Ricostruzione normativo-giurisprudenziale del diritto alla Privacy

Ricostruzione normativo-giurisprudenziale del diritto alla Privacy

Sommario: 1. Ricostruzione normativo-giurisprudenziale del diritto alla protezione dei dati personali – 2. Il regolamento del 27 aprile 2016, n. 679 – 3. La direttiva 2016/680

1. Ricostruzione normativo-giurisprudenziale del diritto alla protezione dei dati personali

Il diritto alla riservatezza[1], quale diritto di ogni individuo all’intimità della vita privata e familiare contro ingerenze altrui gode, oggi, di una tutela sempre più ampia, garantita da fonti sovranazionali e nazionali. È contemplato all’art. 8 CEDU nell’ambito dei diritti di libertà, come diritto di ciascun individuo alla protezione dei dati di carattere personale che lo riguardano e come diritto ad un trattamento dei dati che sia effettuato secondo i principi di lealtà, finalità e proporzionalità; parimenti il diritto alla protezione della vita privata e della vita familiare. È soprattutto con la proclamazione della Carta dei diritti fondamentali dell’Unione europea da parte del Parlamento europeo, del Consiglio e della Commissione nel dicembre 2000 (c.d. Carta di Nizza) – ora integrata nel trattato di Lisbona e giuridicamente vincolante per l’Unione europea – e, in particolare, nel suo art. 8 relativo al diritto alla tutela dei dati personali, che il profilo del rispetto dei diritti fondamentali degli individui viene ad essere messo maggiormente in luce. La Carta, peraltro, tiene ben distinti in due articoli diversi il diritto al rispetto della propria vita privata e familiare, del proprio domicilio e delle comunicazioni (art. 7) e il diritto di ogni individuo alla protezione dei dati di carattere personale che lo riguardano (art. 8). Secondo il disposto dell’art. 8: “Tali dati devono essere trattati secondo il principio di lealtà, per finalità determinate e in base al consenso della persona interessata o a un altro fondamento legittimo previsto dalla legge. Ogni individuo ha il diritto di accedere ai dati raccolti che lo riguardano e di ottenerne la rettifica. Il rispetto di tali regole è soggetto al controllo di un’autorità indipendente”.

La tutela costituzionale dell’interesse al riserbo può essere cercata, secondo un orientamento dottrinale, nell’art. 2 Cost. – quale norma direttamente applicabile di un principio fondamentale di tutela della persona umana: il suo contenuto non si limita a riassumere i diritti tipicamente previsti da altre disposizioni della Costituzione, ma consente di estendere la tutela a situazioni atipiche[2] – tramite un ragionevole bilanciamento con gli altri valori Costituzionali in “gioco”.

Mentre, negli anni ‘50 la riservatezza veniva definita in termini di «right to be let alone» e, dunque, come un interesse a contenuto negativo, «volto all’isolamento morale», a partire dagli anni ‘80, con l’avvento dei computer, la riservatezza veniva, invece, definita in termini di «controllo sui dati personali» e, quindi, come un diritto, non solo a contenuto negativo, ma anche positivo. Con l’ingresso nella società di Internet, la riservatezza viene, invece, definita come un diritto multidimensionale, in grado di tenere conto adeguatamente di molteplici e differenti interessi[3].

L’emersione del diritto alla protezione dei dati personali è da ricondursi, pertanto, allo sviluppo delle tecnologie informatiche e telematiche e al ruolo centrale assunto dall’informazione, per cui ogni persona è consapevole della necessità di impedire o meno che i propri dati circolino, ma anche dei pericoli che possano derivare da tale circolazione per i diritti e le libertà individuali: la questione fondamentale, sul fronte della tutela dell’interessato, è quella di garantirgli un potere di controllo e di tutela sui dati che lo riguardano. In tale prospettiva, il contenuto del diritto alla protezione dei dati personali non può che sostanziarsi nel diritto di ciascuno a che i propri dati personali, ove trattati da terzi, siano protetti secondo le modalità definite dalla legge, così da consentirgli in concreto di mantenere il controllo sulla circolazione delle informazioni a lui riferibili e di determinare liberamente le condizioni ed i limiti del trattamento delle stesse[4].

