Cosa si intende per tutela dei dati personali e Diritto alla privacy?

Nella Società moderna, in cui le vite di ciascuno di noi si svolgono in simbiosi con la tecnologia, è evidente come l’ordinamento non potesse prescindere dal rivolgere le proprie attenzioni alla regolamentazione delle nuove tecnologie e delle tematiche implicate nel loro utilizzo. Con l’entrata in vigore del Reg. UE 2016/679 (GDPR) negli ultimi tempi si è sentito molto parlare di “Privacy”, “Tutela dei dati personali”, “Diritto alla riservatezza” ed è sicuramente stato possibile apprezzare un sensibile aumento dell’attenzione in merito da parte dei privati cittadini, operatori economici e Pubbliche Amministrazioni.

Ma cosa si intende esattamente quando si parla di “Diritto alla Privacy”?

 
Tale interrogativo necessita di una ponderata e chiara risposta per due ordini di motivi.
Anzitutto è di fondamentale importanza che gli interessati ad un determinato trattamento abbiano piena coscienza dello stesso e delle relative implicazioni da esso discendenti, in modo che la rinnovata sensibilità in materia di privacy non si tramuti in una paranoia ingiustificata rispetto al trattamento dei dati.
Dall’altro, una piena comprensione della materia afferente al trattamento dei dati permette agli operatori economici e alle Pubbliche Amministrazioni che, per motivazioni connesse allo svolgimento della loro attività si trovano necessariamente a trattare dati personali, siano coscienti dei limiti entro cui la disciplina in materia permette loro di muoversi affinché possano operare scelte ponderate e soprattutto non vengano “ingessati” dal terrore di commettere errori e/o abusi.
Quando si pensa al concetto in parola in molti ritengono che esso sia semplicemente una sorta di barriera che protegge, entro certi limiti, la sfera privata di ciascun individuo, mentre invece esso è anche un insieme di strumenti volti da una parte a permettere un corretto utilizzo dei dati personali e dall’altra a fornire agli interessati al trattamento dei mezzi concreti attraverso i quali possano vigilare ed influire sui trattamenti dei dati che li riguardano.



1.    I concetti di Dato personale, Trattamento dei dati e consenso.



Per ragioni di chiarezza espositiva sarà necessario soffermarsi brevemente su alcuni dei concetti chiave su cui l’intera normativa in materia di privacy ruota, tra cui quello di “Dato personale”, “Trattamento dei dati” e “Consenso”.
Per Dato personale si deve intendere qualunque informazione relativa ad una persona fisica, identificata o identificabile anche in forma indiretta, idonea a rilevare informazioni sulle sue caratteristiche, sul suo stile di vita, sulle sue abitudini etc.
Il dato personale è in sostanza una categoria molto ampia che comprende al suo interno tutte le informazioni che possano essere riferibili, direttamente o indirettamente, ad una persona fisica.
In virtù della natura dell’informazione in questione sarà possibile individuare una categoria particolare di dati personali definiti dati sensibili poiché idonei a rilevare caratteristiche intime del soggetto interessato, quali l’orientamento religioso, lo stato di salute, le inclinazioni sessuali, le convinzioni politiche, l’origine etnica etc.
Elemento fondamentale affinché si possa parlare di “dato personale” è l’identificazione del soggetto cui l’informazione riferisce, anche se solo potenziale ed indiretta, non potendosi infatti ritenere applicabile la normativa in parola qualora ci si trovi in presenza di dati anonimi.

Rileva comprendere dunque che saremo in presenza di un dato personale sia nel caso in cui l’identificazione del soggetto possa avvenire in maniera diretta, come ad esempio il nome associato al cognome; sia nel caso in cui si possa identificare la persona in maniera indiretta tramite l’associazione di due o più informazioni, come ad esempio un determinato modello di macchina e il nome del suo proprietario.
Il contesto di riferimento rispetto al quale viene rilevato ed utilizzato quel determinato dato personale gioca infatti un ruolo preponderante ai fini dell’identificabilità degli individui coinvolti rendendo in certi casi anche solo potenzialmente possibile risalire all’identità degli stessi e determinando di conseguenza l’applicabilità della normativa in materia di trattamento dei dati personali.

