La protezione dei diritti nell’era digitale: tratti essenziali e capisaldi normativi

Lo sviluppo pervasivo, e al tempo stesso invasivo, in termini pandigitali della rete internet nella vita quotidiana rappresenta tra i principali fattori che hanno portato la “questione privacy” al centro del dibattito politico, sociale e giuridico degli ultimi decenni.

Nell'odierna società dell'informazione, inaugurata dall'avvento e dalla diffusione dei calcolatori elettronici, il concetto di privacy è inscindibilmente legato, infatti, a quello di diritto alla protezione dei dati personali, il quale, negli ultimi anni, ha trovato piena consacrazione all'interno di testi normativi di livello nazionale ed internazionale.

Sommario

1. La protezione dei diritti nell’era digitale

2. I capisaldi normativi che tutelano il “diritto alla privacy”

2.1. La Convenzione EDU

2.2. Carta dei Diritti fondamentali dell’Unione europea (c.d. Carta di Nizza)

2.3 Dichiarazione Universale dei Diritti Umani

2.4. Convenzione internazionale sui diritti civili e politici

2.5. Dalla direttiva europea 95/46/CE al nuovo Regolamento europeo

2.6. Legge 31 dicembre 1996, n. 675

2.7. Codice in materia di dati personali, D.lgs. 30 giugno 2003, n. 196

3. I tratti essenziali del diritto alla protezione dei dati personali

4. Il Regolamento Ue n. 2016/679: quadro normativo generale

1. La protezione dei diritti nell’era digitale

L'identificazione del diritto alla privacy con il diritto alla protezione dei dati personali è il punto di approdo di una lunga evoluzione concettuale che, nelle sue varie tappe, ha arricchito di implicazioni e significati nuovi e ulteriori un concetto che si è caratterizzato, e che si caratterizza ancora oggi, per la sua incessante mutevolezza contenutistica e per la capacità di racchiudere in sé una serie di esigenze multiformi.

L'attuale nozione di privacy, intesa come information privacy, è, quindi, l'ultima accezione che la privacy ha assunto dopo che lo sviluppo sociale e tecnologico ha sollecitato, nonché imposto, una rivisitazione dell'antico concetto.

Difatti, precedentemente – prima che la creazione e la diffusione degli elaboratori elettronici permettesse di raccogliere, organizzare e trasmettere una serie indistinta di informazioni personali in modo velocissimo e per i fini più disparati – il diritto alla privacy andava a coincidere con il the right to be let alone di statunitense memoria, il quale attribuiva all'individuo il diritto di essere lasciato solo, in pace, indisturbato; di godere, così, di una sfera riservata e intima al riparo dall'altrui intrusione.

Questa concezione, figlia di un contesto storico e culturale di matrice statunitense, ha trovato piena cittadinanza all'interno del mondo giuridico europeo ed ha dominato fino a quando le esigenze di una società tecnologicamente avanzata non hanno richiesto una sua ridefinizione.

Nel lungo iter evolutivo del diritto alla privacy un ruolo cruciale ha avuto l'opera della giurisprudenza la quale, dinanzi all'incertezza della dottrina e al silenzio del legislatore, ha saputo riconoscere la valenza giuridica delle esigenze di tutela della vita privata, sollecitando così il legislatore nostrano ad abbandonare il suo stato di inerzia ed attivarsi al fine di garantire piena ed effettiva tutela del diritto de quo.

Dopo un lungo e travagliato processo di riconoscimento e di affermazione, l'iniziale diritto ad essere lasciati soli si è trasformato, quindi, nel diritto alla protezione dei dati personali il quale oramai assurge a diritto fondamentale della persona sia all'interno del sistema giuridico nazionale che nell'alveo di quello comunitario.

2. I capisaldi normativi che tutelano il “diritto alla privacy”

2.1 La Convenzione EDU

Partendo dal versante europeo, il primo riferimento è l’articolo 8 della Convenzione europea dei diritti dell’uomo (d'ora in avanti CEDU), nel quale il diritto alla vita privata ha trovato la propria consacrazione.

L’articolo 8, rubricato “Diritto al rispetto della vita privata e familiare”:

al 1° comma testualmente recita che “Ogni persona ha diritto al rispetto della sua vita privata e familiare, del suo domicilio e della sua corrispondenza”;

al 2° comma consente, analogamente alla Costituzione italiana, limitazioni alla tutela della vita privata in ipotesi tassativamente indicate dalla legge e motivate da preminente interesse pubblico, ovvero che “Non può esservi ingerenza di una autorità pubblica nell’esercizio di tale diritto a meno che tale ingerenza sia prevista dalla legge e costituisca una misura che, in una società democratica, è necessaria per la sicurezza nazionale, per la pubblica sicurezza, per il benessere economico del paese, per la difesa dell’ordine e per la prevenzione dei reati, per la protezione della salute o della morale, o per la protezione dei diritti e delle libertà altrui”.