Nel panorama italiano, un primo espresso riconoscimento del diritto alla riservatezza sui dati si è avuto con la sentenza della Cassazione n. 1975 relativa al caso “Soraja”[5], ove se n’è affermato il suo rango costituzionale. Successivamente, sulla base della normativa comunitaria (in particolare con l’emanazione della direttiva 95/46/CE, il diritto alla protezione dei dati personali è stato riconosciuto, nel nostro Paese, con la l. 31 dicembre 1996, n. 675 e, successivamente, con il codice in materia di protezione dei dati personali (codice privacy, d.lgs. 196 del 2003[6]) e, infine, un definitivo riconoscimento si è avuto con il reg. UE 679/2016 (ed il d.lgs.101/2018 che tenta di armonizzare la disciplina).

Ricordiamo che le direttive europee hanno giocato un ruolo propulsivo nella materia de qua: come la direttiva 95/46/CE sulla protezione dei dati, la direttiva 2002/58/CE sull’e-privacy, modificata nel 2009, la direttiva 2006/24/CE sulla conservazione dei dati (dichiarata invalida dalla Corte di giustizia dell’Unione europea l’8 aprile 2014 a causa delle gravi interferenze con la vita privata e la protezione dei dati personali), il regolamento (CE) n. 45/2001 sul trattamento dei dati personali da parte delle istituzioni e degli organismi comunitari nonché, nell’ambito dell’ex terzo pilastro, la decisione quadro del Consiglio del novembre 2008 sulla protezione dei dati personali trattati nell’ambito della polizia e della giustizia penale. Ad ogni modo, l’Unione europea non ha arrestato il processo evolutivo in materia e, di fatto, ha elaborato nuovi atti, alcuni dei quali hanno modificato il framework legale esistente mediante l’introduzione di una nuova disciplina giuridica. Rilevante a tal proposito è il regolamento del 27 aprile 2016, n. 679, relativo alla protezione delle persone fisiche con riguardo al trattamento dei dati personali nonché alla libera circolazione di tali dati.

2. Il regolamento del 27 aprile 2016, n. 679

“Al fine di assicurare un livello coerente ed elevato di protezione delle persone fisiche e rimuovere gli ostacoli alla circolazione dei dati personali all’interno dell’Unione, il livello di protezione dei diritti e delle libertà delle persone fisiche con riguardo al trattamento di tali dati dovrebbe essere equivalente in tutti gli Stati membri. È opportuno assicurare un’applicazione coerente e omogenea delle norme a protezione dei diritti e delle libertà fondamentali delle persone fisiche con riguardo al trattamento dei dati personali in tutta l’Unione”: considerando 10 del reg. UE 679/2016, c.d. GDPR.

Il 25 maggio 2018, con l’entrata in vigore del Regolamento 679/2016, il legislatore europeo ha optato considerevolmente, come da più parti sostenuto in dottrina, per un innalzamento qualitativo e quantitativo delle soglie di tutela: c.d. “pacchetto protezione dati personali”.

Il testo del regolamento abroga la direttiva 95/46/CE in materia di protezione dei dati personali, concepita in un periodo nel quale solo una minima parte della popolazione europea utilizzava Internet[7]; inoltre, non esistevano ancora piattaforme digitali quali social media o dispositivi come smartphones e tablet grazie ai quali gli utenti si potevano connettere alle reti informatiche e pubblicare, più o meno inconsapevolmente, i propri dati personali. Il regolamento riconosce un livello elevato e uniforme di tutela dei dati personali e si pone come fine ultimo quello di offrire ai cittadini europei un maggiore controllo di questi ultimi: – il diritto alla portabilità dei dati (art. 20), ossia il diritto a ricevere in un formato strutturato, di uso comune e leggibile da dispositivo automatico i propri dati personali forniti ad un titolare del trattamento e il diritto di trasmettere tali dati ad un altro titolare senza impedimenti; – il diritto all’oblio[8], riconosciuto fino ad ora solo a livello giurisprudenziale, che prevede il diritto di ottenere dal titolare del trattamento la cancellazione dei propri dati personali senza ingiustificato trattamento se sussiste uno dei motivi elencati all’art. 17 del regolamento; – il diritto di essere informato in modo trasparente, leale e dinamico sui trattamenti effettuati sui suoi dati[9] (art. 13); – il diritto di essere informato sulle violazioni dei propri dati personali entro 72 ore dall’evento (art. 33); – il diritto di dare mandato a un organismo, un’organizzazione o un’associazione senza scopo di lucro, che siano debitamente costituiti secondo il diritto di uno Stato membro, i cui obiettivi statutari siano di pubblico interesse e che siano attivi nel settore della protezione dei diritti e delle libertà degli interessati con riguardo alla protezione dei dati personali, di proporre il reclamo per loro conto e di esercitare per loro conto i diritti sui propri dati (art. 80); – il diritto di ottenere il risarcimento dei danni causato dalla violazione del regolamento (sancito sempre dall’art. 80 dello stesso).

