Persone
Il Caso.it, Sez. Articoli e Saggi - Data pubblicazione 09/10/2017 Scarica PDF
Appunti sul Regolamento UE n. 679/2016, relativo alla protezione delle persone fisiche con riguardo al trattamento dei dati personali (parte I)
Gioacchino La Rocca, Professore ordinario di diritto civile nell'Università di Milano BicoccaSommario: 1. La centralità del «diritto alla vita privata» nel passato – 2. Attività di impresa e trattamento dei dati personali – 3. «Il diritto alla protezione dei dati di carattere personale non è una prerogativa assoluta» – 4. Esercizio dell’impresa e «legittimo interesse» del titolare del trattamento – 5. Rischiosità del trattamento dei dati personali e responsabilità degli amministratori – 6. «Funzione sociale» e «contemperamento» nel diritto alla protezione dei dati personali.
1. «I sistemi di trattamento dei dati sono al servizio dell'uomo»: con queste perentorieparole il considerando n. 3 della direttiva 95/46/CE esprimeva chiaramente la subordinazione del trattamento dei dati personali alla persona umana e ai suoi diritti, tra i quali – continuava il considerando – dovevano considerarsi «le libertà, i diritti fondamentali delle persone fisiche, in particolare la vita privata» ([1]).
La direttiva si poneva così nel solco della tradizione europea aperta dall’art. 8 della «Convenzione europea per la salvaguardia dei diritti dell’uomo e delle libertà fondamentali» del 4 novembre 1950, che infatti era espressamente richiamato nel considerando n. 10 della direttiva proprio per rimarcare il collegamento tra i due corpi normativi ([2]), e successivamente ribadita dalla Convenzione n. 108, sulla protezione delle persone rispetto al trattamento automatizzato dei dati, adottata a Strasburgo il 28 gennaio 1981,. La politica del diritto che animava e che anima le due convenzioni, è chiaramente esposta nell’art. 1 della Convezione di Strasburgo: «scopo della presente convenzione è quello di garantire …, sul territorio di ogni Parte, ad ogni persona fisica … il rispetto dei diritti e delle libertà fondamentali, ed in particolare del diritto alla vita privata, nei confronti dell’elaborazione automatizzata dei dati di carattere personale che la riguardano».
Da queste disposizioni si ricava agevolmente una contrapposizione tra «elaborazione automatizzata dei dati» (riferimento del tutto assente per ovvi motivi di carattere storico nella Convenzione del 1950) e «diritto alla vita privata». La centralità così assunta dal «diritto alla vita privata» rende necessario precisarne la nozione: esso, pur nella varietà delle definizioni possibili e storicamente cangianti in rapporto alle esigenze di tempo in tempo avvertite, può intendersi come diritto alla protezione e alla riservatezza di ogni informazione riferita o riferibile ad una persona identificabile ancorché non ne discenda alcuna lesione all’onore e alla reputazione; esso è stato esteso fino a comprendere il diritto ad autodeterminarsi, ossia il diritto di escludere dalla propria sfera privata messaggi e dati provenienti da terzi.
È stato posto opportunamente in risalto che il rispetto dell’intimità della persona, sottinteso nel «diritto alla vita privata», è strettamente connesso alla formazione di quella «dignità» della persona che tanta parte ha nelle carte fondamentali. In questa prospettiva il fatto che «l’elaborazione automatizzata dei dati» trovi un invalicabile limite nel «diritto alla vita privata», si pone in diretta continuazione con l’idea, propria dello Stato liberale, della riservatezza quale limite che l’individuo poteva opporre allo Stato quando quest’ultimo pretendeva di invadere gli ambiti non patrimoniali della la sua sfera personale.
Fin dal primo studio dedicato nel 1890 al right to privacy fu intravisto esplicitamente il collegamento tra tale diritto e la proprietà: entrambi venivano configurati come strumenti a disposizione dell’individuo volti a presidiare rispettivamente l’ambito non patrimoniale e l’ambito patrimoniale della sfera privata, onde salvaguardarla dalle minacce provenienti all’epoca soprattutto dallo Stato, ma non solo come si dirà immediatamente.
Così inteso, il right to privacy, il diritto alla vita privata, corre in parallelo con le categorie generali del diritto civile elaborate dalla scienza civilistica dei secoli XVIII e XIX: esso sembra completare, infatti, il pacchetto di strumenti giuridici a disposizione dell’individuo - il soggetto di diritto della tradizione civilistica - e ripercorre con riguardo ai dati personali il modello di dominio già sperimentato a proposito della proprietà, che a sua volta ha costituito lo specimen per l’elaborazione della categoria del diritto soggettivo.