Per trattamento dei dati personali deve invece intendersi qualunque operazione o complesso di operazioni, poste in essere anche senza l’ausilio di mezzi elettronici e finalizzate alla raccolta, registrazione, organizzazione, conservazione, consultazione, modificazione, selezione, estrazione, raffronto, interconnessione, blocco, comunicazione, diffusione, cancellazione e distruzione dei dati anche se non archiviati all’interno di una banca dati. Per ritenere sussistente un trattamento è sufficiente che venga posta in essere anche soltanto una delle operazioni su menzionate.
Ai sensi dell’art. 6 GDPR presupposto “principe” di liceità di un trattamento di dati personali è sicuramente il consenso dell’interessato, che deve essere espresso e specifico, intendendosi con tale termine il fatto che, qualora uno stesso titolare del trattamento persegua tramite esso diverse finalità, l’interessato dovrà avere la possibilità di esprimere il proprio consenso o meno rispetto a ciascuna di esse previa dettagliata e chiara informativa che gli permetta di prendere coscientemente una decisione in merito. 

Oltre ad essere specifico, libero e fornito solo previa ed opportuna informativa, il consenso deve anche essere espresso in maniera tale che non sia possibile nutrire alcun dubbio circa la volontà dell’interessato a rilasciarlo. Il trattamento sarà altresì legittimo qualora sia necessario per dare esecuzione ad un contratto, ovvero adempiere obblighi di legge; qualora risulti necessario alla tutela di un interesse essenziale per la vita dell’interessato o di soggetti terzi; per rilevanti motivi di interesse pubblico ed infine quando viene posto in essere per il perseguimento di un interesse legittimo del titolare o di altra persona fisica, ritenuto prevalente sulle libertà fondamentali dell’interessato.



2.    Il Diritto alla Privacy: da “divieto di intrusione” a “diritto di controllo e azione”.


Dopo aver preliminarmente rivolto l’attenzione ad alcuni dei fondamentali concetti afferenti alla materia della tutela dei dati personali sarà possibile intraprendere un breve percorso di studio sulle origini di tale materia e sull’evoluzione che il concetto di Diritto alla privacy ha avuto nel corso degli anni.
Le origini della privacy risalgono al 1890 quando, in Nordamerica, i due giuristi Samwell Warren e Louis Brandeis pubblicarono sulla rivista “Harvard Law Review” un articolo intitolato “Right to Privacy”.

In tale elaborato i due si interrogavano sulla possibilità di riconoscere all’individuo un nuovo diritto inteso come “Right to be let alone”, il diritto a rimanere soli e a limitare l’intrusione nella propria sfera personale da parte del mondo esterno, garantendo a ciascun individuo la possibilità di avere uno strumento di tutela degli aspetti più intimi della propria vita privata. In tale costruzione la privacy veniva intesa in senso prettamente negativo, vale a dire nel potere dell’individuo di vietare condotte che, senza un giustificato motivo, fossero invadenti della propria riservatezza e quindi il diritto ad essere lasciato indisturbato. Ovviamente quest’opera ed il suo messaggio, visti anche i tempi in cui vennero alla luce, incontrarono alcuni ostacoli nel loro pieno riconoscimento ma rappresentano comunque l’origine dell’attuale disciplina sul trattamento dei dati personali.

Dalla sua prima teorizzazione il Diritto alla privacy si è poi sviluppato in forme diverse a seconda del contesto sociale di riferimento.
In Europa il processo di riconoscimento del Diritto alla privacy come diritto fondamentale dell’individuo nasce con la stipula del Trattato di Maastricht e quindi con il passaggio da un’Europa unita soltanto da interessi di tipo economico, ad un’Europa intesa come comunità di Stati e di individui ai quali vanno riconosciuti un insieme di diritti inviolabili posti a tutela di beni concreti, quali ad esempio il diritto alla vita e all’integrità fisica, ma anche beni immateriali quali il diritto all’identità personale ed alla riservatezza

Con la Carta di Nizza ci sarà infatti un vero e proprio riconoscimento dell’esistenza di un “Diritto alla riservatezza” che è concetto diverso rispetto a quello di tutela della proprietà privata. 

