




















































Studia grazie alle numerose risorse presenti su Docsity
Guadagna punti aiutando altri studenti oppure acquistali con un piano Premium
Prepara i tuoi esami
Studia grazie alle numerose risorse presenti su Docsity
Prepara i tuoi esami con i documenti condivisi da studenti come te su Docsity
Trova i documenti specifici per gli esami della tua università
Preparati con lezioni e prove svolte basate sui programmi universitari!
Rispondi a reali domande d’esame e scopri la tua preparazione
Riassumi i tuoi documenti, fagli domande, convertili in quiz e mappe concettuali
Studia con prove svolte, tesine e consigli utili
Togliti ogni dubbio leggendo le risposte alle domande fatte da altri studenti come te
Esplora i documenti più scaricati per gli argomenti di studio più popolari
Ottieni i punti per scaricare
Guadagna punti aiutando altri studenti oppure acquistali con un piano Premium
Materiale per l'esame di "Riservatezza e trattamento dei dati personali" modulo 2. Il file comprende: appunti presi a lezione; riassunto dei capitoli 1, 2, 4, 5, 6, 10, 11, 12, 13, 14, 18 del libro "Diritto comparato della privacy e della protezione dei dati personali" di P. Guarda, G. Bincoletto; traduzione di "Data Protection in the United States" di Shawn Marie Boyne.
Tipologia: Appunti
1 / 60
Questa pagina non è visibile nell’anteprima
Non perderti parti importanti!





















































Linee guida : indicazioni date dall’european data protection code che dice come deve essere interpretato un certo articolo; ci sono anche le linee guida del garante nazionale (gpdp). Prima del 2018 (entrata in vigore del regolamento gdpr) non c’erano specifici obblighi. Nasce prima il diritto alla riservatezza. Privacy : non ha una definizione unitaria perché si sono avvicendate varie teorie; essa vive nei valori che accompagnano il mutamento storico e sociale. Viene messa in rilievo la relazione tra il mutamento delle tecnologie dell’informazione ed il mutamento della nozione di privacy (Rodotà): essa perde la connotazione di protezione della sfera privata (non è più solo questo) ed assume una connotazione funzionalista cioè diritto di compiere libere scelte di controllo sui propri dati personali e sulla loro circolazione. La privacy nasce nel 1890 negli USA con gli studi di Warren e Brandeis (giuristi)(pubblicano un articolo): tentarono di costruire le basi giuridiche della privacy analizzando la relazione tra riservatezza, diritto ad informare e diritto ad essere informati: tennero distinti 2 piani cioè diritto di informare ed essere informati che non ha limiti se il soggetto o l’oggetto hanno rilevanza pubblica (es caso di cronaca, gente con ruoli istituzionali); il piano della riservatezza se il soggetto è un privato - > right let to be alone. In questo periodo perché 1760-1830: progressi sociali, economici, stampa, fotografia. Inizialmente quindi la privacy corrisponde alla non intrusione nella vita privata altrui (né da parte di privati né da parte del governo). Una sentenza del 1972 riprende il concetto: la privacy è il diritto dell’individuo ad essere libero da intrusioni non autorizzate. Gavison, Parent e Allen (filosofi) definiscono la privacy come zona in cui l’accesso alle informazioni personali è limitato e ristretto; quindi non assenza di informazioni ma controllo su di esse (decido quali informazioni condividere e quali no): si aggiunge quindi, al concetto di limitazione, il concetto di controllo. Floridi (filosofo dell’informazione) muove dall’assunto che il mondo (reale e digitale) è un complesso di informazioni quindi la privacy è immunità ai cambiamenti sconosciuti e indesiderati dell’entità personale all’innovazione. Rapporto difficile tra libertà e controllo, (soprattutto in rete). La capacità di agire digitale è stata fissata dal gdpr a 16 anni, abbassabile dai vari paesi fino a 13 (Italia: 14). Fonti in materia di protezione dei dati personali. Negli USA il quadro delle fonti è frammentario, non c’è una disciplina generale ~ gdpr europeo. Di recente negli USA ci sono state però iniziative in materia di protezione dei dati personali per introdurre una normativa generale ma incontrano molte difficoltà: questa complessità è legata al fatto che il loro ordinamento è federale cioè c’è una federazione degli stati uniti e poi ci sono i singoli stati; la costituzione americana opera una ripartizione delle competenze che devono essere esercitate o a livello unitario o statale (cioè ci sono normative federali e statali). Quindi qui non c’è un regolamento generale né una autorità indipendente: ci sono normative settoriali sul piano federale e statale - > normative settoriali a livello federale riguardano la protezione dei dati personali in alcuni settori (es COPPA: children’s online privacy protection act). Quindi nonostante la privacy sia nata qui, essa non viene riconosciuta come diritto fondamentale e non c’è un riconoscimento formale. La federal trade commission (ftc) si occupa della privacy negli USA. Esistono poi normative statali: es in California c’è una particolare sensibilità su questo tema infatti qui è stata adottata la normativa CCPA (california consumer privacy act) ispirata al regolamento europeo (aumentato il livello di protezione rispetto agli USA). A gennaio 2023 sono entrate in vigore importanti modifiche: è stata istituita una autorità indipendente ~ al modello europeo. Evoluzione della privacy nell’esperienza giuridica statunitense. Non vi è un esplicito riconoscimento ma la corte suprema, con varie sentenze, ha riconosciuto il diritto alla privacy; la costituzione americana non guarda i rapporti orizzontali (tra privati) ma solo tra stato federale e cittadino. In Europa le fonti sono: direttiva 46/95, abrogata poi dal gdpr (2016). In Italia c’è il codice privacy integrato poi dal dlgs 101/2018 che ne ha modificato alcune parti per renderlo coerente con il gdpr. A ciò ci aggiungono le linee guida date dal edpb (comitato europeo per la protezione dei dati/european data protection board)(dal 2018) in merito al regolamento; per quanto riguarda l’interpretazione del codice privacy aggiornato al 2018, le linee guida sono date dal gpdp (garante per la protezione dei dati personali). Il garante è un’autorità indipendente che vigila sulla corretta pubblicazione della normativa in materia di protezione di dati personali, dà le linee guida, fa controlli e commina sanzioni. La regolamentazione del gdpr è legata al fatto che il diritto alla privacy in Europa è diventato diritto primario: prima la direttiva riguardava la protezione dei dati personali in una logica legata al mercato europeo; ora al mercato (ora anche pubblicitario e digitale) si parla di dati come diritti fondamentali (sancito dal trattato di Lisbona e dalla carta di Nizza all’art 8). Quindi in Europa, parlando di libertà e controllo, c’è un approccio conservativo; in USA un approccio paternalistico.