Non mancano poi le affinità con la parabola dell’altra grande categoria civilistica: il negozio giuridico. Con il «diritto alla vita privata» sembra, infatti, riproporsi una vicenda analoga a quella vissuta dal «negozio giuridico»: quest’ultimo, nato per salvaguardare l’autonomia dei privati rispetto allo Stato, si è evoluto quale strumento per la protezione della «volontà», della libertà contrattuale del contraente più «debole» a fronte di un mercato caratterizzato da forti ed evidenti squilibri; in pari misura, il «diritto alla vita privata» concepito nella società individualistica del XIX secolo a difesa del singolo dall’invadenza dello Stato – eloquente in questo senso ancora l’art. 8 della Convenzione del 1950 – si presta fin da subito a difendere la «vita privata» dalle minacce provenienti dall’impresa – all’epoca soprattutto giornalistica ([3]) – secondo una vocazione che sarà esaltata negli ultimi lustri del XX secolo, fino a trasformare il right to privacy in un vero e proprio strumento di difesa della persona di fronte all’invasività dell’impresa che pretende di utilizzarne le relative informazioni e di orientarla nelle sue scelte di consumo e politiche.
2. Il legislatore europeo da tempo ha preso espressamente atto del collegamento tra attività di impresa e trattamento dei dati personali, e dunque delle possibili interferenze tra attività d’impresa e «diritto alla vita privata». Esplicito in tal senso è il già richiamato considerando n. 3, dir. 95/46/CE; esso, in particolare, se letto in coordinamento con il successivo considerando n. 4 ([4]), dà evidenza alla circostanza che l’elaborazione dei dati personali ha luogo, oltre che ad opera delle amministrazioni pubbliche, anche e soprattutto in funzione dell’esercizio di attività imprenditoriali. Nel considerando in esame si pone il principio che la libera circolazione delle merci, dei servizi, dei capitali - ossia in una parola: il mercato - anche quando presuppone il trattamento dei dati personali deve comunque salvaguardare i «diritti e le libertà fondamentali delle persone fisiche», tra i quali in particolare la loro «vita privata».
Il rapido sguardo retrospettivo fin qui condotto consente una prima constatazione. Nelle disposizioni fin qui richiamate, che coprono oltre quaranta anni di legislazione apicale europea in materia, il diritto alla «vita privata», il diritto alla «privatezza» della vita della persona si pone come argine a forme di esercizio dell’attività economica che implichino la raccolta e l’utilizzazione di informazioni riguardanti la sfera personale, lo stile di vita, la personalità, le convinzioni, i dati di una persona fisica identificata o identificabile. In questo caso, l’interesse connesso all’esercizio dell’attività economica è senz’altro recessivo – sempre nella prospettiva della Direttiva, come delle disposizioni precedenti quest’ultima e sopra ricordate – rispetto all’interesse della “privatezza” della vita della persona, specie se se ne esalta la connessione con la «dignità»: in quest’ultimo caso si realizza un collegamento espresso (ed assai importante di fatto anche sul piano argomentativo) con l’art. 41 Cost., con la conseguenza – che pure in passato è stata tratta - di poter dubitare della liceità del contratto con il quale l’interessato consente il trattamento dei suoi dati anche sensibili dietro corrispettivo.
3. Una diversa visione sembra annunciata dal Regolamento n. 679/2016: «il diritto alla protezione dei dati di carattere personale non è una prerogativa assoluta, ma va considerato alla luce della sua funzione socialee va contemperato con altri diritti fondamentali, in ossequio al principio di proporzionalità. Il presente regolamento rispetta tutti i diritti fondamentali … in particolare il rispetto della vita privata e familiare, del domicilio e delle comunicazioni, la protezione dei dati personali, la libertà di pensiero, di coscienza e di religione, la libertà di espressione e d'informazione, la libertà d'impresa» (considerando 4, Reg. 679).
