“ Il problema non è la tecnologia, ma l’uso che se ne fa. Ogni cosa comporta dei rischi, l’importante è esserne consapevoli e valutare se il prezzo che paghiamo (meno privacy) è adeguato a quanto riceviamo in cambio”. La citazione di Stefano Nasetti coglie a pieno uno dei principali problemi del mondo contemporaneo sul quale si è innestato, fervido, il dibattito giuridico dell’ultimo secolo. Sin dall’antichità la riservatezza ha assunto un valore autonomo come esigenza di separazione tra vita pubblica e privata. Ancor più oggi, la rivoluzione digitale e il radicamento del linguaggio tecnologico nel mondo reale hanno imposto al legislatore nazionale ed internazionale la necessità di una rivisitazione, ben più puntuale, del tema della protezione dei dati personali. Il termine privacy indica nel lessico giuridico il diritto dell’individuo alla riservatezza dei propri dati e al controllo della diffusione delle notizie che lo riguardano. Il concetto si sviluppò originariamente negli Stati Uniti del XIX secolo interessati, a seguito della Guerra civile, dagli effetti della rivoluzione industriale. La società rurale cambiava radicalmente aspetto. La classe operaia, che lavorava nelle fabbriche, non basava più la propria quotidianità su rapporti di parentela e di vicinato ma viveva la solitudine delle grandi città dove la stampa dei quotidiani prendeva il posto delle relazioni interpersonali diffondendo con rapidità una quantità di informazioni mai vista prima. Non a caso furono gli statunitensi Louis Brandeis e Samuel Warren, nella monografia “The Right of Privacy”, a riconoscere, per primi, il “right to be let alone”, genericamente inteso come il diritto dell’individuo di scegliere, autonomamente, quanto della propria vita dovesse essere reso pubblico o restare tra le mura domestiche per preservare dall’intromissione di terzi una porzione di intimità inviolabile e intrinsecamente connessa al corretto sviluppo della personalità umana. E tuttavia, è in ambito europeo che la privacy si impose come una libertà fondamentale dell’uomo. L’Europa devastata dalle guerre mondiali e dall’esperienza degli stati totalitari, avvertì forte la necessità di limitare lo spazio di controllo dell’Autorità pubblica nella vita del cittadino. Con questo scopo la Convenzione europea dei diritti dell’uomo del 1950 sancì il diritto di ogni persona al rispetto della propria dimensione individuale e familiare vietando ogni forma di ingerenza che non fosse giustificata, per legge, da interessi giudici superiori quali la sicurezza nazionale, il benessere economico e la protezione di salute, morale e libertà. La Germania innervò questa ricostruzione sul diritto naturale. Una sentenza del Bundesgerichtshof del 1954 definì la riservatezza come un diritto basilare della personalità connaturato al valore supremo della dignità umana. Dopo quasi 30 anni, nel 1978, il Land dell’Assia emanò la prima legge nazionale per la protezione dei dati mentre il Consiglio d’Europa, sollecitato dal repentino diffondersi dell’informatica di massa, si affrettò ad adottare, nel 1981, la Convenzione 108 che si impose come un modello per i documenti successivi. Nel 1992 il Trattato di Maastricht e la creazione della Comunità Europea portarono al culmine il processo di integrazione del mercato unico europeo. La libera circolazione delle persone e delle merci nell’area Schengen costrinse all’adozione di una normativa quadro sui dati personali capace di armonizzare le norme nazionali ed evitare forme di polarizzazione tra Stati con regole troppo morbide, tese ad attirare imprese e investitori, e Stati con regole troppo rigide. In questo contesto, nel 1995 fu adottata la Direttiva n. 46 i cui principi, ribaditi dalla Carta dei diritti fondamentali dell’Unione europea del 2007, subordinavano il trattamento del dato a finalità specifiche e determinate in base al consenso espresso della persona interessata cui era riconosciuto, in qualsiasi momento, il potere di accesso e rettifica del dato. Il rispetto delle regole veniva assegnato al controllo di un’autorità statale indipendente da costituirsi su iniziativa dei singoli stati. Con questi presupposti e per l’esigenza di garantire il medesimo