Bisogna far riferimento ad altri ordinamenti giuridici perché con la tecnologia, gli scambi transfrontalieri, le aziende che hanno sede negli USA sarebbe impensabile parlare solo del contesto italiano o europeo. Approccio americano : settoriale e verticale. Gli USA sono un paese di common law: oltre alla legge come fonte di diritto, anche la giurisprudenza (i precedenti) hanno un ruolo fondamentale come fonte del diritto. La privacy non è consacrata nella costituzione degli USA (≠ in Europa: art 8 cedu, art 16 gdpr) però ad un certo punto la giurisprudenza americana (soprattutto della corte suprema federale) si rese conto della necessità di proteggere la vita privata dei cittadini; pertanto ha fatto discendere la tutela della vita privata e della privacy da una interpretazione degli emendamenti (soprattutto il 4° e il 14°) della costituzione: gli emendamenti sono stati aggiunti in epoca successiva all’entrata in vigore della costituzione ( 1787 ) per aggiungere diritti non esplicitamente menzionati nella costituzione ma che da essa si deducono. Inoltre la costituzione non regola i rapporti orizzontali ma solo quelli tra stato e cittadini quindi vuole regolamentare l’invasione dello stato e delle istituzioni nelle vite dei cittadini e creare un government limited power (approccio alla privacy in senso verticale). Il problema della privacy nasce quindi con Warren e Brandeis; l’idea viene poi ripresa negli anni 50/60 quando si ha il passaggio dallo stato liberale a quello pluralista cioè quando c’è maggiore sensibilità verso la protezione della vita privata e della privacy. Ciò deriva anche da una diversa composizione della corte suprema federale (qui i giudici vengono nominati, non accedono per concorso) a maggioranza progressista. Il 4° emendamento (prendi definizione) fa riferimento al concetto di privacy verticale. Ci sono delle sentenze importanti per questa evoluzione :
normativa federale). Secondo tale normativa un’ informazione personale è qualsiasi informazione che è in grado di descrivere o individuare in modo diretto o indiretto ad una persona. Le imprese per vendere i dati devono avere il consenso espresso del consumatore. I diritti del consumatore sono: right to know (cioè essere informato sul modo, uso, condivisione dei dati); right to delete (diritto alla cancellazione entro 45 giorni); right to do not sell (a non vendere i propri dati); rigth to not discriminate (se esercito i miei diritti sanciti dalla normativa). Con la modifica del 2023 sono stati introdotti altri diritti: diritto di correggere le informazioni non corrette; diritto a limitare l’utilizzo e la diffusione di dati sensibili. Le imprese hanno molte responsabilità circa la risposta ai consumatori in base alle loro richieste (es opt-out icon). C’è inoltre l’obbligo di aggiornare l’informativa privacy ogni 12 mesi. Sanzioni : ci sono delle sanzioni amministrative irrogate dall’Attorney general (fino a 75.000 per singola violazione) e possono essere presentati dei reclami anche dai consumatori. Ci sono anche delle disposizioni per la tutela dei minori (viene riconosciuta la loro vulnerabilità): c’è un limite per l’età del consenso (16 anni) che deve essere fornito dal genitore per i minori di 13 anni, tra i 13 e i 16 anni deve esserci un consenso espresso scritto (in ogni caso devono essere iscritti e registrati). I data broker sono intermediari di dati, vendono e comprano dati. 20/09/ Nella direttiva 46/95 non c’era una indicazione espressa relativa alla protezione dei minori né se ne parlava come soggetti vulnerabili: il codice privacy e il garante tutelavano i minori in via mediata cioè riferendosi ad altre fonti del nostro ordinamento o ad altri casi di cronaca. Con il gdpr (art 8) invece c’è stato un riconoscimento esplicito dei minori quali soggetti vulnerabili meritevoli di una protezione speciale nell’ambito dei servizi della società dell’informazione: limite a 16 anni (fino a 13: al di sotto consenso del genitore) per il consenso; in Italia il dlgs 101/2018 lo ha fissato a 14 anni e le informazioni devono essere costruite in modo da essere perfettamente comprensibili dai minori. In USA il limite minimo è 13 anni. L’art 8 dice che al di sotto dei 13 anni il consenso deve essere dato dal genitore o il genitore deve autorizzare il minore ma ciò è difficilmente dimostrabile; nel dlgs 101/2018 invece si fa riferimento solo al consenso espresso del genitore. In UE però non c’è un’indicazione su come il consenso del genitore debba essere raccolto e questo deriva dalla neutralità tecnologica del gdpr: mancano meccanismi di controllo per verificare ciò e questo potrebbe causare comportamenti opportunistici o fraudolenti da parte dei minori ma l’art 8 dice che i fornitori di servizi digitali devono adoperarsi per verificare che il consenso sia stato prestato dal genitore (= nel COPPA ma qui c’è scritto che l’operatore deve dimostrare uno sforzo ragionevole , concetto più forte: utilizzano es numero di telefono del genitore facendo domande specifiche a cui solo lui potrebbe rispondere). In Europa però viene quasi autorizzato il fornitore a non verificare il consenso del genitore. Anche le Linee guide sul consenso dell’edpb si limitano a raccomandare un approccio proporzionato volto ad acquisire una quantità limitata di informazioni (es solo il contatto di un genitore, principio della minimizzazione). Il gdpr inoltre è basato sul rischio (più sono alti i rischi più devo proteggere il dato): l’edpb dice che se il rischio è basso il consenso del genitore può essere verificato tramite email, altrimenti se è alto (es piattaforme di gaming su cui posso scommettere soldi) bisogna verificarlo tramite ulteriori prove da parte del titolare del trattamento (fornitore di servizi digitali) che deve dimostrare che ha effettuato dei controlli e deve conservare queste informazioni. Il titolare è chi raccoglie i dati personali ed è responsabile di tutto il corso vitale dei dati (dalla raccolta alla cancellazione) quindi deve dimostrare che ha posto in essere tutte le misure di sicurezza necessarie per proteggere i dati. Ci sono state delle criticità in merito a ciò: in entrambi i contesti ci si è chiesto se questi obblighi informativi possono essere tali da limitare i rischi. Alcuni hanno criticato il concetto di trasparenza delle informazioni: le normative non sono lette dagli adulti quindi nemmeno dai bambini anche perché spesso gli operatori digitali inseriscono un eccesso di informazione che va a discapito dell’utente che quindi non legge ed autorizza al trattamento dei dati personali; per superare questo problema soprattutto a tutela dei minori, si è provato a pensare a delle icone che sostituiscano il testo scritto e facciano percepire immediatamente a chi legge l’informativa privacy quali sono diritti, pericoli ecc (frutto della corrente di pensiero della visual law e di legal design: tradurre concetti giuridici ampi in icone facilmente interpretabili). Anche questa soluzione però non è mai stata attuata perché se ognuno avesse icone diverse si creerebbe molta confusione, si dovrebbe pensare invece ad icone standard e universali. Negli USA c’è una sensibilità crescente verso la protezione dei dati personali soprattutto a livello statale (nei singoli stati): es la California si è dotata di una normativa nel 2018 (poi modificata nel 2022) ~ a quella europea (molto recente,
California consumer privacy act (CCPA) che è stata la 1° normativa statale importante in materia di privacy ed è stata la 1° ad ispirarsi al modello europeo (no approccio paternalistico ma universalistico, non più approccio federale e settoriale ma generale). È importante capire come funzionano gli altri stati per il trasferimento transfrontaliero di