L’articolo 8 della CEDU ha permesso alla Corte europea dei diritti dell'uomo (d'ora in poi Corte EDU) di determinare, e progressivamente ampliare, il significato da ascrivere ai concetti di “vita privata” e “corrispondenza”, gettando le basi per la positivizzazione di un diritto al controllo consapevole su ogni forma di circolazione delle proprie informazioni personali. La nozione, elaborata nell'ambito del Consiglio d'Europa, dalla Convenzione n.108 del 1981 (c.d. Convenzione di Strasburgo), comprende un'articolata enunciazione di principi a cui avrebbero dovuto conformarsi le varie legislazioni nazionali, in modo da assicurare il rispetto del diritto alla privacy degli individui nei confronti di ogni elaborazione di dati concernenti soggetti identificati o identificabili. Il 27 luglio 2004, inoltre, con la sentenza del caso Sidabras vs. Lithuania, la Corte EDU ha dato una interpretazione molto estensiva del diritto alla privacy previsto dall'art. 8 della Convenzione EDU. I giudici di Strasburgo hanno ritenuto, infatti, che la tutela prevista da questo articolo si estenda fino a comprendere il diritto di ciascuno a sviluppare relazioni sociali al riparo da ogni forma di discriminazione o stigmatizzazione sociale, così consentendogli anche il pieno godimento della sua vita privata. La Corte ha, dunque, considerato la complessiva collocazione della persona nella società, affermando che il pieno rispetto della privacy è una condizione per l'eguaglianza e il godimento di diritti fondamentali, come quello al lavoro.

2.2. Carta dei Diritti fondamentali dell’Unione europea (c.d. Carta di Nizza)

Altri riferimenti normativi da considerarsi fondanti per la tutela del diritto alla vita privata in ambito europeo sono gli articoli 7 e 8, Capo II (Libertà) della Carta dei Diritti fondamentali dell’Unione europea (Carta di Nizza).

L’articolo 7, unico comma, intitolato “Rispetto della vita privata e della vita familiare” afferma che “Ogni individuo ha diritto al rispetto della propria vita privata e familiare, del proprio domicilio e delle sue comunicazioni”.

Il significato e la portata dei diritti di cui alla summenzionata disposizione ricalcano mutatis mutandis quelli del corrispondente articolo della CEDU. Per tener conto dell'evoluzione tecnica, il termine «comunicazioni» è stato sostituito con “corrispondenza”. Nei tre commi dell’articolo 8, dal titolo “Protezione dei dati di carattere personale” si asserisce che “1. Ogni individuo ha diritto alla protezione dei dati di carattere personale che lo riguardano. 2.Tali dati devono essere trattati secondo il principio di lealtà, per finalità determinate e in base al consenso della persona interessata o a un altro fondamento legittimo previsto dalla legge. Ogni individuo ha il diritto di accedere ai dati raccolti che lo riguardano e di ottenerne la rettifica. 3.Il rispetto di tali regole è soggetto al controllo di un’autorità indipendente”. L’articolo 8 innalza esplicitamente il livello di protezione dei dati di carattere personale fino a considerarlo un diritto fondamentale nell’ambito del diritto dell’Unione. Le istituzioni dell’UE e gli Stati membri devono rispettare e garantire tale diritto, che vale anche per gli Stati membri nell’attuazione del diritto dell’Unione (articolo 51 della Carta). La Carta, dunque, non solo menziona esplicitamente, all’articolo 8, il diritto alla protezione dei dati, ma fa altresì riferimento ai principi fondamentali della protezione dei dati. Inoltre, al comma 3, garantisce che una Autorità indipendente controlli l’attuazione di questi principi.

2.3 Dichiarazione Universale dei Diritti Umani

Altro importante riferimento normativo del diritto alla privacy è da considerare l’articolo 12 della “Dichiarazione Universale dei Diritti dell’Uomo” che recita: “Nessun individuo potrà essere sottoposto ad interferenze arbitrarie nella sua vita privata, nella sua famiglia, nella sua casa, nella sua corrispondenza, né a lesione del suo onore e della sua reputazione. Ogni individuo ha diritto ad essere tutelato dalla legge contro tali interferenze o lesioni”. Viene qui riconosciuto quel diritto alla riservatezza che non è da intendersi quale sinonimo di diritto all’anonimato o ad essere soli, bensì come diritto a mantenere il controllo sulle proprie informazioni, quale presupposto per l’esercizio di molti altri diritti di libertà. L’articolo 12 della Dichiarazione universale menziona luoghi ed ambiti in cui il diritto alla riservatezza deve essere particolarmente garantito: famiglia, casa, corrispondenza. Il concetto di famiglia è quello definito, poi, all’articolo 16 della stessa Dichiarazione. Il Comitato diritti umani delle Nazioni Unite ha stabilito che per “casa” deve intendersi il luogo in cui la persona risiede o realizza la sua abituale occupazione, e sollecita gli stati a specificare, nei rapporti che sono obbligati a presentargli periodicamente, il significato che nelle rispettive società viene dato anche all’espressione famiglia.