Un primo rilievo salta agli occhi: sembra appannarsi nel Regolamento la centralità del «diritto alla vita privata» che dominava, invece, i precedenti corpi normativi. Come si ricorderà, nelle precedenti normative, almeno sul piano teorico-valoriale, il «diritto alla vita privata» si contrapponeva vittoriosamente al trattamento dei dati personali posto in essere in vista dell’esercizio dell’impresa; oggi quel diritto è solo uno dei «diritti fondamentali» che il Regolamento elenca sulla falsariga della «Carta dei diritti fondamentali dell’Unione Europea».
La seconda notazione riguarda l’emergere del «diritto alla protezione dei dati personali», declinato come diritto a che i dati, le informazioni su una data persona fisica identificabile siano raccolti e trattati in modo «lecito». In particolare, la discontinuità sta nel diverso presupposto da cui sembrano muovere i due diritti: il «diritto alla vita privata», alla privatezza della propria vita e dei dati che, a guisa di tasselli di un mosaico, la compongono, implica uno jus excludendi alios, che nel diritto alla protezione dei dati personali non sembra parimenti immediato. Come si è detto, questo secondo diritto consiste nella pretesa che i propri dati siano oggetto di un trattamento «lecito». Sembra evidente che in tale ultima prospettiva il trattamento dei dati personali è assunto come condotta che di fatto ha luogo e che non si può in assoluto vietare, ma solo regolamentare (v. infatti fin d’ora il fondamentale art. 5, Reg. n. 679). La netta cesura rispetto alla tradizione europea del dritto alla riservatezza è in quelle parole: «Il diritto alla protezione dei dati di carattere personale non è una prerogativa assoluta» (considerando n. 4).
Occorre, dunque, accogliere con estrema cautela la rassicurante declamazione di continuità con la direttiva: anche se nel Regolamento si afferma che gli «obiettivi e principi [della direttiva] rimangono tuttora validi» (così considerando n. 9 Reg.), in realtà con esso si compie un’opzione ideologica, valoriale di fondo: non solo, come già detto, il Regolamento tende a superare la contrapposizione tra «diritto alla vita privata» del singolo ed esercizio dell’impresa, ponendo per di più il primo in una posizione defilata, ma la nuova disciplina dichiaratamente pretende un contemperamento tra diritto alla protezione dei dati personali ed esercizio dell’impresa. Il suo dichiarato motivo ispiratore è quello di evitare che «la compresenza di diversi livelli di protezione dei diritti e delle libertà delle persone fisiche, ed in particolare del diritto alla protezione dei dati personali, … [possa] ostacolare la libera circolazione dei dati personali all’interno dell’Unione» e così frenare «l’esercizio delle attività economiche … falsare la concorrenza …» (considerando n. 9). Parimenti esplicito nella stessa direzione è il considerando n. 13, all’interno del quale si legge che «per il buon funzionamento del mercato interno è necessario che la libera circolazione dei dati personali all’interno dell’Unione non sia limitata né vietata per motivi attinenti ala protezione delle persone fisiche con riguardo al trattamento dei dati personali».
4. Come si vede, è centrale «l’esercizio delle attività economiche»; esso non deve essere «frenato» da «livelli diversi di protezione dei diritti e delle libertà». Al presupposto sul quale poggiano queste affermazioni presenti nel Regolamento si è già accennato: con difficoltà ormai si può esercitare l’impresa senza trattare dati personali. Il legislatore europeo ne è assolutamente consapevole: «la tecnologia attuale consente … alle imprese private … di utilizzare dati personali … nello svolgimento delle loro attività» (considerando n. 6).
Tale consapevolezza del legislatore europeo si sviluppa in due direzioni: in primo luogo vi è la esplicita accettazione del trattamento dei dati nell’esercizio dell’impresa purché – mette conto aggiungerlo immediatamente – siano adottate «misure tecniche e organizzative adeguate» per garantire la sicurezza dei dati (art. 5, lett. f). La prospettiva ora sottolineata trova conferma nel fatto che il trattamento dei dati posto in essere «per il perseguimento del legittimo interesse del titolare del trattamento o di terzi» costituisce una delle «basi giuridiche» elencate nell’art. 6 quali «condizioni» che rendono di per se lecito il trattamento dei dati. È meritevole di considerazione la circostanza che nell’art. 6 il «legittimo interesse» del titolare è ormai equiparato al consenso dell’interessato nel novero delle «basi giuridiche» del trattamento.
