I dati sensibili ai tempi dei social network e del GDPR.

1. Il diritto alla riservatezza.

E’ proprio oggi, nell’epoca dei social network, dei mass media e della condivisione sfrenata, che sembra esservi stato il “rinascimento” del diritto alla riservatezza, sempre più rivendicato. Alla luce di un fenomeno sociologico qual è la necessità (quasi morbosa!) di condivisione della propria sfera privata, e della cui analisi non intendo di certo occuparmi in questa sede, è interessante approfondire la “riscoperta” del diritto alla privacy anche alla luce dei recenti avvenimenti.

Il diritto alla riservatezza è intrinsecamente connesso al riconoscimento dei diritti della personalità e rappresenta la consacrazione del diritto di ciascun soggetto alla propria “sfera privata” e che, in virtù del collegamento con la salvaguardia dei diritti inviolabili della personalità costituzionalmente garantiti, si configura come un bene giuridicamente protetto.

Tuttavia, va osservato, che la “consacrazione” di tale diritto non è stata automatica bensì la giurisprudenza, fino agli anni ’50, sosteneva non si potesse ravvisare la sussistenza di un diritto alla riservatezza^[1]; nel corso degli anni, però, inizia a consolidarsi un mutamento di tale solido orientamento, dapprima con una tiepida apertura in considerazione del diritto assoluto alla personalità^[2], con l’approdo al pieno riconoscimento della “privacy” negli anni ’70 in cui la S.C. riconobbe “il diritto alla riservatezza, che consiste nella tutela di quelle situazioni e vicende strettamente personali e familiari le quali, anche se verificatesi fuori del domicilio domestico”.^[3]

Alla luce di tali considerazioni, è evidente come la “riservatezza” non rappresenti un diritto a sé stante bensì risulti indissolubilmente connesso a tutta una serie di diritti, tanto da configurarsi come strumentale alla tutela di diritti quali l’immagine, la personalità e l’onore, soprattutto al fine di evitare che determinate notizie conferenti la sfera più privata siano oggetto di diffusione a mezzo dei mass media e ciò indipendentemente dalla veridicità o meno di quanto eventualmente diffuso e della lesività delle notizie. Si tratta, quindi, di una tutela che prescinde da tali circostanze e si connota come salvaguardia della libertà dell’individuo a poter mantenere la “riservatezza” sugli aspetti più intimi e personali della propria vita.

Ovviamente, dinanzi ad una tutela (in teoria) così astringente si pone il problema del bilanciamento con altri diritti quali, ad esempio, il diritto alla cronaca che rappresenta una delle espressioni di quella “libertà di manifestazione del pensiero” garantita e tutelata dall’art. 21 della nostra Costituzione.

Al fine di contemperare i contrapposti interessi, la giurisprudenza si è impegnata a tracciare le “linee guide” affinché il diritto alla cronaca fosse esercitato nel rispetto della tutela della riservatezza. Difatti, si è giunti alla conclusione di considerare lecita l’informazione giornalistica quando, pur riportando fatti e condotte riconducibili alla sfera privata, vi sia un interesse pubblico e che i dettagli della vicenda siano riportati nella loro essenzialità.^[4] In tal modo, si è stabilito che “la pubblicazione dei dati personali o dell'immagine senza il consenso dell'interessato, è legittima nell'esercizio dell'attività giornalistica, laddove si conformi ai limiti del diritto di cronaca”^[5].

Ritengo, inoltre, di dover accennare a quello che si pone come uno dei più recenti diritti derivati dal diritto alla riservatezza e che, anch’esso, si “scontra” con il diritto alla cronaca: il diritto all’oblio. Indubbiamente un diritto “recente” e che sicuramente nasce dall’esigenza di tutelarsi dinanzi al mondo del web e che dovrebbe garantire l’individuo a che non siano diffusi precedenti pregiudizievoli per il suo onore e, quindi, una tutela dal protrarsi delle conseguenze connesse all’essere stati coinvolti in una vicenda di cronaca. Un diritto ad essere “dimenticati”, la cui esigenza deriva dalla constatazione per cui ciò che è nella rete vi resta per sempre. 