È evidente che il regolamento comporti anche un cambiamento d’ approccio fino ad ora utilizzato nei confronti del diritto alla privacy: difendere i dati significa oggi difendere le persone, l’identità e la libertà delle stesse. Inoltre, mediante tali atti si sta tentando di andare oltre le semplici regole formali affinché le norme a protezione dei dati vengano adeguate progressivamente ai cambiamenti determinati dall’incessante processo di evoluzione delle nuove tecnologie[10]. Adesso imprese e pubbliche amministrazioni, prima di procedere al trattamento dei dati personali, hanno l’obbligo di effettuare una valutazione (nota come privacy impact assessment) dei rischi connessi ad esso già nel momento della progettazione di nuove procedure, prodotti o servizi.

Un’altra novità riguarda la sua applicabilità: a tutte le imprese, organizzazioni o enti che operano nell’ambito del trattamento dei dati personali all’interno dell’Unione europea, a prescindere dall’esatto luogo nel quale sono localizzati[11]. Inoltre, essa trova applicazione nei confronti delle imprese che trattano dati personali sia nel caso in cui “Titolare del trattamento” e “Responsabile del trattamento” si trovino in uno Stato membro senza tener conto del fatto che il trattamento di dati personali avvenga all’interno dell’Unione o in un Paese terzo, sia nel caso in cui entrambi i soggetti non si trovino all’interno di uno Stato membro purché le attività dell’impresa in questione riguarda la fornitura di beni o servizi a cittadini dell’Unione europea o con il monitoraggio dei comportamenti di consumo all’interno della stessa.

Un altro aspetto di notevole importanza, derivante dalle disposizioni europee, riguarderà l’introduzione anche negli ordinamenti nazionali dei diversi Stati membri del c.d. “principio di accountability” o obbligo di rendicontazione, in base al quale i titolari del trattamento dei dati devono dimostrare: – di avere adottato le misure di sicurezza adeguate ed efficaci a protezione dei dati; – che i trattamenti siano conformi con i principi e le disposizioni del regolamento europeo.

Mediante l’art. 37, infine, viene istituita la nuova figura del “Data Protection Officer” (il responsabile della protezione dei dati personali), che deve essere nominato da ogni amministrazione pubblica al suo interno e da ogni azienda privata che svolge trattamenti sui dati potenzialmente in grado di ledere gravemente i diritti degli interessati. Il Data Protection Officer (DPO) corrisponde ad un professionista esterno all’azienda in possesso di specifici requisiti quali la competenza (giuridica innanzitutto e informatica poi per poter interpretare correttamente le norme da applicare e per potersi rapportare adeguatamente con i responsabili dei sistemi informativi), l’esperienza, l’indipendenza e l’autonomia di risorse, l’assenza di conflitti di interesse; la sua persona dovrebbe, inoltre, avere anche le adeguate capacità per realizzare una completa analisi dei rischi connessi al trattamento dei dati e per valutare le interazioni con le altre discipline che riguardano, anche indirettamente, la sicurezza e la gestione delle informazioni[12]. Tutto ciò al fine di assolvere ai suoi compiti, fra i quali presidiare i profili privacy organizzativi attraverso un’opera di sorveglianza sulla corretta applicazione del regolamento europeo, della normativa privacy e sulla normativa interna, sull’attribuzione delle responsabilità, informazione, sensibilizzazione e formazione del personale, informazione, consulenza e rilascio di pareri.