2.4 Convenzione internazionale sui diritti civili e politici

Un altro riferimento di natura giuridica a sostegno del diritto alla privacy lo rintracciamo nell’articolo 17 della “Convenzione internazionale sui diritti civili e politici” che, riprendendo integralmente l’articolo 12 della Dichiarazione, afferma che “1. Nessuno può essere sottoposto ad interferenze arbitrarie o illegittime nella sua vita privata, nella sua famiglia, nella sua casa o nella sua corrispondenza, né a illegittime offese al suo onore e alla sua reputazione. 2. Ogni individuo ha diritto ad essere tutelato dalla legge contro tali interferenze od offese”.

2.5 Dalla direttiva europea 95/46/CE al nuovo Regolamento europeo

Il diritto alla protezione dei dati personali fa ingresso nell’ordinamento comunitario con la Direttiva 95/46/CE, per arricchirsi progressivamente di nuovi atti, fino al Trattato di Lisbona.

Come asserisce Pizzetti, “la Direttiva 95/46/CE è certamente uno dei punti di riferimento cardini in materia di privacy, ritenuta “madre” in materia di protezione dei dati, dimostrandosi un’eccellente “cassetta degli attrezzi”. Tale Direttiva è stata emanata in data 24 ottobre 1995, in materia di tutela delle persone fisiche, con riguardo al trattamento dei dati personali, nonché alla libera circolazione di tali dati. Anche per la sua semplicità di impianto, si è dimostrata uno strumento molto adatto a consentire ai nuovi Paesi, che nel corso degli anni sono entrati a far parte dell’Unione, di adempiere all’obbligo di dotarsi di legislazioni di protezione dati con essa coerenti.

La direttiva intende conciliare la rimozione degli ostacoli alla circolazione dei dati personali, allo scopo di agevolare lo sviluppo del mercato economico interno, con l’esigenza di salvaguardare i diritti fondamentali della persona. Più specificamente, essa muove dalla constatazione della disparità nel livello di tutela del diritto alla vita privata da parte dei vari Stati membri, con conseguenze sulla circolazione dei dati personali nell’esercizio di attività economiche. In sostanza, attraverso la direttiva, l’Unione esprime due obiettivi principali, per certi versi discordanti:

disciplinare il trattamento dei dati personali allo scopo di garantire la tutela dei diritti fondamentali della persona;

non introdurre restrizioni alla libertà di circolazione dei dati personali.

Nell’analisi svolta da autorevole dottrina, si rileva l’insufficienza della base giuridica utilizzata dall’Unione, solo parzialmente coerente con gli obiettivi dichiarati. Si sostiene, infatti, che “l’art. 100A del TCE permette l’adozione di misure di ravvicinamento delle legislazioni nazionali che hanno per oggetto l’instaurazione e il funzionamento del mercato interno, ma non offre al legislatore europeo una competenza in materia di protezione dei diritti fondamentali della persona. Di qui la necessità di esaminare il problema dell’ambito di applicazione della direttiva, non risolto dal testo normativo, alquanto vago sull’argomento. L’art. 3 infatti, non chiarisce se essa si applichi a tutti i trattamenti dei dati personali ovvero soltanto a quei trattamenti che presentino una connessione con l’esercizio delle libertà di circolazione stabilite dal diritto comunitario”.

Alcuni autori considerano la direttiva come il risultato del compromesso tra sostenitori di una tutela ampia e robusta dei diritti individuali e i fautori della libera circolazione delle informazioni. In realtà essa deve essere vista e valutata alla luce dell’evoluzione legislativa continentale in materia di protezione dei dati, costituendo un punto d’approdo di un quarto di secolo nel quale si sono succedute leggi che non sempre hanno creato un soddisfacente impianto disciplinare.

La struttura della Direttiva è chiaramente delineata: il testo si sviluppa in 72 Considerando, ai quali seguono 34 articoli, suddivisi in 6 capi. È proprio l’articolo 1 che definisce l’oggetto della Direttiva, affermando che gli Stati membri si impegnano a garantire la tutela dei diritti e delle libertà fondamentali delle persone fisiche e particolarmente del diritto alla vita privata, con riguardo al trattamento dei dati personali.

