “statuto dell'informazione”,55_{poiché destinato a proteggere}

l'individuo dagli effetti negativi derivanti dalla propagazione di notizie che lo riguardano.

La legge n. 675 protegge in sostanza la personalità dell'individuo rispetto al potere informatico e costituisce l'espressione del “nuovo” istituto della “libertà informatica”, intesa come libertà dall'informatica e dunque come diritto del singolo di controllare la circolazione delle informazioni che lo riguardano, e dell'informatica, nel senso di legittima pretesa a raccogliere informazioni tramite procedimenti informazioni fra gli Stati membri, denominato sinteticamente SIS; tale sistema costituisce un archivio comune a tutti i paesi aderenti allo spazio comune nel quale vengono centralizzate due grandi categorie di informazioni: quelle relative alle persone ricercate o poste sotto sorveglianza e quelle relative ai veicoli o agli oggetti ricercati. La creazione di tale nuovo enorme archivio ha imposto la previsione di idonee misure a protezione della vita privata delle persone, che sono state indicate nell'adozione, in ogni Stato membro di una legge sulla protezione dei dati (art. 117 e 126 della Convenzione) e nell'istituzione di un'autorità di controllo comune (ACC), composta di rappresentanti delle autorità per la protezione dei dati personali nazionali. L'Italia aveva aderito al “Sistema Schengen” con la legge di ratifica 30 settembre 1993, n. 388, ma i numerosi adempimenti necessari, ne hanno impedito per un certo tempo l'ingresso a pieno titolo, realizzatosi poi solo il 1° aprile 1998.

55 G. Alpa, La normativa sui dati personali. Modelli di lettura e problemi esegetici, in Dir. Inf., 1997.

(47)

meccanizzati.56_{La legge in esame, insomma, protegge non}

già il dato in quanto tale, ma, attraverso la protezione del dato, la persona nella sua unicità.

Le novità più rilevanti della legge sono, anzitutto, la previsione della figura del Garante per la protezione dei dati personali nonché la delega legislativa contenuta prima nella legge n. 676/199657_{e poi nella legge 127/2001 che ha}

permesso al Governo, negli anni successivi, di intervenire in senso correttivo per garantire una piena aderenza alle mutate esigenze di protezione.58

La legge ha, inoltre, introdotto per la prima volta in Italia il principio per cui la riservatezza delle persone fisiche e giuridiche rappresenti un diritto assoluto e inviolabile meritevole di tutela attraverso la comminazione di sanzioni penali, civili e amministrative e perseguita attraverso l’uso congiunto degli strumenti del controllo e del consenso cd. informato con quello più limitato dell’autorizzazione; legata poi allo sviluppo della società dell’informazione, si è posto l’obiettivo di fornire al cittadino la possibilità di conoscere le 56 G. Cassano, M. Del Vecchio, Diritto alla riservatezza e accesso ai documenti amministrativi,

Milano, 2001, cit., 77.

57 “Delega al Governo in materia di tutela delle persone e di altri soggetti rispetto al trattamento dei dati personali”.

58 G. Gardini, Le regole dell’informazione. Principi giuridici, strumenti, casi, Mondadori, Milano, 2009.

(48)

informazioni che lo riguardano e in quale banche dati si trovano permettendogli di intervenire e di correggere le informazioni errate e difendere così la sua identità.

(49)

Capitolo II

Disposizioni in materia di dati personali: il

codice della privacy e l'autorità garante.

2.1 Un Testo Unico in materia di privacy: il D.Lgs. n.

196/03.

Il D.Lgs. 30 giugno 2003, n. 196, trae origine dalla previsione, da parte dell'art. 1, comma 4, della legge delega n. 127/2001, dell'emanazione di un testo unico recante disposizioni in materia di privacy, volto ad armonizzare le norme vigenti e ad apportare alle medesime le integrazioni e le modificazioni necessarie al predetto coordinamento e per garantirne la migliore messa in atto.

Spostandoci indietro di qualche anno, si può, in effetti, notare che la legge n. 675/1996 era intervenuta in un momento in cui lo sviluppo delle tecnologie aveva permesso una diffusione dell’utilizzo dell’informatica ad un numero sempre crescente di utenti rispetto al passato. Nei circa sette anni di vigenza, il quadro tecnologico mutò ulteriormente, grazie alle crescenti possibilità telematiche, le nuove tecniche di digitalizzazione nonché le possibilità di

(50)

tracciare i movimenti delle persone incidendo sulla loro libertà di movimento. È proprio per tali ragioni, che la legge del 1996 fu considerata come obsoleta e dunque abrogata dal Codice per la protezione dei dati personali attualmente in vigore.

L'esigenza espressa dalla norma è stata quella di chiarificare e semplificare un corpo normativo ormai complesso, la cui lettura spesso risulta poco fluida e agevole, riunendo in unico testo la L. 675/1996 e gli altri decreti legislativi,54_i

regolamenti e i codici deontologici che si sono succeduti negli anni. Allo scopo di attuare la nuova delega è stata istituita nel 2001, presso il Dipartimento della Funzione Pubblica una commissione di studio composta da vari esperti, incaricata di redigere lo schema del nuovo testo. Il lavoro di ricognizione e l'entrata in vigore nel frattempo di importanti convenzioni e direttive comunitarie, in primis la direttiva n. 2002/58/CE del Parlamento europeo e del Consiglio del 12 luglio 2002, sul trattamento dei dati personali e la tutela della vita privata nel settore delle comunicazioni elettroniche, hanno reso necessario uno 54 D.Lgs. n. 123 del 9 maggio 1197, D.Lgs. n. 255 del 28 luglio 1997, D.Lgs. n. 135 dell’8 maggio 1998, D.Lgs. n. 171 del 13 maggio 1998, D.Lgs. n. 389 del 6 novembre 1998, D.Lgs. n. 51 del 26 febbraio 1999, D.Lgs. n. 135 dell’11 maggio 1999, D.lgs. 281 del 30 luglio 1999, D.Lgs. n. 282 del 30 luglio 1999, D.Lgs. n. 467 del 28 dicembre 2001.