Il Data Protection Officer costituisce, quindi, un punto di riferimento e di contatto per i cittadini al quale possono rivolgersi per tutte le questioni relative al trattamento dei loro dati personali e all’esercizio dei loro diritti derivanti dal regolamento europeo. Il testo prevede, inoltre, un rafforzamento dei poteri delle Autorità garanti nazionali e un inasprimento delle sanzioni amministrative a carico di imprese e pubbliche amministrazioni: nel caso di violazioni dei principi e disposizioni del regolamento, le sanzioni possono arrivare, per le imprese, fino al 2-4% del fatturato mondiale totale annuo dell’esercizio precedente, se superiore; per le pubbliche amministrazioni fino a dieci milioni di euro.

3. La direttiva 2016/680

La direttiva si prefigge, infatti, lo scopo di disciplinare le regole concernenti la protezione delle persone con particolare riguardo verso il trattamento dei dati personali, andando quindi a completare quanto stabilito dal regolamento: a sottolineare ciò vi è lo stesso art. 1 della direttiva.

A fronte di ciò, gli Stati – in particolare l’Italia col d.lgs.101/2018 – hanno adempiuto gli obblighi di: a) tutelare i diritti e le libertà fondamentali delle persone fisiche, in particolare il diritto alla protezione dei dati personali; b) garantire che lo scambio dei dati personali da parte delle autorità competenti all’interno dell’Unione, qualora tale scambio sia richiesto dal diritto dell’Unione o da quello dello Stato membro, non sia limitato né vietato per motivi attinenti alla protezione delle persone fisiche con riguardo al trattamento dei dati personali.

Attraverso tale direttiva, l’Unione europea, grazie ad un corretto trattamento dei dati personali, persegue principalmente due obiettivi: ridurre la loro esposizione ai rischi provenienti dal cyber space e aumentare la capacità degli Stati di proteggere gli stessi oltre che le reti informatiche.

In conclusione, l’Unione europea si propone di superare quel dilemma di cui molti esperti parlano, in base al quale in nome di un bene considerato superiore (la sicurezza) si possa limitare notevolmente la tutela di alcuni diritti e libertà fondamentali, e lo fa adottando un approccio che concilia il rafforzamento della sicurezza con la salvaguardia dei diritti umani.

A prova di ciò, vi sono anche le numerose risoluzioni del Parlamento europeo, che si è espresso su questioni delicate come il trattamento dei dati personali trasferiti nel quadro della cooperazione transatlantica nella lotta al terrorismo e alla criminalità organizzata, con l’obiettivo rendere nota questa nuova strada intrapresa dall’Unione. Questi inoltre, sarà coinvolto anche nell’approvazione di un accordo quadro giuridicamente vincolante con gli Stati Uniti che è, a tal proposito, emblematico. Esso riguarda lo scambio di informazioni e dati relativi a individui che si sospetta possano essere coinvolti in atti terroristici o nella criminalità organizzata e prevede anche l’istituzione di uno Scudo UE-USA per la privacy (‘EU-US Privacy Shield’)[13], al fine di garantire un livello elevato di protezione dei dati che verranno scambiati al fine di cooperare nella lotta al terrorismo e alla criminalità organizzata. Dunque, da un lato si punta ad un rafforzamento della sicurezza nazionale, mediante efficaci politiche di information sharing che, allo stesso tempo, devono rispondere comunque alle norme in materia di diritti umani e, nello specifico, di protezione dei dati personali.

Al suo interno, viene delineata una serie di condizioni da soddisfare in materia di privacy e protezione dei dati personali che vengono scambiati tra i Paesi con l’obiettivo di monitorare gli individui sospettati di minacciare la sicurezza di Unione europea e Stati Uniti riuscendo così a salvaguardare anche i diritti umani degli individui in questione, in primis il diritto alla riservatezza.

L’approccio dell’Unione europea sembra percorrere, dunque, una via che persegue un costante equilibrio tra il rafforzamento della sicurezza, in primis delle reti informatiche, e la protezione della privacy e dei dati personali.

Questa è la strada che si dovrebbe continuare a percorrere al fine di elaborare efficienti politiche di cyber security che non compromettano la tutela dei diritti umani, il cui percorso evolutivo non può certo arrestarsi di fronte alle nuove sfide poste dal cyber spazio.