La Direttiva è stata considerata principale strumento giuridico in materia di protezione dei dati personali in ambito europeo, fino alla recentissima entrata in vigore del Regolamento UE 2016/679 del Parlamento europeo e del Consiglio, che la abroga definitivamente, determinando un passaggio cruciale in materia di protezione dei dati personali.

Come si legge dai Considerando del Regolamento stesso, il trattamento dei dati personali è al servizio dell’uomo; il diritto alla protezione dei dati di carattere personale non è una prerogativa assoluta, ma va considerato alla luce della sua funzione sociale e va contemperato con altri diritti fondamentali, in ossequio al principio di proporzionalità.

Il nuovo Regolamento, particolarmente innovativo su alcuni profili che successivamente si analizzeranno, entrato in vigore a maggio 2016, avrà due anni di tempo per essere attuato, nel corso dei quali si potrà definire in modo più chiaro anche il rapporto tra esso e le leggi nazionali di protezione dei dati.

2.6 Legge 31 dicembre 1996, n. 675

In Italia, uno dei primi interventi legislativi in materia di protezione dei dati è riconducibile alla legge n. 675/96, concernente la tutela delle persone e di altri soggetti rispetto al trattamento dei dati personali, legge di recepimento italiana della Direttiva 95/46/CE ed introdotta per rispettare gli Accordi di Schengen, effettivamente entrata in vigore nel maggio 1997.

L’articolo 1 di tale legge, seguendo anche i modelli europei a livello di tecnica redazionale dei testi di legge, indica l’ambito di applicazione della normativa e ciò che essa garantisce, ossia che “il trattamento dei dati personali si svolga nel rispetto dei diritti, delle libertà fondamentali, nonché della dignità delle persone fisiche, con particolare riferimento alla riservatezza e all'identità personale; garantisce altresì i diritti delle persone giuridiche e di ogni altro ente o associazione”.

Tale articolo presenta una definizione dei diritti oggetto della legge più ampia e completa di quelli prospettati dalla direttiva CE, includendo oltre alla tutela della vita privata anche la dignità umana; proprio questo riferimento ha fatto pensare, forse con un eccesso di enfasi, che la legge sulla protezione dei dati personali abbia rappresentato la prima legge italiana sui diritti umani.

L’opera dell’interprete è quanto mai complessa perché questi si trova di fronte a categorie, quali i diritti e le libertà fondamentali, i cui confini sono poco netti; ovvero di fronte a concetti, quali la riservatezza e l’identità personale, di derivazione giurisprudenziale, per la cui individuazione non ha a disposizione precisi riferimenti normativi.

Con tale disciplina normativa, il legislatore ha inteso sanare il contrasto tra i valori espressi dall’ordinamento e quelli che emergono dalla quotidianità, dando impulso anche in Italia a uno sviluppo evolutivo del concetto di privacy, fino a quel momento frutto solo di elaborazione dottrinale e giurisprudenziale.

Si può, pertanto, affermare senza timore di smentita che la legge 675/96:

da un lato, ha positivizzato il concetto di privacy;

dall’altro, ha apportato una grande innovazione all’interno del sistema italiano, pur con le inevitabili difficoltà interpretative e attuative.

La introduzione di tale normativa, considerato il suo carattere di assoluta novità, ha imposto, difatti, una “fase di rodaggio” nella quale il Garante per la protezione dei dati personali ha ricoperto un ruolo-chiave nello svolgimento di una incessante attività ermeneutica, stante una certa ambiguità del dettato normativo e la stringente necessità di favorire un’applicazione uniforme e, per quanto possibile, compatibile con la reale ratio legis.

Nonostante le difficoltà interpretative e applicative che la legge 675/96 implica, vi sono due aspetti rilevanti da considerare:

in primis, essa positivizza due figure di creazione pretoria, quali il diritto alla riservatezza e l’identità personale;

in secundis – attraverso il richiamo ai diritti, alle libertà fondamentali e alla dignità della persona – segna il punto di arrivo degli sforzi di dottrina e giurisprudenza volti a dimostrare che si tratta non già di vuoti concetti, ma di aspetti qualificanti dell’esistenza umana e pertanto bisognosi di una specifica tutela.

Inoltre, tale legge è stata da molti definita e considerata dinamica, proprio in considerazione del fatto che consente una protezione della sfera riservata dell’individuo non solo rispetto ai cosiddetti dati in uscita, ma anche in relazione a quelli in entrata.