Questo nuovo diritto pone la possibilità che un fatto di cronaca torni ad essere privato quando, dopo esser stato conosciuto dal pubblico, perda alcuna utilità nel pubblico interesse. Pertanto, tale diritto, che ha trovato una regolamentazione dapprima con il Regolamento (UE) 2016/679 del Parlamento europeo e successivamente col recente GDPR, consente all’interessato di ottenere la cancellazione dei dati personali senza ritardo a meno che la diffusione di tale informazioni non sia necessaria al fine di esercitare il diritto alla cronaca ed all’informazione^[6].

E’ giusto, in ogni caso, evidenziare come queste premesse valevoli per qualunque soggetto possano essere “riconsiderate” qualora si tratti di un personaggio pubblico: è, difatti, evidente che l’equilibrio tra diritto all’informazione ed alla riservatezza risulti, per tali soggetti, differente. Vien da sé che rispetto alle persone note o che esercitino funzioni pubbliche, vi siano spazi più ampi per la diffusione di informazioni personali che possano avere rilievo in merito al carattere pubblico dell’attività svolta da questi.^[7]

2. La genesi del D.lgs. 196/2003.

Il diritto alla riservatezza riguarda, ovviamente, soprattutto la diffusione dei propri dati sensibili (e non soltanto la diffusione di notizie a mezzo stampa) ed è in epoca moderna che si è avvertita, maggiormente, la necessità di porre strumenti di tutela in tal senso.

Bisogna osservare come inizialmente, per la tutela della riservatezza, non vi fosse una normativa d’uopo prevista bensì si doveva far ricorso soltanto alla giurisprudenza (in particolare quella della Corte di Cassazione); tuttavia, con l’evolversi della società si è sentita l’esigenza di provvedere in tal senso così da disciplinare gli aspetti legati alla protezione e diffusione dei dati sensibili. L’impulso alla creazione di una normativa ad hoc fu data dalla direttiva europea 95/46/CE del 1995 che prevedeva la necessità di tutelare il trattamento dei dati personali delle persone fisiche e, pertanto, venne emanata la legge 31 dicembre 1996 n. 675, entrata in vigore nel maggio 1997. Con tale previsione normativa si è avuto un primo, importantissimo, passo per la tutela dei dati personali: infatti, venivano previsti una serie di obblighi di riservatezza nonché la previsione di una strumentazione idonea a garantire la segretezza dei dati raccolti, la cui diffusione veniva vietata salvo che espressamente consentita o prevista a norma di legge ma soprattutto si ebbe l’istituzione del “Garante per la protezione dei dati personali”. Organo cui venivano affidati una serie di compiti riconnessi alla protezione dei dati personali come vigilare affinché i trattamenti siano effettuati nel rispetto delle norme di legge (con possibilità di vietare, anche d’ufficio, i trattamenti illeciti).

A tale normativa, nel corso degli anni, si affiancarono numerose altre disposizioni tanto da crearsi una stratificazione tale da far assurgere la necessità di riordinare quel “caos normativo” in un testo unico: così si ebbe la promulgazione de “codice per la protezione dei dati personali” (c.d. codice della privacy) con il D. Lgs. n. 196/2003. Suddetto testo unico, che riunisce tutta la normativa in materia, e che introdusse una serie di nuove garanzie per i cittadini, provvedendo, altresì, a semplificare gli adempimenti disposti per la tutela e protezione dei dati personali prevedendo disposizioni in merito al “trattamento” di tali dati ed in particolare circa la loro raccolta, elaborazione e diffusione, si pone essenzialmente come una “razionalizzazione” della normativa in materia.

Obiettivo primario resta, incontestabilmente, evitare che si abbia il trattamento dei dati senza il consenso dell'avente diritto ovvero in modo da recargli un qualche pregiudizio, bilanciando i contrapposti esigenti di colui che è titolare di tali dati e colui che, invece, per varie esigenze li raccoglie; a tal fine, oltra alla previsione della modalità di raccolta e le caratteristiche dei dati, venivano previsti una serie di obblighi in capo a chi raccoglieva o trattava tali dati, con conseguente riconoscimento di responsabilità in capo a questi per violazioni di legge e con la comminazione di sanzioni.

E’ bene anche specificare, così come avviene all’art. 4 del D.Lgs. 196/2003, cosa si intenda per “dati sensibili”: sono considerati tali qualunque dato che possa rilevare l’origine razziale od etnica; opinioni politiche e convinzioni religiose o filosofiche; l’adesione a partiti ovvero ad associazioni di stampo religioso nonché notizie circa lo stato di salute o la vita sessuale.