Mette conto connessione tra la libertà (e dunque gli interessi della) impresa ed il «legittimo interesse del titolare del trattamento» menzionato dall’art. 6, lett. f, Reg. n. 679. Invero, tale coincidenza è confermata in primo luogo dall’intrinseco valore riconosciuto all’impresa dalla Carta dei diritti fondamentali della UE: la circostanza è espressamente rammentata nel Regolamento quando equipara la «libertà di impresa» al «rispetto della vita privata» e alla «protezione dei dati personali» (v. ancora considerando n. 4). Nello stesso senso depone il considerando n. 47, il quale espressamente dichiara che «può essere considerato legittimo interesse trattare dati personali per finalità di marketing diretto».
5. L’attenzione del Regolamento al collegamento tra impresa e trattamento dei dati personali è circoscritto non solo agli aspetti fin qui evidenziati. Si è già accennato che l’interesse dell’impresa, pur costituendo di per sé autonoma «base giuridica», non esime certamente, anzi, come si dirà immediatamente, impone all’impresa stessa di adottare «misure tecniche e organizzative adeguate» per garantire la sicurezza dei dati .
Il Regolamento infatti non manca di porre l’accento sulla rischiosità del trattamento dei dati: «una violazione dei dati personali può … provocare danni fisici, materiali o immateriali alle persone fisiche, ad esempio perdita del controllo dei dati personali che li riguardano o limitazione dei loro diritti, discriminazione, furto o usurpazione d'identità, perdite finanziarie, decifratura non autorizzata della pseudonimizzazione, pregiudizio alla reputazione, perdita di riservatezza dei dati personali protetti da segreto professionale o qualsiasi altro danno economico o sociale significativo alla persona fisica» (considerando n. 85 e 75). Il Regolamento offre un’ulteriore indicazione utile: «la probabilità e la gravità del rischio per i diritti e le libertà dell'interessato dovrebbero essere determinate con riguardo alla natura, all'ambito di applicazione, al contesto e alle finalità del trattamento. Il rischio dovrebbe essere considerato in base a una valutazione oggettiva mediante cui si stabilisce se i trattamenti di dati comportano un rischio o un rischio elevato» (considerando n. 76).
Questo considerando esplicita la necessità per il «titolare del trattamento», ossia per l’impresa, di adottare misure che, se non fossero state esplicitamente suggerite, dal considerando medesimo, si sarebbero potute dedurre dagli obblighi di diligenza posti a carico dell’amministratore dell’impresa societaria. Egli è tenuto in primo luogo a censire i dati trattati in funzione dell’attività d’impresa, fare un’analisi costi/benefici tra possibili utili stimati grazie al trattamento dei dati e rischi comportati da quest’ultimo, tenendo conto che nell’ordinamento interno italiano è ormai acquisito da tempo (v. art. 15, codice del trattamento dei dati), che il trattamento dei dati è attività pericolosa ai sensi dell’art. 2050 c.c. e che in questi casi, di fronte alla verificazione del danno, l’autore è di fatto privo di difesa.
In questa prospettiva la nomina di un «responsabile della protezione dei dati» si configura quale momento di applicazione degli obblighi di diligenza da parte dell’amministratore, tenuto conto del contributo in termini di competenza tecnica che tale figura può dare in materia di trattamento dati, sua rischiosità e misure di contenimento dei rischi.
6. Rilievi d’altro tipo sono poi suggeriti dalle già ricordate parole del considerando n. 4: «Il diritto alla protezione dei dati di carattere personale non è una prerogativa assoluta, ma va considerato alla luce della sua funzione sociale e va contemperato con altri diritti fondamentali, in ossequio al principio di proporzionalità».
A fronte del testo appena riprodotto non ci si può non interrogare sul senso di quel riferimento alla «funzione sociale» del «diritto alla protezione dei dati di carattere personale». Vale sul punto rammentare che per sua natura un diritto è esercitato in direzione della soddisfazione di un interesse proprio del titolare. Si è già accennato alla connessione strettissima tra elaborazione della nozione di diritto soggettivo con il diritto di proprietà. Uno sguardo all’esperienza storica avverte che si è elaborato il concetto di «funzione sociale» nel tentativo di infrangere lo schermo dello ius exludendi che caratterizza il diritto di proprietà, onde introdurre la necessità che il tale diritto sia esercitato anche «in funzione» di un interesse diverso da quello del titolare in vista di un fine eterodeterminato. Questa interpretazione della «funzione sociale» del diritto è stata storicamente confortata dagli approfondimenti condotti in materia negli anni venti-trenta e sostanzialmente ripresi dagli artt. 42 e 44 Cost.