2.7 Codice in materia di dati personali, D.lgs. 30 giugno 2003, n. 196

Punto di riferimento centrale, prima del nuovo Regolamento UE 2016/679, è stato certamente il Codice in materia di dati personali, emanato con D.lgs. del 30 giugno 2003, n. 196 che razionalizza, semplifica e coordina in una specie di “Testo unico” tutte le precedenti disposizioni relative alla protezione dei dati personali.

Il D.lgs 196/2003 ha abrogato la precedente legge n. 675/96.

L’entrata in vigore del Codice, avvenuta il 1° gennaio 2004, ha rappresentato una tappa fondamentale per la tutela dei diritti della persona e ha concluso il processo di recepimento delle direttive europee in materia (95/46/CE e 2002/58/CE). È stato così completato il complesso percorso di razionalizzazione della disciplina inizialmente introdotta con la legge 31 dicembre 1996, n. 675, riunendo in un unico testo una regolamentazione che si era, nel tempo, stratificata a seguito di numerosi interventi modificativi e integrativi.

È bene, inoltre, precisare che la disciplina ordinata della materia si è resa quanto mai necessaria con l’avvento delle nuove tecnologie, dei computer, dei sistemi di raccolta dei dati, quali le banche dati. Infatti, negli ultimi anni, il potere di controllo dell’individuo sulla circolazione delle informazioni che lo riguardano si è andata configurando come questione centrale ed emergente della società attuale, definita la “società dell’informazione”, dove ai mass-media tradizionali sono andate sovrapponendosi l’informatica e le reti telematiche.

Il Codice del 2003, espressione di una forma più concreta ed esplicita di tutela, è strutturato in tre parti:

la prima, sancisce le norme di carattere generale, comuni a qualsiasi trattamento dei dati;

nella seconda parte, si articolano norme dedicate a particolari settori, quali pubblica amministrazione, giudiziario e sanitario;

nella terza parte, infine, sono contenute le disposizioni che attengono alla tutela riconosciuta ai soggetti che si ritengono lesi dalla violazione di norme disposte dallo stesso decreto legislativo e le misure poste in essere per coloro che utilizzano i dati impropriamente.

L’accorpamento di norme che fino a quel momento erano sparse in vari provvedimenti ha portato a una semplificazione della materia, introducendo altresì alcune novità accanto alla conferma di norme già esistenti nella precedente legislazione. La nuova disciplina si uniforma a quella comunitaria che già in occasione dei primi interventi di cui alle leggi 675/96 e 676/96 aveva condizionato il legislatore nazionale ad armonizzare il sistema interno con quello dei paesi membri, come disposto dalle istituzioni europee.

3. I tratti essenziali del diritto alla protezione dei dati personali

Oggigiorno la privacy, nelle sue molteplici sfaccettature, è, dunque, pienamente tutelata sia a livello nazionale che sovranazionale. Si tratta, tuttavia, di un concetto che risente fortemente dei mutamenti sociali, culturali e soprattutto tecnologici, sempre in corso di evoluzione e di definizione.

Or dunque, in questo contesto assume valenza dirimente la nozione di “sovranità digitale” come snodo della necessaria tutela statuale in ambito nazionale e internazionale. In mancanza, la sottrazione dell'ambito a una tutela ordinamentale è destinata ad esporre i diritti fondamentali di ognuno all'arbitrio di pochi, aprendo il passo al totalitarismo digitale.

Sulla scorta di quanto sin qui osservato, l'emersione del diritto alla protezione dei dati personali è da ricondursi allo sviluppo delle tecnologie informatiche e telematiche e al ruolo centrale assunto dall'informazione nel nuovo contesto economico e sociale. Ogni consociato deve, dunque, esser consapevole:

da un lato, della necessità di non impedire, se vuole appartenere pienamente al mondo di oggi, che i propri dati circolino;

dall'altro, dei pericoli per i diritti e le libertà individuali che possono derivare da tale circolazione.

Orbene, la questione fondamentale, sul fronte della tutela dell'interessato, è quella di garantirgli un potere di controllo sui dati che lo riguardano.

La detenzione di queste informazioni da parte di soggetti terzi assume, infatti, un valore giuridico assoluto che non solo non può essere sottratto a tutela ma non può essere destinato ad un limbo normativo, fosse solo per l'imperativo che discende dall'obbligo di tutela dei diritti involabili immanente al nostro ordinamento costituzionale.

In tale prospettiva, il contenuto del diritto alla protezione dei dati personali non può che sostanziarsi nel diritto di ciascuno a che i propri dati personali, ove trattati da un’altra persona, siano protetti con le modalità e secondo gli standards definiti dalla legge, così da consentirgli, in concreto, di mantenere il controllo sulla circolazione delle informazioni a lui riferibili e di determinare liberamente le condizioni e i limiti del trattamento delle stesse.