dati: il gdpr vieta il trasferimento dei dati verso paesi terzi a meno che lì non ci sia una legislazione che assicuri un livello di protezione adeguato (ciò è problematico quando un’azienda ha più sedi in paesi diversi). Man mano quindi tutti gli stati stanno cercando di garantire un elevato livello di protezione perché le informazioni personali pertengono all’ambito della dignità personale. CCPA : pur essendo una normativa statale rappresenta un esempio di circolazione del modello europeo. Questa normativa è stata modificata dal California privacy rights act (2020, entrata in vigore nel 2023) che ha istituito un’agenzia indipendente (~ garante europeo) dotata di pieni poteri che vigila sulla corretta applicazione del CCPA (fino ad allora negli USA non c’era una autorità indipendente, c’era solo la ftc che però si occupa di tutta la normativa che riguarda la protezione dei consumatori, non specificamente della privacy). Il CCPA si applica esclusivamente alle persone fisiche (no giuridiche), in particolare i consumatori (persone fisiche che hanno la residenza in California; secondo il California code è residente chi ha il domicilio lì o chi è lì per motivi transitori). Il CCPA si applica alla raccolta di dati effettuata da un’impresa for profit (cioè per trarne profitto) e che determina gli scopi del trattamento dei dati personali purché sussista almeno uno dei requisiti cioè che il 50% dei ricavi dell’impresa derivi dalla vendita di dati personali e che i ricavi lordi dell’impresa siano superiori a 25 miliardi di dollari; esso si applica anche a chi controlla l’impresa, alla raccolta, vendita e trattamento di dati personali. Esso non si applica ad alcune tipologie di informazioni es informazioni sanitarie perché sono oggetto di una disciplina a livello federale Health Insurance portability and accountability act; alle informazioni personali che rientrano nel Drivers privacy protection act (per la CCPA l’informazione personale è qualsiasi informazione se è in grado di descrivere o può essere associata a una persona in modo diretto o indiretto es nome, cognome, indirizzo, email, indirizzo IP, numero di passaporto, informazioni biometriche, commerciali, dati su geolocalizzazione, dati audio quindi voce ecc); ai dati anonimi. Le imprese per vendere i dati personali devono avere un consenso espresso del consumatore. Diritti riconosciuti al consumatore: right to know cioè il consumatore deve essere informato del modo in cui vengono raccolte le informazioni, come vengono utilizzate e condivise; diritto alla cancellazione /diritto all’oblio (= gdpr)(ma è complesso se i dati sono su internet) entro 45 giorni dalla richiesta (≠ Europa: 30 giorni); right to opt-out cioè un consumatore può chiedere espressamente di non vendere i propri dati personali (rimanda al loro valore economico; in UE si usa invece il verbo trasferire ) tramite un link ben visibile sul sito web; diritto alla non discriminazione se il consumatore esercita i propri diritti derivanti dal CCPA (es non accedere a determinati contenuti). La modifica del 20 23 introduce: diritto di correggere informazioni errate o non accurate; diritto di limitare l’utilizzo e la diffusione dei propri dati sensibili. Le imprese che rientrano nell’ambito di applicazione del CCPA devono rispondere ai consumatori circa l’esercizio delle loro richieste (relative al diritto di cui sopra). L’informativa privacy del CCPA deve essere aggiornata ogni 12 mesi (ulteriore elemento di tutela anche rispetto alla COPPA). Le sanzioni amministrative per le imprese che non si adeguano alla normativa vengono irrogate dalla corte Attorney general (2500, fino a 7500$ se è dolosa, per singola violazione). Sul sito dell’attorney general si può presentare un reclamo (sia all’attorney sia all’agenzia, doppia tutela) in caso di violazione da parte dell’impresa (anche per semplificare il processo, per evitare di agire in giudizio e per rendere effettiva la tutela). Con le modifiche del 2023 c’è stata anche l’istituzione dell’agenzia indipendente California privacy protection agency. Il CCPA si occupa anche dei minori (non può essere in contrasto con il COPPA) anche se non li classifica come soggetti vulnerabili ma stabilisce un limite per il consenso: per i minori di 13 anni è necessario il consenso dei genitori (= COPPA), aggiunge però rispetto al COPPA che per la vendita e la condivisione di dati dei minori tra 13 e 16 anni è necessario il consenso espresso (opt-in consent). 10/10/ Codici di condotta : sono strumenti di responsabilizzazione volontaria. Erano già auspicati nella direttiva 96/45 all’art 27 (anche auspicato negli USA dal COPPA: erano premiati gli operatori che adottavano codici di condotta e venivano certificati dalla FTC). Essi hanno una finalità di persuasione, favoriscono l’attuazione della stessa direttiva. La direttiva però non poteva coprire tutti i settori es protezione dei dati personali di un’impresa di marketing, con finalità scientifica, ecc: i codici specificano e declinano meglio la protezione dei dati personali. Venivano sollecitate anche le associazioni professionali, gli organismi rappresentanti e altre categorie dei responsabili dei trattamenti. I codici di condotta sono stati poi adottati anche nel vecchio Codice privacy; poi c’è stato il dlgs 196/2003 che li riguardava; dlgs 467/2001 ha introdotto i codici di condotta per disciplinare il trattamento dei dati personali in determinati settori (internet, marketing, campo previdenziale, sistemi informatici ecc). L’intento di quest’ultimo dlgs era di pubblicare questi codici in gazzetta ufficiale per dotarli di efficacia prescrittiva garantendo trasparenza, riservatezza ecc; vennero quindi introdotti i codici deontologici per sistemi informativi gestiti da privati, per finalità scientifiche e statistiche, e ai fini di informazione commerciale. (Quindi la direttiva cercava di gestire il sistema delle fonti). Questi codici dovevano essere sottoposti all’autorità garante per un controllo garantendo che essi fossero rispettosi
I codici di condotta hanno la finalità di responsabilizzare il titolare del trattamento. Il progetto è da presentare in formato cartaceo o elettronico: l’autorità di controllo deve confermare la ricezione ed effettuare un esame per vedere se il codice soddisfa tutti i requisiti ; il codice non viene accettato se l’autorità di controllo nota che non soddisfa i criteri di ammissibilità (es nel preambolo mancano le ragioni per cui quel codice è necessario in relazione a quel trattamento, oppure se il codice si limita a parafrasare il gdpr ecc). Se non viene accettato viene restituito al mittente, altrimenti l’autorità conferma per iscritto ai titolari che intende procedere alla fase di valutazione per verificare se il codice rappresenta uno strumento di tutela dei dati personali. A meno che nei singoli stati non ci sia una tempistica precisa, il parere di accoglimento si deve redigere entro un tempo ragionevole aggiornando il titolare delle varie fasi, e deve contenere la motivazione della decisione assunta. Se viene approvato, il codice viene registrato e pubblicato (art 40, comma 11); sul sito del garante c’è l’elenco dei codici nazionali approvati. Per i codici con valenza transnazionale : presentare il progetto in forma elettronica all’autorità di controllo che verifica la ricezione del progetto e fa innanzitutto una valutazione preliminare ; poi invia una notifica a tutte le autorità di controllo degli stati in cui esso avrà valenza fornendo i dettagli salienti (punti forti del codice, punti deboli ecc); poi tutte le autorità di controllo devono confermare di aver ricevuto il progetto. Nella fase preliminare l’autorità di controllo verifica i criteri di ammissibilità (che ci siano le motivazioni nel preambolo, che esso sia necessario ecc)(se questo step non viene superato il codice torna al mittente, altrimenti si procede). Si passa poi alla valutazione nel merito e ad una cooperazione informale tra le varie autorità: queste osservazioni vengono prese in considerazione dalla singola autorità competente. Poi viene determinato definitivamente dall’autorità nazionale (a cui inizialmente era stato presentato il progetto) se il progetto deve essere presentato (o meno) al comitato (EDBP)(art 40 comma 7) in base agli art 63-64 del regolamento; poi l’EDBP rilascia il proprio parere