[1] COMANDÈ G., Privacy informativa: prospettive e problemi, 1997; NIGER S., Le nuove dimensioni della privacy: dal diritto alla riservatezza alla protezione dei dati personali, 2006.
[2] CASTRONOVO C., Situazioni soggettive e tutela nella legge sul trattamento dei dati personali, 1998;
[3] NIGER S., Le nuove dimensioni della privacy: dal diritto alla riservatezza alla protezione dei dati personali, 2006;
[4] RODOTÀ S., Il diritto di avere diritti, 2013;
[5] AULETTA T. A., Riservatezza e tutela della personalità, 1978;
[6] Bianca C.M., La protezione dei dati personali. Commentario al D. lgs. 20 giugno 2003, n. 196, 2004; ZENO-ZENCOVICH V., Il codice dei dati personali, 2004; ZENO-ZENCOVICH V., Trattamento dei dati e tutela della persona, 2006;
[7] ALOVISIO, Nuovo regolamento privacy UE: ecco tutto ciò che i cittadini e PA devono apere, in Agenda Digitale, 27 maggio 2016,
[8] cfr. MELIS F., Il diritto all’oblio e i motori di ricerca nel diritto europeo, 2015; RICCIO G. M., L’esordio del diritto all’oblio nella giurisprudenza italiana, 2006; in ultimo, v. Corte di Cassazione – Sez. Un. civ. – sentenza n. 19681 del 22-07-2019: in tema di rapporti tra il diritto alla riservatezza (nella sua particolare connotazione del cd. diritto all’oblio) e quello alla rievocazione storica di fatti e vicende concernenti eventi del passato, il giudice di merito – ferma restando la libertà della scelta editoriale in ordine a detta rievocazione, che è espressione della libertà di stampa protetta e garantita dall’art. 21 Cost. – ha il compito di valutare l’interesse pubblico, concreto ed attuale alla menzione degli elementi identificativi delle persone che di quei fatti e di quelle vicende furono protagonisti. Tale menzione deve ritenersi lecita solo ove si riferisca a personaggi che destino nel momento presente l’interesse della collettività, sia per ragioni di notorietà sia per il ruolo pubblico rivestito; in caso contrario, prevale il diritto degli interessati alla riservatezza rispetto ad avvenimenti del passato che li feriscano nella dignità e nell’onore e dei quali si sia ormai spenta la memoria collettiva”.
[9] v. “Il consenso dell’avente diritto al trattamento dei dati”: tra funzione “scriminante/autorizzativa” e funzione in senso lato dispositiva; tra atto giuridico e negozio giuridico; i requisiti del consenso. Cfr.: COMANDÈ G., Privacy informativa: prospettive e problemi, 1997; FRAU R., Profili del consenso al trattamento dei dati per fini economici nell’esperienza italiana, 2010; GORLA G., Il contratto. Problemi fondamentali trattati con il metodo comparativo e casistico, I, Lineamenti generali, 1995; MANES P., Il consenso al trattamento dei dati personali; RICCIO G. M., Il consenso dell’interessato al trattamento via Internet dei dati personali, Commercio elettronico e categorie civilistiche, 2002; Sica S., Il consenso al trattamento dei dati personali: metodi e modelli di qualificazione giuridica, 2001 THOBANI S., I requisiti del consenso al trattamento dei dati personali, 2017;
[10] COMANDÈ G., Privacy informativa: prospettive e problemi, 1997;
[11] v. Corte di Giustizia caso Google Spain. Cfr., inoltre, RODOTÀ S., Internet e privacy, c’è un giudice in Europa che frena gli Usa, 2015.
[12] RUSCONI, Data Protection Officer: una figura strategica tra privacy e security, 7 aprile 2017, ne Il Sole 24Ore,
[13] MILT, Protezione dei dati personali, Parlamento europeo, 2017,

Salvis Juribus – Rivista di informazione giuridica
Direttore responsabile Avv. Giacomo Romano
Listed in ROAD, con patrocinio UNESCO
Copyrights © 2015 - ISSN 2464-9775
Ufficio Redazione: redazione@salvisjuribus.it
Ufficio Risorse Umane: recruitment@salvisjuribus.it
Ufficio Commerciale: info@salvisjuribus.it
***
Metti una stella e seguici anche su Google News
The following two tabs change content below.

Vincenzo Mario

Laureato in giurisprudenza presso l'università della Calabria con votazione di 110 e Lode e tesi in diritto processuale civile dal titolo "il principio di autosufficienza nel ricorso per cassazione civile".

Articoli inerenti