Quanto alla natura di questo diritto, la dottrina prevalente – attribuendo il giusto rilievo all'espressione “diritto” utilizzata dall'art. 1 del d.lgs. 30 giugno 2003, n. 196 (Codice Privacy), laddove riconosce espressamente a chiunque il diritto alla protezione dei dati personali che lo riguardano – lo ha ricostruito come diritto di rango primario, sostenendone la riconducibilità alla categoria dei diritti della personalità. Lo ha inteso, a seconda che si acceda alla tesi monistica o pluralistica, come una specifica concretizzazione dell'unico diritto della personalità ovvero come una nuova e autonoma figura di diritto della personalità.

Di tali situazioni giuridiche soggettive il diritto alla protezione dei dati personali condivide:

la ratio comune: che è quella di essere finalizzata alla valorizzazione della dignità e dell'autodeterminazione della persona umana, sostanziandosi nell'insieme delle facoltà e dei poteri che conferiscono il controllo sulle qualità corporee ed immateriali che ne costituiscono l’individualità (la personalità, appunto);

i caratteri distintivi tradizionalmente ravvisati nell'extra patrimonialità, indisponibilità, intrasmissibilità, imprescrittibilità ed insurrogabilità, anche se l'evoluzione della società e del sistema economico sta inesorabilmente portando ad uno svilimento di alcune di tali connotazioni (si pensi alla progressiva patrimonializzazione di questi diritti ed alla conseguente loro disponibilità o trasmissibilità).

Ebbene, tutto ciò inevitabilmente finisce col mettere in crisi l’identità stessa di una categoria i cui confini concettuali appaiono di difficile demarcazione, basandosi su un catalogo di situazioni giuridiche soggettive strutturalmente mobile e in continua evoluzione.

A conferma di una tale ricostruzione depone, peraltro, più di un dato testuale: il riferimento alla dignità umana contenuto nell'art. 2, comma 1, del codice privacy, la menzione del diritto alla protezione dei dati personali accanto agli altri diritti della persona, nonché l'espresso richiamo a tale categoria operato da più di un articolo del codice medesimo (artt. 26, comma 4, lett. c), 60 e 71, comma 2).

La ricostruzione del diritto alla protezione dei dati personali come diritto fondamentale dell'individuo determina l'importante conseguenza che ogni sua limitazione dovrà rispettare i canoni della ragionevolezza e della proporzionalità e non potrà spingersi fino ad intaccare il contenuto essenziale del diritto medesimo. La qualificazione adottata non deve, però, condurre ad un “appiattimento del diritto alla protezione dei dati personali sugli altri, più tradizionali, diritti della personalità” ed impedire di cogliere i tratti peculiari della relativa disciplina.

In primo luogo, giova porre mente alla connotazione marcatamente preventiva della tutela apprestata che si sostanzia in una serie di obblighi di comportamento (di informativa, notificazione, acquisizione di consenso, sicurezza, ecc.) posti in capo al titolare del trattamento resa del tutto indipendente da un effettivo pregiudizio subito dall'interessato. Essa si concretizza nel riconoscimento a quest'ultimo di un potere di intervento e controllo sul trattamento effettuato che realizza una tutela dinamica volta a seguire i dati nella loro circolazione.

Sotto il profilo degli interessi protetti, il rispetto del diritto alla protezione dei dati personali non tende soltanto alla tutela dell’inviolabilità della persona interessata (come dovrebbe essere secondo il sistema tradizionale dei diritti della personalità) ma viene considerato come una precondizione per l'esercizio di altri diritti civili, sociali e politici e, quindi, per lo stesso corretto funzionamento di una società democratica.

Rebus sic stantibus emerge la parallela connotazione pubblicistica e la valenza strumentale del diritto alla protezione dei dati personali. Di qui il superamento, nel modello di disciplina accolto dalla normativa a tutela del diritto alla protezione dei dati personali, di una prospettiva meramente individualistica e l'adozione di un sistema misto di meccanismi di controllo e di rimedi basato sull'interazione tra privato e pubblico.

Ragioni di completezza espositiva suggeriscono, ora, di far menzione delle forme di tutela dettate a protezione dei dati personali.

Al fine di garantire l'accesso degli individui ai meccanismi rimediali relativi alla protezione dei dati personali le norme predispongono, infatti, un articolato apparato di rimedi di natura amministrativa, civilistica e penale, che non tendono a difendere in via esclusiva i diritti dei singoli interessati ma sono, altresì, volti a garantire l'interesse di tutti i consociati e dell'ordinamento nel suo complesso alla legittimità, liceità e correttezza dei trattamenti di dati personali effettuati. Nella prima direzione rileva, in particolare, il controllo sul trattamento dei dati personali svolto dall'interessato; nella seconda, l'istituzione di un’Autorità Indipendente alla quale è affidato tanto il compito di vigilare sull'osservanza dei requisiti previsti dalla legge per il trattamento lecito dei dati personali quanto di assistere l'interessato, stabilendo specifiche misure di protezione rispetto al trattamento dei dati sensibili o dei dati “a rischio specifico”.