relativo al codice: questo parere può essere anche trasmesso alla commissione; tutti i codici con valenza transnazionale sono raccolti sul sito dell’EDBP (pubblici). Infine il codice viene adottato. La commissione può decidere se il codice ha valenza in tutti gli stati UE (validità generale) e provvedere a dargli pubblicità. Il meccanismo di controllo è più complesso in questo caso perché coinvolge l’autorità nazionale, tutte le autorità nazionali, l’EDBP, anche perché parliamo di uno strumento di autoregolamentazione privata che deve aumentare il livello di protezione rispetto al regolamento, ma può anche attirare più utenti (leva concorrenziale). C’è anche un altro meccanismo di controllo cioè il monitoraggio perché bisogna controllare che i codici siano effettivamente applicati, ed ha una duplice funzione: deterrente e incentivante, chi adotta il codice sa che deve rispettarlo per non incorrere in sanzioni. Ci sono 2 modelli di monitoraggio: organismo di monitoraggio esterno o interno (es comitato interno ad hoc o organismo indipendente) - > interno : associazione rappresentativa delle imprese di marketing, nella stessa organizzazione c’è una struttura che controlla se quelle imprese rispettano il codice a cui aderiscono, questa struttura è comunque separata dall’attività di dirigenza; può esserci anche un consulente esterno che valuti questi organismi di monitoraggio. L’organismo (esterno o intento) di monitoraggio deve instaurare delle procedure (da rendere pubbliche) trasparenti ed efficaci per gestire il controllo e i reclami in modo chiaro. Tali organismi devono essere strutturati in modo che il titolare del codice possa verificare che l’organismo disponga di uno status giuridico adeguato per effettuare i controlli. Gli organismi possono incorrere in sanzioni comminate dall’autorità di controllo, che può revocargli l’incarico se non effettuano i loro compiti. In sintesi, il codice transnazionale regolamenta l’attività di trattamento svolta in più stati; può riguardare attività di trattamento svolte da una molteplicità di titolari e responsabili del trattamento senza configurare un trattamento transfrontaliero dei dati; il codice nazionale si applica solo nei confini nazionali. 17/10/ 2023 Art 30 gdpr. 24/10/ Trasferimento di dati personali verso paesi terzi. Ogni stato ha una propria disciplina in materia di privacy e protezione dei dati personali e non tutti hanno la stessa sensibilità. Questo problema si è acuito con la digitalizzazione : trasferire i dati in un paese terzo con internet diventa quasi immediato. Negli USA è stato consentito un accesso massivo a causa di un approccio diverso rispetto all’UE (vedi caso Snowden), qui la privacy non è considerato un diritto fondamentale. Dall’UE possiamo trasferire dati personali negli USA ma ci sono dei problemi, sorti prima con la direttiva e poi con il gdpr: se i dati vengono trasferiti non posso più chiedere es a google la rettifica o cancellazione perché non sono più in Europa. La nozione di trasferimento non è presente né nella direttiva né nel gdpr ma si rinviene nella giurisprudenza della corte di giustizia: operazione di trattamento di dati personali che consiste nel trasferire un dato personale da uno stato membro verso un paese terzo o verso un’organizzazione internazionale; esso può avvenire direttamente dall’interessato (es facebook) o da altro soggetto diretto, ente pubblico o privato, stabilito fuori dall’ambito territoriale
della normativa europea. Dal punto di vista tecnico è più articolato stabilire cosa si intenda per trasferimento fuori dall’UE. Ciò è disciplinato dall’art 44 e seguenti: si mira ad evitare che il trasferimento possa comportare una riduzione della tutela. Già l’art 25 della direttiva 96/45 stabiliva che era possibile il trasferimento ma esso poteva avvenire solo se il paese terzo garantiva un livello adeguato di protezione : livello adeguato (comma 2 art 25) cioè tenere conto alle circostanze relative al trasferimento soprattutto natura dei dati personali, finalità del trattamento, paese di origine e di destinazione, se esistono norme generali e settoriali. Tale articolo stabiliva altresì che gli stati membri e la commissione dovevano comunicare i casi in cui a loro parere un paese terzo non garantiva un livello adeguato di protezione; la commissione inoltre quando rilevava ciò poteva vietare il trasferimento in quel paese. La commissione può anche concludere degli accordi ( decisione di adeguatezza ) come è avvenuto es con gli USA che, nonostante abbia una normativa diversa dalla nostra, garantisce comunque secondo l’UE un livello adeguato di protezione. Questo articolo però ha presto mostrato la sua inadeguatezza: caso Lindqvist (vedi) che parla di una pagina web mentre la direttiva essendo del 1995 si riferiva più alle banche dati che ad internet, l’art 25 non è pensato per internet; la corte si esprime dicendo che quel caricamento non rappresenta un trasferimento di dati in paesi terzi. Fino alla direttiva per trasferimento dall’UE ad altri stati i dati potevano circolare solo in presenza di una decisione di adeguatezza (negoziati della commissione con stati terzi per verificare la presenza di garanzie adeguate ). La commissione europea ha adottato la decisione di adeguatezza 520/2000 Safe harbor con gli USA: in base a questo accordo le imprese americane interessate ad avere contatti commerciali con l’Europa dovevano dichiarare al dipartimento del commercio degli USA di voler aderire a questo accordo (facoltativo) rispettando 7 principi: gli utenti dovevano essere avvisati della raccolta dei dati personali ( notifica ), gli doveva essere data la possibilità di rifiutare il trasferimento, i dati potevano essere trasferiti solo ad organizzazioni che assicuravano un livello di protezione adeguato , le imprese dovevano dare garanzie per lo smarrimento dei dati, i dati dovevano essere rilevanti per la finalità di raccolta ( integrità ), gli utenti dovevano poter accedere e cancellare i dati ( accesso ), le regole dovevano essere efficacemente attuate (non solo teoriche); le imprese dovevano aggiornare l’accordo ogni 12 mesi. C’erano aspetti problematici: diversa ampiezza di protezione del dato personale (in UE il dato personale è qualsiasi informazione che identifica o rende identificabile una persona; negli USA ci sono solo alcune categorie protette); alla fine è stata privilegiata la definizione più ampia dell’UE perché si trattava di dati trasferiti dall’Europa agli USA. In base al 1° principio (notifica) nell’informativa privacy deve essere espressamente indicato che i dati personali sono trasferiti verso paesi terzi e deve esserci la possibilità per il singolo di rifiutare ciò. Quindi è previsto un meccanismo di ricorso indipendente e procedure di controllo per verificare la veridicità delle certificazioni e le affermazioni rilasciate dalle organizzazioni. Questa decisione di adeguatezza è stata invalidata dalla corte di giustizia nel caso Shrems 1, 2013 (Facebook Ireland, vedi). Il regime di Safe harbor in realtà non garantiva la protezione dei dati dei cittadini europei anche alla luce delle rivelazioni di Snowden (sorveglianza di massa delle comunicazioni di aziende come Facebook e Google da parte delle agenzie di sicurezza americane). Il trattato non fa riferimento alle attività di indagine da parte del governo ma riguarda le imprese che su base volontaristica possono aderire, riguarda i rapporti tra imprese; inoltre esso non prevedeva rimedi per chi voleva accedere o cancellare i propri dati personali. Questi aspetti sono poi stati rafforzati dal gdpr (anche circa le sanzioni per il titolare e la responsabilità). Dopo che la decisione di adeguatezza è stata invalidata sono state avviate nuove trattative: nel 2016 c’è stata una nuova decisione di adeguatezza, il Privacy shield (decisione 1250/2016, che verrà poi invalidata dalla corte di giustizia). Il privacy shield cerca di stabilire regole certe per le imprese che effettuano il trasferimento di dati personali negli USA: essa prevede