livello di diritti, obblighi e responsabilità è stato adottato, nel 2016, il Regolamento europeo per la protezione dei dati personali n. 679 operativo negli Stati membri a partire dal 25 maggio 2018. A differenza delle altri fonti di diritto europee, il regolamento ha portata generale. Esso, senza bisogno di misure di recepimento, è obbligatorio in tutti i suoi elementi prevalendo sulle norme nazionali contrastanti. Il GDPR, definisce il dato personale come qualsiasi informazione che identifica o rende identificabile direttamente o indirettamente una persona fisica. I dati sono distinti in diverse categorie. Dati genetici sono quelli che forniscono informazioni univoche sulla fisiologia e sulla salute di una persona derivando dall’analisi di un suo campione biologico. Dati biometrici, invece, sono quelli ottenuti da un trattamento tecnico specifico e relativo a caratteristiche fisiologiche e comportamentali che consentono o confermano l’identificazione della persona attraverso l’immagine facciale o rilievi dattiloscopici. Dati relativi alla salute, infine, sono quelli desumibili dalla prestazione di servizi di assistenza sanitaria. Accanto a questi dati particolare attenzione viene attribuita dall’ordinamento europeo ai dati sensibili che rivelano l’origine razziale, le opinioni politiche, le convinzioni religiose e l’orientamento sessuale degli individui e ai dati relativi all’inflizione di condanne penali e misure di sicurezza. A dimostrazione della maggiore sensibilità sulla materia, la nuova disciplina intreccia una serie di figure coinvolte a vario titolo nella complessa gestione della tutela della privacy. “Interessato” è la persona fisica titolare del dato il cui primo e più importante diritto è quello del consenso al trattamento inteso come qualsiasi operazione compiuta con o senza l’ausilio di strumenti digitali e per finalità legittime di cui l’interessato deve essere adeguatamente informato. In virtù del principio della minimizzazione, è consentita la raccolta dei soli dati necessari alle finalità accordate i quali vanno conservati non oltre l’arco temporale utile al loro conseguimento. L’interessato può revocare il consenso in qualsiasi momento potendo rivolgersi all’autorità giudiziaria competente o all’Autorità Garante per la privacy ove ritenga che i dati che lo riguardano siano stati trattati in maniera non conforme. Il titolare del trattamento ha la responsabilità di predisporre i mezzi di utilizzazione del dato e le misure tecniche utili alla sua tempestiva cancellazione e rettifica. In caso di giudizio, è suo onere dimostrare di aver impiantato un sistema proporzionato all’impatto negativo che la divulgazione incontrollata delle informazioni avrebbe potuto avere sulle libertà e sui diritti degli interessati. Sotto l’egida del titolare del trattamento, il responsabile della protezione dei dati esegue i compiti di gestione e controllo derivati dalle sue direttive. Senza dubbio, la novità più importante del regolamento è stata l’introduzione del Data Protection Officer, una figura sconosciuta agli ordinamenti nazionali, la cui designazione non è obbligatoria ma circoscritta a tre ipotesi specifiche: i trattamenti effettuati dalle autorità e dagli organismi pubblici, quelli che, per loro natura, richiedono il monitoraggio degli interessati su larga scala ed infine i trattamenti che ineriscono i dati sensibili e le condanne penali. Il D.P.O., godendo di autonomia di spesa, assolve ai propri compiti senza vincoli di mandato. Il suo ruolo è doppio, perché se da una parte fornisce consulenza tecnica e legale al titolare del trattamento dall’altra egli funge da tramite con l’autorità di controllo nell’opera di sorveglianza alla corretta applicazione della normativa vigente.
La complessità delle disposizioni in esame riflette le difficoltà dell’ambizioso progetto europeo di costruire un ordinamento comune. Eppure come il GDPR dimostra, il livellamento degli ordinamenti nazionali è l’unica strada possibile per garantire l’effettiva eguaglianza dei cittadini di tutti gli Stati membri e costruire un’Europa che non sia un concetto meramente formale ma la conseguenza di un percorso realmente condiviso.
Francesca D’Avino
Avvocato