Essi possono così enumerarsi:

il ricorso al Garante (quale forma di tutela alternativa a quella giurisdizionale);

la tutela dinanzi all’Autorità giurisdizionale civile;

gli illeciti amministrativi;

gli illeciti penali;

il ricorso al Difensore civico o alla Commissione per l'accesso ai documenti amministrativi avverso i provvedimenti che autorizzano l'accesso ai documenti amministrativi, ex lege 7 agosto 1990, n. 241.

Così tracciata natura giuridica e mappa dei meccanismi rimediali, giudiziari o alternativi, disponibili nel campo della protezione dei dati personali l'interprete deve far propria una duplice consapevolezza:

se, a monte, nessuno oggi si sente sorvegliato o minacciato in modo esplicito, ed è questo stato a costituire l'essenza del problema da affrontare con efficaci strumenti giuridici;

a valle, il sistema dei mezzi di tutela rappresenta null'altro che il punto di incontro tra la normativa sostanziale e la realtà economico-sociale sulla quale essa è chiamata ad operare.

4. Il Regolamento Ue n. 2016/679: quadro normativo generale

In questo contesto di imperante progressione della vita digitale assumono un ruolo centrale a tutela della libertà e della democrazia:

la Cybersecurity (sempre più intesa come obiettivo strategico nelle politiche di intelligence);

la Data Protection.

La protezione dei dati personali rappresenta, infatti, un diritto fondamentale della persona da tempo codificato nello spazio giuridico europeo ed oggi riaffermato e rafforzato dall'approvazione del nuovo Regolamento UE 2016/679 relativo alla protezione delle persone fisiche con riguardo al trattamento dei dati personali, nonché alla libera circolazione di tali dati che abroga la primigenia Direttiva 95/46/CE (Regolamento generale sulla protezione dei dati), al fine di assicurare una maggiore tutela di un diritto fondamentale non solo per i cittadini europei bensì per tutti gli individui che si trovino sul territorio dell'Unione.

Il nuovo Regolamento in materia di privacy nasce, allora, dalla consapevolezza che sebbene la Direttiva 95/46/CE abbia mantenuto ancora oggi validi i suoi obiettivi e principi, ciò “non ha impedito la frammentazione dell'applicazione della protezione dei dati personali nel territorio dell'Unione, né ha eliminato l'incertezza giuridica o la percezione, largamente diffusa nel pubblico, che in particolare le operazioni online comportino rischi per la protezione delle persone fisiche”.

Questa lucida critica, che potrebbe ben trovarsi nei lavori della dottrina o nella motivazione di qualche decisione della Corte di Giustizia dell'Unione Europea, rappresenta, invece, quanto affermato espressamente dallo stesso Regolamento al considerando 9.

La tempistica di un simile cambiamento, con il passaggio dallo strumento della Direttiva a quello del Regolamento, non è certo casuale.

Infatti, oggi, nel pieno dell'era digitale vi è la diffusa sensazione che i nostri dati personali siano costantemente a rischio e che vi sia “una costante ipoteca sulla inviolabilità della propria sfera privata e, soprattutto, sulla controllabilità della circolazione dei propri dati” con la conseguente esigenza di assicurare un'applicazione della disciplina sulla privacy omogenea su tutto il territorio dell'Unione Europea.

In questo modo si mira a dare vita a un contesto di affidabilità per i cittadini ed a costituire un clima di fiducia per lo sviluppo economico, soprattutto negli ambienti online, con il fine ultimo di agevolare la sussistenza di un unico mercato eurounitario in cui, oggi, la libera circolazione dei dati personali svolge un ruolo imprescindibile.

L'intento del Legislatore europeo di perseguire tali obiettivi non è certo occulto ma, al contrario, è sancito esplicitamente all'interno dei 99 articoli dello stesso Regolamento ed ancor prima scandito nei ben 173 considerando in cui si possono rinvenire i principi ispiratori dell'intervento normativo stante la loro indiscussa funzione di indirizzo interpretativo.

La prima disposizione di riferimento – anche per questioni sistematiche – è l'art. 1 (rubricato proprio “Oggetto e finalità”) che, al paragrafo 1, prevede che “il presente Regolamento stabilisce norme relative alla protezione delle persone fisiche con riguardo al trattamento dei dati personali, nonché norme relative alla libera circolazione di tali dati”. Con ciò si palesa, sin da subito, una particolare attenzione al momento della circolazione del dato.