obblighi di protezione stringenti, misure di sicurezza in materia di accesso ai dati da parte del governo degli USA, strumenti specifici per la tutela degli interessati (il Safe harbor era stato annullato anche per la mancanza di strumenti di tutela per gli interessati, es accesso e cancellazione), revisione annuale congiunta di questo accordo per monitorarne l’attuazione. Esso prevede che ci sia una maggiore vigilanza sui dati sia per il trasferimento di dati nel settore commerciale sia per ciò che riguarda lo stato: per ciò che riguarda il settore commerciale (privacy in senso orizzontale) c’è una maggiore trasparenza , meccanismi di controllo del rispetto delle regole, sanzioni per le imprese che violano l’accordo, condizioni per trasferire i dati verso i paesi terzi. Le imprese dunque devono autocertificare annualmente di rispettare l’accordo, pubblicare una privacy policy (maggiore trasparenza), rispondere subito ai reclami (entro 45 giorni), collaborare con le autorità europee: dunque vengono rafforzati gli strumenti di tutela per l’interessato, viene usato un meccanismo di risoluzione delle controversie gratuito per gli interessati europei, c’è possibilità di rivolgersi all’autorità per la protezione dei dati (es quella italiana collabora con la FTC per avere informazioni sui reclami presentati da cittadini europei non ancora risolti) o al privacy shield panel (collegio arbitrale per ottenere una decisione esecutiva tramite il meccanismo dell’arbitrato, ma è più costoso). Sotto il profilo della privacy in senso verticale (se lo stato può controllare massivamente i dati), si cerca di porre un argine a tale invasione della sfera giuridica altrui: ora l’amministrazione degli USA garantisce formalmente che l’accesso dell’autorità pubblica
valutazione d’impatto è necessaria quando il trattamento implica l’utilizzo di nuove tecnologie), altri particolari/secondari (comma 3 lett a, b, c), altri suppletivi (le autorità garanti possono redigere degli elenchi ed individuare dei trattamenti sottoposti alle valutazioni di impatto)(quindi bisogna sempre consultare anche le linee guida per capire se ci sono ulteriori casi in cui bisogna effettuare la valutazione d’impatto). Gli ulteriori casi previsti dal nostro garante nazionale sono: trattamento non occasionale dei dati personali dei soggetti vulnerabili (minori, anziani, pazienti, incapaci), trattamenti valutativi e di scoring su larga scala, di profilazione, attività predittive e relative al rendimento professionale, situazione economica, preferenze, trattamenti su larga scala su dati connessi alla vita familiare o privata ecc (vedi sul sito del garante l’elenco completo). Le linee guida sull’art 35 emanate dal gruppo art 29 individuano 9 criteri al fine di indicare quando è necessaria la valutazione di impatto (se di questi 9 sono presenti almeno 2 bisognerebbe procedere alla valutazione di impatto)(es trattamenti relativi alla profilazione, al monitoraggio sistematico, a categorie particolari di dati, al trattamento su larga scala tenendo conto del numero degli interessati in termini assoluti o espressi in percentuale della popolazione di riferimento; altro criterio: creazione di corrispondenze e combinazione di dati; criterio 8: uso di applicazione innovative derivanti dalla combinazione di impronta digitale e riconoscimento facciale; altro criterio: quando il trattamento può impedire all’interessato di accedere ad un contratto). Sono state evidenziate delle criticità in merito a queste linee guida perché la valutazione di impatto in questi casi è rimessa alla discrezionalità del titolare: in realtà tutti gli elementi di cui sopra dovrebbero rappresentare elementi costitutivi relativamente alla valutazione di impatto che quindi dovrebbe essere obbligatoria anche nei casi elencati nelle linee guida. Dopo aver capito che ci sono determinati tipi di rischi, possiamo procedere all’uso della privacy by design e by default. La privacy by design (art 25) si sostanzia nell’inserimento della protezione dei dati personali nel design dei prodotti informatici ed è oggi l’approccio regolatorio più utilizzato perché è in grado di proteggere la riservatezza dei dati personali riuscendo a bilanciare la tecnologia con la protezione dei dati. Essa è contraddistinta da tensione preventiva (devo proteggere prima che ci sia un data breach) e ne sono un’espressione tipica le PET (tecnologie che inseriscono nel sistema informatico strumenti di tutela della privacy). La privacy by design impone al titolare di adottare le misure tecniche organizzative adeguate per proteggere i dati: nell’adottarle, il titolare deve tener conto dello stato dell’arte. Essa si ispira a 7 principi elaborati da una DPO canadese: approccio proattivo (e non reattivo) volto a prevenire i rischi prima della loro attuazione, essa non offre rimedi ma previene i rischi; privacy by default cioè assicurare il più elevato livello di protezione come impostazione predefinita; deve essere integrata nei sistemi informatici; deve conciliare tutti gli interessi e gli obiettivi legittimi (soprattutto sicurezza e privacy); essendo incorporata nei sistemi informatici, deve garantire la protezione dei dati per tutto il loro ciclo di vita ; principio di trasparenza ; principio del rispetto della privacy dell’utente. Dunque quanto previsto dall’art 25 si sostanzia nella predisposizione di un ambiente tecnologico dedicato al trattamento di dati personali, quasi come un abito su misura. Anche sull’art 25 ci sono le linee guida dell’EDBP in cui si evidenzia che il titolare deve individuare quali sono i rischi per i diritti degli interessati e le misure per mitigarli. L’art 25 è stato criticato in quanto norma vaga, sovrapponibile per certi versi all’art 32 (sicurezza dei dati): è vago perché fa riferimento alla pseudonimizzazione solo come norma protettiva; nomina solo la minimizzazione come principio preposto alla protezione dei dati (ci sono molti altri principi a cui il titolare non può sottrarsi); non è chiaro se gli obblighi incombenti sul titolare rappresentino un’obbligazione di mezzi o di risultato (è auspicabile la seconda). Inoltre ci si chiede cosa succede se il titolare si comporta in modo errato (es non redige un’informativa chiara e trasparente, non fa la valutazione d’impatto e del rischio, non adotta le misure tecniche organizzative ecc) e tratta dati illecitamente. Il piano delle tutele offerto dal gdpr opera su diversi livelli: tutela amministrativa (sanziona il garante dopo una segnalazione e dopo la verifica della guardia di finanza, sanzioni previste dall’art 83); inoltre (art 82) l’interessato può agire autonomamente in giudizio nei confronti del titolare e del responsabile del trattamento per ottenere un risarcimento sia per danni materiali (economici) sia per danni immateriali (es disagi), è richiesta però un’indagine sull’ingiustizia del danno e sull’interesse della persona leso che deve avere rango costituzionale, quindi ci si chiede se il danno della privacy di cui all’art 82 sia un danno in re ipsa: secondo alcuni no perché devo dimostrare l’ingiustizia del danno; secondo qualcuno si perché il diritto alla riservatezza è un diritto fondamentale quindi il danno si potrebbe identificare con la antigiuridicità della condotta. La giurisprudenza ha detto che in caso di violazioni il danno non può separarsi dalla gravità del danno; è stata poi introdotta la presunzione (io presumo che ci sia il danno: il danneggiante cioè il titolare dovrebbe poi provare che il suo trattamento non ha provocato danni). Solo la lesione diretta (danni particolarmente seri) andrebbe valutata senza ulteriori prove, senza nemmeno la presunzione ma andando direttamente al risarcimento; in altri casi in cui non c’è una lesione diretta dei diritti della personalità costituzionalmente protetti, il danneggiato dovrà provarlo per rendere giustificabile il risarcimento (disagio sociale che abbia un minimo di significatività). Al comma 2 art 82 inoltre ci sono delle clausole di esonero dalla responsabilità.