Tali dati, ai sensi dell’art. 11, debbono essere trattati secondo correttezza, liceità ed in osservanza al principio di finalità, ed è inoltre chiaro che il trattamento dei dati deve essere ispirati a principi come la trasparenza in ogni fase. Con la nuova normativa, si ha anche l’introduzione del concetto di “trattamento leale” (con riferimento, ad esempio, agli istituti bancari che quando vi fu l’introduzione della normativa sulla privacy chiedevano ai propri clienti un ampissimo consenso sul falso presupposto per cui, in mancanza, non sarebbe stato possibile effettuare qualsivoglia operazione bancaria) ed, ovviamente, si evidenzia come il trattamento debba sempre avvenire in modo lecito e nel rispetto del principio di finalità. In riferimento a quest’ultimo aspetto, si evidenzia come i dati personali raccolti al fine dell’erogazione di un determinato servizio possa essere utilizzato esclusivamente per tale scopo.^[8]

In ogni caso, pur con delle critiche (per es. con riguardo alla discussione in merito al richiamo all’art. 2050 c.c. per i danni derivanti dalla diffusione non autorizzata dei dati sensibili previsti dall’art. 15 comma 2), si può osservare come nel panorama europeo tale testo unico risulti essere il primo tentativo di dare organicità a tale disciplina.

3. Internet, i social network ed il caso Facebook/ Cambridge Analytica.

Se si parla di “dati personali” nel 2018 non si può non far riferimento ad internet che rappresenta, ormai, un immenso “raccoglitore” dei dati degli utenti della rete. Per questo motivo si è reso necessario prevedere una regolamentazione anche per quanto concerne i dati raccolti dal web. A chi non è capitato di aprire una pagina internet e trovarsi il banner che chiede il consenso per l’utilizzo dei cookies? Ebbene, quel banner che a molti potrebbe sembrare tedioso rappresenta, invero, un ulteriore strumento di tutela posto nei confronti dell’utente. Difatti i cookies http altro non sono che file di informazioni che vengono utilizzati dai siti web al fine di memorizzare il computer dell’utente internet nel corso della navigazione e poter così identificare chi ha già visitato il sito: orbene, con l’art. 112 del D.Lgs. 196/2003 entrato in vigore il 3 giugno 2015, che ha recepito la Direttiva 2009/136/CE in materia di “e-privacy”, è stato previsto l’obbligo per i gestori dei siti web di informare e chiedere esplicito consenso all’utente (appunto mediante l’utilizzo dei banner che compaiono all’apertura di una pagina internet)^[9].

Tuttavia i rischi riconnessi alla riservatezza dei propri dati riguarda soprattutto i cd. social network: si è avuto modo di illustrare i principi che ispirano la tutela del trattamento dei dati previsti dal D.Lgs. 196/2003 ma è palese che quando si tratta di social sorgono non pochi problemi (basti pensare alla possibilità di “condividere” i contenuti così che una foto può giungere anche a soggetti a noi estranei).

Se prendiamo in esame, ad esempio, la nota piattaforma Facebook, si evidenziano una serie di rischi legati alla salvaguardia della privacy; si pensi alla circostanza per cui con l’iscrizione a tale social si rientra nei risultati dei motori di ricerca, senza che venga prestato espresso consenso, con la conseguenza che nome ed immagini “postate” possono essere alla mercé anche di soggetti non iscritti a tale community. Del resto, quando ci si iscrive ad un social, anche se si presta il consenso al trattamento dei dati, non se ne han ben chiare le finalità.

Particolarmente delicata risulta, poi, essere la posizione dei minori tanto è vero che la giurisprudenza di recente si è pronunciata sul merito della condivisione di foto minori per mezzo della piattaforma facebook, stabilendo che “l'inserimento di foto di minori sui social network costituisce un comportamento potenzialmente pregiudizievole per essi in quanto ciò determina la diffusione delle immagini fra un numero indeterminato di persone, conosciute e non”, ragion per cui è necessario vi sia il consenso di entrambi i genitori^[10].