Questa conclusione è avvalorata dal successivo paragrafo 3 dello stesso art. 1, laddove prevede che “la libera circolazione dei dati personali nell'Unione non può essere limitata né vietata per motivi attinenti alla protezione delle persone fisiche con riguardo al trattamento dei dati personali”.

Simili disposizioni denotano un passaggio fondamentale rispetto alla previgente disciplina. Oggi, a differenza di quanto poteva andar bene circa vent'anni fa quando venne approvata la Direttiva 95/46/CE, il Legislatore europeo ha scelto di distaccarsi dalla concezione sostanzialmente statica del diritto al rispetto della vita privata in cui era sufficiente una tutela eminentemente negativa consistente nel potere di escludere le interferenze altrui.

Nella stagione dell'interconnessione globale, consentita dall'utilizzo quotidiano di internet, non si tratta più solamente di proteggere la persona fisica ma anche i suoi dati e le informazioni che la riguardano; per fare ciò, sono necessari poteri d'intervento: la tutela non è più statica ma dinamica, seguendo i dati nel momento della loro circolazione.

È su queste premesse che si basano le maggiori novità della nuova disciplina europea della privacy ed i passaggi logici che hanno condotto all'adozione di questa nuova normativa sono nitidamente scanditi all'interno dei numerosi considerando del Regolamento.

Tale percorso motivazionale inizia con quanto previsto dal considerando 6 in cui si afferma a chiare lettere che “la rapidità dell'evoluzione tecnologica e la globalizzazione comportano nuove sfide per la protezione dei dati personali. […] La tecnologia attuale consente tanto alle imprese private quanto alle autorità pubbliche di utilizzare dati personali, come mai in precedenza, nello svolgimento delle loro attività”.

In tale affermazione sembra esservi, anche, la consapevolezza del nuovo ruolo che stanno assumendo i dati personali nell'era digitale e, ancor più, del valore economico dei nostri dati. Infatti, la progressiva digitalizzazione della società sta rendendo i nostri dati personali sempre più fragili a causa del costante e dinamico scambio di informazioni.

Questo risultato è reso possibile dall'impatto di due fenomeni che ormai connotano le società contemporanee:

il consolidamento del processo di globalizzazione;

la diffusione capillare delle connessioni internet.

Si prosegue, poi, con quanto affermato al successivo considerando in cui si conferma la necessità di creare un quadro più solido e coerente in materia di privacy. Tutto ciò richiede la presenza di efficaci misure di attuazione nella protezione della privacy: “data l'importanza di creare il clima di fiducia che consentirà lo sviluppo dell'economia digitale in tutto il mercato interno” (considerando 7).

Come visto in apertura, la Direttiva 95/46/CE non era più in grado di garantire siffatto clima di fiducia. Tale strumento normativo, per sua natura, ha consentito diverse possibilità di recepimento, di conseguenza non ha potuto impedire la compresenza di diversi livelli di protezione dei dati personali nei vari Stati membri dell'Unione Europea con il rischio di ostacolare la libera circolazione dei dati. Pertanto, “tali differenze possono costituire un freno all'esercizio delle attività economiche su scala dell'Unione, falsare la concorrenza e impedire alle autorità nazionali di adempiere agli obblighi loro derivanti dal diritto dell'Unione” (considerando 9).

Così, il Legislatore europeo – dopo aver individuato le ragioni che hanno giustificato la sostituzione della Direttiva 95/46/CE con il nuovo Regolamento – afferma expressis verbis che “al fine di assicurare un livello coerente ed elevato di protezione delle persone fisiche e rimuovere gli ostacoli alla circolazione dei dati personali all'interno dell'Unione, il livello di protezione dei diritti e delle libertà delle persone fisiche con riguardo al trattamento di tali dati dovrebbe essere equivalente in tutti gli Stati membri” (considerando 10).

Com’è noto, difatti, il Regolamento consiste in uno strumento normativo che non necessita di un'intermediazione legislativa nazionale, stante la sua completa ed immediata applicazione.

Per creare un quadro di maggiore certezza del diritto e di maggiore uniformità tra i vari Paesi dell'Unione europea era giunto, quindi, il momento di realizzare “one continent, one law”; una sorta di ius commune in materia di privacy che le Istituzioni europee hanno scelto di disciplinare con lo strumento normativo più efficace per portare ad unità le diverse legislazioni nazionali: il Regolamento. Una scelta che, con ogni probabilità, rappresenta il risultato più rilevante della nuova disciplina sulla protezione dei dati personali.