1.1 L’origine del diritto alla privacy. Nasce negli USA e all’origine di questa esigenza c’è il yellow journalism cioè giornalismo basato sull’esagerazione che diffondeva dettagli intimi dei protagonisti, possibile anche grazie all’uso della snap camera che scattava istantanee. Nel 1888 Cooley usa l’espressione the right to be let alone ; nel 1890 Warren e Brandeis pubblicano un articolo intitolato The right to privacy coniando il termine e ispirandosi forse all’esperienza di Warren stesso. All’epoca non esisteva una tutela per la privacy nell’ordinamento giuridico americano quindi loro interpretarono le regole esistenti: il punto di partenza fu il common law che proteggeva il copyright (pubblicazione illecita di manoscritti e opere d’arte). Il diritto alla privacy inizia a trovare fondamento nel principio di common law che tutelava l’ inviolata personalità (concetto che sarà importante anche in Europa): la privacy però non consisteva solo nella protezione degli scritti (corrispondenza) ma anche nel fatto che, per chi non era soggetto pubblico, la stampa non poteva riportare affari privati. C’erano però delle limitazioni: il diritto alla privacy non impediva la pubblicazione di fatti di interesse pubblico cioè proteggeva solo privati e la vita privata ma non persone pubbliche; non vietava la comunicazione di argomenti quando la pubblicazione avveniva senza cadere in calunnia e diffamazione ; non era previsto un risarcimento per la violazione della privacy da parte di una pubblicazione orale che non causava uno special damage (per tutelare libertà di manifestazione del pensiero); il diritto alla privacy non si doveva riconoscere per la pubblicazione di fatti compiuta direttamente dall’individuo o con il suo consenso. Si stabilì però che in caso di invasione della privacy si potesse ottenere un ristoro monetario o una injuction per impedire nuove offese. Da qui la giurisprudenza ha iniziato a riconoscere il diritto alla privacy. 1.2 La protezione della privacy nella giurisprudenza statunitense. Nel 1960 Prosser analizzò 300 casi è classificò 4 tort che prevedevano tutela in caso di violazioni: divulgazione di info veritiere riguardanti una persona considerate imbarazzanti o offensive ottenute attraverso un’ intrusione nello spazio privato; ottenimento di info private, senza pubblicità (cioè solo a livello visivo e uditivo), qualora le info fossero imbarazzanti e offensive ; appropriazione ingiusta del nome o delle caratteristiche di un soggetto; pubblicazione o divulgazione di fatti che ponevano il soggetto in cattiva luce (~ diffamazione). Questi tort sono usati ancora oggi ma se ne sono aggiunti altri e la privacy negli USA si è evoluta a partire dal Primo, Quarto, Quinto, Nono emendamento (vedili). La protezione è poi stata riconosciuta gradualmente. Il 4° emendamento , es, protegge i cittadini da invasioni anche non fisiche della loro abitazione (es intercettazioni o sistemi di sorveglianza) ma secondo il reasonable expectation of privacy test per parlare di violazione era necessario valutare: l’esistenza di una soggettiva e attuale aspettativa di privacy ; corrispondenza tra questa aspettativa e quella che la società è pronta a riconoscere come ragionevole. Quindi il 4° em. non tutelerebbe l’aspettativa di privacy che solo un criminale ritiene di avere, ma quella ragionevole di una persona comune. Secondo la third doctrine la comunicazione di alcune info senza mandato all’autorità pubblica non violerebbe la privacy quando queste informazioni sono state già fornite dal soggetto a terzi (es banche, compagnie telefoniche, internet). Es: è violazione se si ottengono info dal telefono di un uomo perché lui non ha ragionevole aspettativa che il suo telefono venga controllato (così come la casa): per le perquisizioni è necessario un mandato (a meno che non ci siano particolari eccezioni previste dall’ordinamento). In alcuni stati la tutela della privacy è stata inserita nella costituzione (es California). 1.3 Informational privacy. Negli anni 60/70 l’invenzione del calcolatore ha aperto il dibattito in materia di privacy e furono definiti alcuni principi, i Fair Information Practices , applicabili a tutti i processi di utilizzo automatizzato di personal information alla luce dell’evoluzione tecnologica. Questi richiedevano la trasparenza nell’uso delle info, implicavano l’esistenza di una finalità per l’uso delle stesse, riconoscevano il diritto alla correzione e imponevano requisiti di sicurezza per i sistemi utilizzati. Essi sono diventati punti di riferimento in USA e a livello internazionale. Dunque non è importante solo un controllo su ciò che viene divulgato all’esterno ma anche la protezione per compiere scelte personali sulle proprie info. Nel 2011 la corte suprema ha riconosciuto la tutela della privacy a livello costituzionale grazie all’interpretazione degli emendamenti ma non ritiene sussistente un’identità separata all’informational privacy. Personal information però non è sinonimo di dato personale : secondo il diritto europeo un dato personale è qualsiasi info riguardante persona fisica identificata o identificabile, direttamente o indirettamente; secondo la personal information un’informazione è personale se collegata ad una persona identificata (è esclusa l’identificazione indiretta quindi il concetto europeo è più ampio e questo crea problemi per il trasferimento transfrontaliero delle info perché gli USA non proteggono info che possono indirettamente identificare le persone). Dagli anni 70 sono stati emanati vari act che regolano precisi ambiti di trattamento delle personal information, sia a livello federale :
intrasmissibilità, necessarietà (appartengono a tutte le persone fisiche e in alcuni casi anche a quelle giuridiche), non patrimonialità (tutelano valori non suscettibili di valutazione economica)(in realtà ci sono stati cambiamenti a causa dei nuovi fenomeni sociali quindi è possibile la valutazione economica e la trasmissibilità es circa la diffusione dell’immagine di persone note). Dunque essi hanno connotati ≠ rispetto ai diritti patrimoniali; nonostante essi si siano sviluppati separatamente rispetto ai diritti fondamentali, condividono con essi le caratteristiche di cui sopra (es assolutezza ed efficacia erga omnes). Questa categoria non esiste nei sistemi di common law (in cui la tutela della persona è compresa nella nozione di privacy e azionata tramite i vari tort); inoltre privacy non necessariamente è sinonimo di riservatezza ma può anche significare protezione delle informazioni (privacy, information privacy, digital privacy). In Europa si inizia a parlare dei diritti della personalità a fine 1800: i primi ad essere riconosciuti furono il diritto al nome, all’onore, all’immagine, diritto morale d’autore ed erano connessi ai rimedi previsti per i danni non patrimoniali cioè alla tutela inibitoria e risarcitoria. Le norme sono state poi tradotte in disposizioni legislative e inserite nei codici civili, es nel codice civile italiano del 1942 (ma era ancora incompleto). La dichiarazione universale dei diritti dell’uomo dell’ONU del 1948 ha poi affermato il valore fondamentale della persona umana riconoscendone libertà e diritti e proteggendola da interferenze arbitrarie nella vita privata, nella famiglia, nella casa, nella corrispondenza. Nel 1950 viene firmata la convenzione europea di Strasburgo per la salvaguardia delle libertà fondamentali del consiglio d’Europa: l’articolo 8 prevede il diritto di ogni persona al rispetto della vita privata e familiare, del domicilio e della corrispondenza. La nozione di diritti evolve continuamente in funzione delle esigenze della società e di protezione della persona (es oggi abbiamo diritto al nome, all’immagine, all’onore e alla reputazione, diritto morale d’autore, all’identità personale, all’integrità fisica e psichica, alla riservatezza e alla protezione dei dati personali). I primi riferimenti al diritto alla riservatezza in Europa si sono avuti con l’analisi dell’articolo di Warren e Brandeis e del right to be alone; esso è stato poi inserito nell’articolo 8 della Cedu e nell’articolo 7 della carta dei diritti fondamentali dell’EU che lo considera un diritto fondamentale. 