Ma, altrettanto delicata nonché controversa, risulta essere il commercio illegale dei dati raccolti da tali piattaforme. E’ assurto all’onore delle cronache la recente vicenda che vede coinvolta propria la nota piattaforma Facebook e la società di analisi Cambridge Analytica in merito all’acquisizione dei dati di oltre 50mila utenti. La Cambridge Analytica attraverso la raccolta dei dati in merito ai “mi piace” degli utenti ed ai post maggiormente commentati e l’elaborazione di tali informazioni, crea modelli ed algoritmi così da misurare i comportamenti e la personalità e sviluppare una pubblicità personalizzata per ogni utente. In particolare, l’Università di Cambridge elaborò un’applicazione di nome “thisisyourdigitallife” che offriva un servizio di previsione del comportamento sulla base dell’attività online e, attraverso tale app, cui si accedeva mediante login di Facebook, ha raccolto oltre 50 milioni di dati dai profili facebook poi condivisi con la predetta Cambridge Analytica. Dunque da un’applicazione nata per indagine e ricerca per il settore commerciale è stata applicata alla politica per svolgere indagini e ricerca sulle preferenze degli elettori. E’ evidente che ciò contrasta con il diritto alla riservatezza (che come si è evidenziato ricomprende anche le opinioni politiche) ed è in questa prospettiva che assume una rilevanza notevole l’emanazione del recentissimo GDPR.

4. L’introduzione del GDPR.

L’ultima “rivoluzione” in materia di protezione dei dati è rappresentata dall’importante riforma europea in materia di privacy, ossia l’introduzione del GDPR con cui si mira ad avere una regolamentazione uniforme in tutta Europa.

Dunque, bisognerà apportare delle modifiche alla disciplina fornita dal nostro ordinamento in materia: l’obiettivo cui sembra orientarsi la Commissione parlamentare speciale impegnata in tal progetto, sembra essere l’implemento delle novità introdotte dal Regolamento europeo pur mantenendo in essere l’impianto del testo unico delineato dal D.Lgs. 196/2003 anche nell’ottica di una più agevole transizione. Bisogna considerare che, infatti, mentre le norme del Regolamento contiene l’enunciazione di principi direttamente applicabili (si pensi al diritto dell’interessato ad avere informazioni, accesso ai dati ed a richiederne la rettifica e/o cancellazione), le altre norme necessitano l’intervento del legislatore nazionale.

Dal 25 maggio 2018, comunque, il Gdpr risulta pienamente applicabile con le sue importanti novità quali: il concetto di “data protection by design”, il principio di “accountability”, e la previsione della figura del Data Protection Officer (cd. DPO) da parte del responsabile e del titolare del trattamento.

Il principio di “privacy by design e by default” in base al quale il titolare del trattamento (che deve essere specificamente individuato) deve adoperarsi per porre in essere tutte le misure, sia tecniche che organizzative, per garantire che i dati raccolti siano trattati nel rispetto dei principi del corretto trattamento dei dati e, quindi, col ricorso soltanto ai dati personali che risultino necessari per la specifica finalità di trattamento.

Altro principio introdotto è il cd. “principio dell’accountabiliy” (ossia della “responsabilizzazione”) che riguarda il titolare del trattamento (sia che si tratta del professionista che di aziende ovvero pubbliche amministrazioni) il quale, oltre a dover porre in essere tutte le misure necessarie a garantire la sicurezza dei dati raccolti, è tenuto, qualora accerti la violazione dei dati, a darne tempestiva comunicazione (entro 72 ore) all’autorità competente, salvo il caso in cui dimostri che la violazione dei dati non comporti alcun rischio né per i diritti né per le libertà delle persone fisiche.

Infine, assolutamente meritevole di nota, è l’introduzione della necessità della designazione del cd. Data Protection Officer (DPO) che rappresenta il “responsabile della protezione dei dati” (nomina obbligatoria per le strutture che vantano oltre 250 dipendenti e che si occupano di monitoraggio su larga scala ovvero per le autorità pubbliche) ed il cui ruolo non si limita a “vigilare” sulla protezione dei dati bensì svolge quasi il ruolo di “counsel” affinché lo sviluppo del business avvenga sempre nell’ottica di garantire la sicurezza dei dai raccolti.

Un ruolo “cruciale”, pertanto, nell’ambito della nuova fisionomia della protezione dei dati delineata dal Gdpr eppure con riguardo alle competenze che questo debba possedere vi sono non pochi dubbi (ad esempio se debba trattarsi di un tecnico specializzato in tecniche informatiche con conoscenze giuridiche) anche tenuto conto della possibilità che questo ruolo può essere rivestito sia da un soggetto outsourcing ma anche da un soggetto “interno”^[11].

Si tratta, in ogni caso, di una figura nuova (ed innovativa) che, nonostante i dubbi sugli aspetti tecnici, riveste una notevole importanza.