È infatti da questo processo di riconoscimento di fondamentale importanza che discenderà poi la Direttiva 95/46 che ha dato origine allo sviluppo della normativa in materia di protezione dei dati personali nei singoli Stati membri con il duplice obiettivo di garantire il Diritto alla riservatezza, senza però intaccare la libera circolazione delle informazioni all’interno dell’Unione Europea e perseguendo inoltre l’obiettivo di creare una disciplina di protezione dei dati personali comune a tutti gli Stati membri.

Nascono così i principi fondamentali in materia come quelli di finalità, pertinenza, non eccedenza, aggiornamento e vengono inoltre previste un insieme di regole affinché il trattamento dei dati avvenga nel rispetto della sfera privata del cittadino a cui vengono inoltre riconosciuti un insieme di poteri ed azioni esperibili per controllare il trattamento dei propri dati personali (es. Diritto di accesso). 

Il diritto alla privacy comincia quindi ad assumere una nuova accezione, inteso più non solo in senso negativo come divieto quindi a subire ingiuste intromissioni nella propria sfera personale, ma anche come un diritto che permette azioni positive da parte dell’interessato affinché possa controllare i dati che lo riguardano detenuti da terzi soggetti e le operazioni da questi ultimi poste in essere sugli stessi. 

Per questo motivo si inizierà a parlare di autodeterminazione informativa, un concetto in virtù del quale l’interessato ha il potere di controllare e limitare le informazioni sul proprio conto che vengano alla conoscenza di terzi soggetti per non veder intaccato il proprio diritto alla riservatezza così come la propria identità e personalità e dunque l’immagine che la comunità cui appartiene ha di lui.

La Privacy rientra infatti nella sfera dei diritti della personalità, posti a tutela di beni non concreti ma comunque di fondamentale importanza per uno sviluppo sano e sereno dell’individuo all’interno della comunità.

L’obiettivo della creazione di una disciplina in materia di protezione dei dati che fosse comune a tutti gli Stati membri, perseguito dalla Direttiva 95/46, non è andato a buon fine e pertanto è stato ripreso con l’entrata in vigore del Reg. UE 2016/679 con cui sono state infatti definite regole comuni ed organiche alla normativa in materia di protezione dei dati personali in Europa. 

Viene poi rafforzato il passaggio da un concetto di privacy intesa come divieto a subire intromissioni ingiuste nella propria sfera personale, a privacy intesa come pieno riconoscimento di poteri di controllo dell’interessato sui propri dati.  Pertanto quando si parla di tutela dei dati personali non deve soltanto intendersi una barriera posta dall'ordinamento a protezione della riservatezza dell’individuo, ma anche un insieme di regole da rispettare affinché il trattamento avvenga in maniera conforme alla normativa e non intacchi i diritti dell’interessato che a sua volta è protagonista in materia e detentore di poteri positivi volti ad assicurargli un controllo sulla circolazione delle informazioni sul proprio conto.
L’interessato, già con l’entrata in vigore del D.lgs. 196/2003 (il vecchio “Codice Privacy”), ha infatti diritto ad ottenere informazioni in merito ai dati che vengono trattati (diritto di informazione), di prendere visione dei dati trattati (diritto di accesso), chiedere che gli stessi gli siano forniti in forma intelligibile e su un supporto universalmente compatibile (diritto alla portabilità) e potrà altresì revocare il consenso, esperire opposizione al trattamento o chiederne il blocco. 
Sarà altresì parte attiva nel trattamento potendo richiedere l’aggiornamento o la rettifica dei dati, così come la loro trasformazione in forma anonima.
Un insieme di diritti e poteri volto a promuovere la trasparenza dei trattamenti di dati personali e a rendere l’interessato sempre più parte attiva negli stessi, finalità che si evince anche dal fatto che quest’ultimo, qualora ritenga di aver subito abusi in merito al trattamento di dati personali, potrà adire il Garante della Privacy attraverso un reclamo, una segnalazione ovvero con un ricorso.
Ovviamente tali poteri e diritti potranno, in certi casi specificamente indicati, subire una limitazione per il bene comune in quanto gli interessi del singolo non possono andare a discapito degli interessi della collettività, si veda ad esempio il rapporto che la privacy ed i concetti ad essa riconducibili (es. Diritto all’oblio) ha con altri diritti, altrettanto degni di tutela, quali il Diritto di cronaca.


Dott. Tobia Toscano