2.2 Le origini del diritto alla riservatezza in Italia. In Italia si inizia a parlare di diritto alla riservatezza negli anni 30: nel 1937 Ravà fa riferimento alla sfera più intima; Ferrara Santamaria parla del diritto alla illesa intimità riferendosi alle disposizioni circa la segretezza della corrispondenza come possibile fondamento della vita intima del singolo ma la vaghezza del limite di intrusione lasciava la questione aperta. La l. 22/04/1941, n. 633 proteggeva il diritto d’autore e tutelava il ritratto : senza il consenso il ritratto non poteva essere esposto, riprodotto o messo in commercio a meno che la riproduzione non fosse giustificata da notorietà, necessità di giustizia o polizia, scopi scientifici, didattici, culturali o collegata a fatti di pubblico interesse; comunque non poteva essere esposto se ledeva onore o reputazione del soggetto; ciò si collega anche all’art. 10 del codice civile sull’abuso di immagini altrui che prevedeva la tutela inibitoria e risarcitoria qualora l’immagine fosse pubblicata illecitamente o con pregiudizio del decoro. Nel 2° dopoguerra ci si inizia ad occupare del diritto alla riservatezza in relazione alla protezione della sfera intima delle persone notorie (perché la stampa iniziava ad interessarsi della loro vita privata). Es: anni 50, esce il film Leggenda di una voce su Caruso che riguarda anche vicende private; i parenti dicono che questo lede la memoria, l’onore e la riservatezza del tenore. Il tribunale di Roma decide che la riproduzione di avvenimenti privati, seppur riferiti a persone note, era considerata illecita se motivata da mera curiosità o se pregiudicava l’onore. La corte di cassazione non riscontrò però alcuna norma positiva a fondamento della protezione della vita privata e non utilizzò quale strumento interpretativo la Costituzione perché inizialmente la 1° parte del testo era considerata solo programmatica; in realtà l’art. 2 cost. a protezione dei diritti inviolabili dell’uomo sarà indispensabile per riconoscere una tutela al diritto alla riservatezza. Negli anni 50 si insiste per il riconoscimento di un diritto alla protezione della vita privata anche in assenza di una specifica disposizione normativa. Secondo De Cupis il diritto italiano tutelava la persona in 2 dimensioni: verità personale (essere rappresentata non diversa da ciò che è) e contro la verità personale (non essere rappresentata). Questo interesse per il diritto alla riservatezza veniva considerato ≠ rispetto al diritto all’onore, reputazione e segreto ma poteva essere riconosciuto grazie alle disposizioni sul diritto all’immagine. Secondo Giampiccolo questo interesse era legato al desiderio di tranquillità di spirito e pace interiore: non era necessaria una norma specifica per tutelare tale diritto perché la categoria dei diritti della personalità presente nel sistema giuridico italiano doveva assumere valore unitario, basandosi anche sull’art. 2 cost. e sulle norme circa il diritto d’autore. Es 2: anni 60, pubblicazione di un libro contenente vicende private e familiari di Claretta Petacci. L’art. 8 Cedu tutela il diritto al rispetto della vita privata e familiare. Rispetto al caso Caruso, la Cassazione propone un cambiamento: pur respingendo le censure alla sentenza della corte d’appello, essa negò la tutela al diritto al riserbo degli attori. Es 3: anni 70, sul periodico Gente vengono pubblicate foto (ottenute tramite teleobiettivo) della principessa Soraya (ex dello scià di Persia) che si bacia nel suo giardino col regista Franco Indovina. Caso di violazione di domicilio, riservatezza,
immagine quindi lei chiede il sequestro del periodico e il risarcimento dei danni: il tribunale in primo grado conferma il sequestro e il risarcimento; la corte d’appello esclude il sequestro in assenza dei presupposti dell’art. 21 cost. La corte non ritiene violato il diritto alla riservatezza ma per la 1° volta esso viene riconosciuto. La corte così facendo dà un’interpretazione all’art. 21: il diritto di cronaca (qui tutelato) incontra i limiti della verità del fatto esposto, della rispondenza ad un interesse pubblico (mero interesse lucrativo) e del rispetto della riservatezza e onorabilità della persona. Anche le persone notorie potrebbero aver diritto a proteggersi da intrusioni non giustificate da una rilevanza sociale: la notorietà quindi non legittima di per sé la pubblicazione di immagini della persona ma è necessario uno scopo informativo di interesse pubblico. La corte individua 3 aspetti del diritto alla riservatezza : come intimità domestica (concetto e tutela del domicilio, ~ right to be let alone); concezione generica come privacy ; concezione intermedia come sfera della vita individuale e familiare, della intimità personale (domicilio ideale e non materiale). La base normativa di questa concezione intermedia è l’art. 2 cost., artt. 3, 13, 14, 15 che proteggono la dignità e la libertà dell’uomo, la dichiarazione universale dei diritti dell’uomo e la Cedu (art 8). La definizione del diritto alla riservatezza che viene data è: tutela di quelle situazioni e vicende strettamente personali e familiari, le quali, anche se verificatesi fuori del domicilio domestico, non hanno per i terzi un interesse socialmente apprezzabile, contro le ingerenze che, sia pure compiute con mezzi leciti, per scopi non esclusivamente speculativi e senza offesa per l'onore, la reputazione e il decoro, non siano giustificate da interessi pubblici preminenti. Dunque esso viene annoverato tra i diritti della personalità e considerato un diritto soggettivo che, se violato, può giustificare il risarcimento del danno. 2.3 La protezione della riservatezza nell’ordinamento italiano. Nel caso Soraya c’era una concezione pluralistica dei diritti della personalità: l’ordinamento riconosceva positivamente tanti diritti della personalità da considerare separatamente; oggi prevale una concezione monista nell’ottica di proteggere un unico diritto della personalità che ha vari aspetti, rappresentato dall’art. 2 cost. Il diritto alla riservatezza rappresenta quindi un aspetto del generale diritto alla personalità ed è un diritto che può essere invocato da chiunque. La lesione del diritto dà luogo a responsabilità ai sensi dell’art. 2043 cc; il danno non patrimoniale può essere risarcito in base all’art. 2059 cc, ed è prevista una tutela cautelare in base all’art. 700 cpc. Una disciplina specifica sul diritto alla riservatezza è stata inserita anche nello statuto dei lavoratori; anche il diritto penale tutela la sfera privata (violazione di domicilio, interferenze illecite nella vita privata, delitti contro la persona, inviolabilità dei segreti). La divulgazione di notizie lesive del diritto alla riservatezza deve però considerarsi lecita espressione del diritto di cronaca se ci sono 3 condizioni: utilità sociale della notizia, verità dei fatti divulgati, forma civile dell’esposizione dei fatti e della loro valutazione. Un aspetto del diritto alla riservatezza è il diritto all’oblio : situazioni in cui l’intrusione nella sfera privata è stata in passato lecitamente giustificata da un interesse pubblico preminente, ma la reiterazione dell’invasione (es nuova pubblicazione di fatti o immagini) non è più giustificata da un interesse pubblico attuale. Un’altra dimensione riguarda il possibile anonimato durante un processo: un processo deve avere necessariamente dimensione pubblica e trasparente, ma in nordamerica si usano spesso pseudonimi. In Italia non è consentito l’occultamento delle generalità delle parti negli atti processuali ma il dl. 30/06/2003, n. 196 consente con alcuni presupposti di proteggere l’anonimato nella riproduzione della sentenza: le info divulgate devono essere essenziali. Un altro aspetto riguarda la protezione dell’identità della madre biologica dell’adottato (art 30 del dpr 3/11/2000) ma questo va bilanciato con il diritto a conoscere le proprie origini esercitabile dai 25 anni. Nel 2013 la Corte Costituzionale ha sancito la possibilità per il figlio di interpellare la madre che ha dichiarato di non voler essere nominata per la revoca di tale decisione di riservatezza: se la donna non dovesse revocare la sua scelta, prevarrebbe la sua riservatezza e l'anonimato rimarrebbe per tutta la durata della sua vita; qualora l'interpello non fosse possibile perché la donna non risultasse più in vita, il diritto alla conoscenza dello status di figlio potrebbe prevalere in quanto la riservatezza sarebbe inevitabilmente attenuata. Oggi con la rivoluzione informatica la nozione di privacy evolve, riguarda anche i dati personali e nascono nuove esigenze di tutela: la protezione dei dati personali in Italia si ha a partire dalla l. 31/12/1996 n 675 abrogata dal codice privacy oggi in vigore; hanno ruolo centrale anche il regolamento generale sulla protezione dei dati (GDPR) emanato nel 2016 dall’UE a cui il codice italiano è stato adeguato nel 2018. 