Se si trasferisce questa costruzione al «diritto alla protezione dei dati» e se ne postula una «funzione sociale», si ottiene il risultato di assegnare alla persona fisica, che – fino a prova contraria – dovrebbe essere il titolare di tale diritto, la funzione di esercitare il medesimo non già nell’interesse proprio a protezione della sua vita privata, ma anche in vista di un interesse altrui, il quale è tutto da precisare sia nei suoi termini soggettivi, sia nei suoi termini oggettivi. Sennonché, non v’è chi non veda come questa eterodeterminazione degli interessi concorrenti con quelli del titolare si traduce nel sostanziale depotenziamento del diritto di volta in volta funzionalizzato, sia esso la proprietà come pure il diritto alla protezione dei dati personali.
Non si vede, pertanto, dove potrebbe condurre l’indicazione in commento, se interpretata alla luce della tradizione. In altre parole, il riferimento rappresentato dalla “funzione sociale” non sembra di grande utilità, neppure con riferimento alle ipotesi di trattamenti di particolari categorie di dati in relazione ad interessi pubblici, quali la sanità o la sicurezza pubblica, dal momento che in questi casi non v’è convergenza tra interesse dell’interessato e interesse dell’autorità pubblica che procede al trattamento, in quanto quest’ultima, con il trattamento dei dati, semplicemente realizza l’interesse assegnato alla sua cura sia pure in misura proporzionale al contrapposto interesse dell’interessato: in questi casi, però, v’è solo una prevalenza dell’interesse pubblico di cui è latore la pubblica autorità rispetto all’interesse del titolare dei dati personali trattati.
Una conferma della sostanziale inoperatività del riferimento alla “funzione sociale” può trarsi anche dalle ulteriori indicazioni offerte dal considerando in esame, che sotto questo profilo si rivela ben più fruttuoso. In particolare, il «contemperamento» con «altri diritti fondamentali», accennato nel considerando n. 4, lungi dal supportare l’equivoco richiamo alla «funzione sociale», sembra piuttosto correttamente riferibile al fisiologico contemperamento tra diritti ed interessi contrapposti, che devono essere salvaguardati dalle rapporti di ogni rapporto corrente tra privati all’insegna della «solidarietà» che deve dominare i rapporti tra i consociati (artt. 2 Cost. e 1175 c.c.). I “diritti fondamentali”, con i quali il diritto alla protezione dei dati deve essere “contemperato”, sono elencati nello stesso considerando n. 4, ai quali già si è fatto riferimento.
[1] Il considerando n. 3 della direttiva 95/46/CE prevede che «l’instaurazione ed il funzionamento del mercato interno, nel quale, conformemente all’art. 7 A del Trattato, è assicurata la libera circolazione delle merci, delle persone, dei servizi e dei capitali, esigono non solo che i dati personali possano circolare liberalmente da uno Stato membro all’altro, ma che siano altresì salvaguardati i diritti fondamentali della persona».
[2] «Le legislazioni nazionali relative ai dati personali hanno lo scopo di garantire il rispetto dei diritti e delle libertà fondamentali, in particolare del diritto alla vita privata, riconosciuto anche dall’art. 8 della Convenzione Europea per la salvaguardia dei diritti dell’uomo… pertanto il ravvicinamento di dette legislazioni non deve avere per effetto un indebolimento della tutela da esse assicurata ma deve anzi mirare a garantire un elevato grado di tutela nella comunità».
[3] Si discute se effettivamente uno dei due autori dello studio fondativo del right to privacy (Warren, Brandeis, The right to privacy, in Harvard Law Revue, 4, 5 (dec. 1890), 193-220) sia stato mosso a studiare l’argomento in reazione ai piccanti resoconti offerti dai giornali dell’epoca circa la vita sociale sua e soprattutto di sua moglie, la signora Warren. Non sia sa fino a che punto sia casuale il titolo della nota commedia teatrale di G.B. Shaw, La professione della signora Warren, scritta pochi anni dopo (1898).
[4] Il considerando n. 4 della direttiva n. 95/46/CE stabilisce che «nella Comunità si ricorre sempre più spesso al trattamento dei dati personali nei vari settori delle attività economiche e sociali; … i progressi registrati dalle tecnologie dell’informazione facilitano notevolmente il trattamento e lo scambio dei dati stessi».
Scarica Articolo PDF