2.4 Il diritto alla riservatezza nel diritto europeo. Nell’UE il diritto alla riservatezza è tutelato dall’art 7 della carta dei diritti fondamentali dell’UE:” ogni individuo ha diritto al rispetto della propria vita privata e familiare, del proprio domicilio e delle sue comunicazioni ”. Dagli anni 90 l’UE ha avuto un ruolo chiave per la ridefinizione del concetto di privacy, le 3 disposizioni normative fondamentali sono: direttiva 95/46/CE relativa alla tutela delle persone fisiche con riguardo al trattamento dei dati personali e alla libera circolazione di tali dati; direttiva 97/66/CE sul trattamento dei dati personali e sulla tutela della vita privata nel settore delle telecomunicazioni ; direttiva 2002/58/CE relativa al trattamento dei dati personali e alla tutela della vita privata nel settore delle comunicazioni elettroniche. È importante
Dagli anni 90 l’approccio di code is law è stato adattato all’ambito di protezione della riservatezza e dei dati personali: così è iniziato lo sviluppo delle privacy enhancing technologies (pets), misure tecnologiche atte a preservare la confidenzialità e l’identità degli individui nella rete per tutelare l’anonimato e la segreta delle comunicazioni elettroniche. La canadese Cavoukian parla di privacy by design cioè realizzazione di un progetto che consideri la privacy fin dal principio, a partire dalla creazione di un prodotto o dalla progettazione di un servizio. Ci sono 7 principi fondativi:
A livello internazionale il 1° strumento vincolante in materia è stato la Convenzione del Consiglio d'Europa n. 108 del 1985 sulla protezione delle persone rispetto al trattamento automatizzato di dati personali (oggi nota come convention 108+ e sottoscritta da 55 paesi in tutto il mondo): questa normativa richiede che il trattamento dei dati sia proporzionato alla finalità perseguita, rappresenti l'esito di un bilanciamento tra tutti gli interessi coinvolti, pubblici e privati, tra tutti i diritti e le libertà in gioco e sia basato sul consenso o su un'altra base legittima prevista dalla legge. I dati personali devono essere: trattati in modo equo e trasparente; raccolti per finalità esplicite, specifiche e legittime (o per pubblico interesse, ricerca scientifica o storica o per finalità statistiche); adeguati, pertinenti e non eccedenti rispetto alle finalità; esatti e aggiornati; conservati in una forma che consenta l’identificazione degli interessati per un periodo di tempo non superiore a quello necessario. La convenzione 108 + garantisce all’interessato dei diritti :
gdpr a 16 anni con possibilità di proroga purché non inferiore a 13 anni (quindi Italia meno restrittiva rispetto a UE). Il gdpr non si applica ai dati personali dei defunti ma lascia agli stati membri questa possibilità e il CP ne tratta all’art 2- terdecies: esso riconosce la possibilità di esercitare i diritti dell'interessato sui dati personali di una persona deceduta, ossia i diritti di accesso, rettifica e cancellazione dei dati personali, di limitazione al trattamento, di portabilità dei dati, di opposizione al trattamento e il diritto di non essere sottoposto a una decisione basata unicamente sul trattamento automatizzato; l'interessato, durante la sua vita, può vietare l'esercizio di questi diritti con dichiarazione scritta da presentare al titolare del trattamento, ma il divieto non può pregiudicare diritti patrimoniali di terzi che derivano dalla sua morte e i diritti di terzi a difendere in giudizio i loro interessi (es se non c’è un divieto i congiunti o gli eredi possono rivolgersi al titolare del trattamento per chiedere quanto sopra); questo art consente una tutela e un esercizio post mortem del diritto alla protezione dei dati personali e non si limita ai familiari, ma introduce la figura del mandatario , che può essere incaricato dall'interessato mandante, quando è ancora in vita, a gestire suoi interessi dopo la morte (es credenziali di un social per disattivarlo). Gli articoli 51 e 52 del CP prevedono delle regole in merito al trattamento dei dati identificativi presenti in documenti processuali (es sentenze, atti giudiziari) se vengono utilizzati per scopi di informazione giuridica: il processo è di regola pubblico ma la possibile diffusione su Internet di documenti giudiziari in banche dati richiede delle imitazioni per salvaguardare i diritti degli interessati; essi sono resi accessibili a chi vi abbia interesse, anche mediante siti internet (art. 51) ma dovrà essere allegato un interesse alla richiesta di accesso. Le sentenze e le altre decisioni già depositate nelle cancellerie sono rese accessibili anche attraverso il sito istituzionale osservando i limiti previsti dall'art. 52. Questa norma disciplina quindi i limiti per la diffusione del contenuto dei provvedimenti giurisdizionali per qualsiasi finalità: se ci sono motivi legittimi l’interessato può richiedere un’annotazione per precludere l’indicazione delle generalità e di altri dati identificativi (richiesta di anonimizzazione della sua identità nella sentenza: la regola generale in realtà sarebbe di pubblicità integrale di ogni provvedimento giurisdizionale). L’autorità giurisdizionale può anche disporre d’ufficio tale annotazione (es in caso di dati sensibili): i terzi che intendono diffondere una sentenza con annotazione dovranno omettere le generalità e i dati identificativi (ciò vale anche per minori vittime di reato a sfondo sessuale, rapporti di famiglia e stato delle persone); tra gli interessati legittimati a tali richieste vi sono parti processuali e testimoni. In caso di mancata anonimizzazione l’interessato potrà presentare ricorso per la tutela risarcitoria (per illecita diffusione di dati che dovevano essere oscurati per annotazione di un giudice): espressione del diritto alla protezione dei dati e del rispetto alla vita privata; l’autorità opererà un bilanciamento tra la richiesta individuale e l’esigenza di pubblicità del contesto processuale. Il Codice prevede poi regole specifiche per i trattamenti con finalità di ricerca scientifica, nell'ambito del rapporto di lavoro, per le comunicazioni elettroniche e sui poteri e compiti del Garante per la protezione dei dati personali. Il quadro normativo italiano in materia è inoltre completato dai provvedimenti e dalle pronunce del Garante, dai codici deontologici e dal d.lgs 51/2018 (che ha trasposto la Direttiva 2016/680), disciplinante i trattamenti svolti dall'autorità pubblica per le finalità di prevenzione, accertamento, repressione dei reati o tutela dell'ordine e della sicurezza pubblici. Con riferimento ai codici deontologici e ai provvedimenti chiave dell'autorità garante si segnalano regole relative a: trattamento dei dati personali nell'esercizio dell' attività giornalistica , ai trattamenti di dati personali effettuati per svolgere investigazioni difensive o per fare valere o difendere un diritto in sede giudiziaria, per il trattamento a fini di archiviazione nel pubblico interesse o per scopi di ricerca storica, per trattamenti a fini statistici o di ricerca scientifica (anche nell’ambito del sistema statistico nazionale), trattamento di categorie particolari di dati nei rapporti di lavoro, da parte di organismi di tipo associativo (fondazioni, chiese), da parte degli investigatori privati, trattamento di dati genetici. Le regole deontologiche sono parte del CP come suoi allegati; le prescrizioni invece raccolgono disposizioni che prima del gdpr erano considerate autorizzazioni generali dell’autorità e che a seguito del dlgs 101/2018 sono state integrate e modificate per adeguarle all’attuale quadro normativo. 5.3 Il diritto alla protezione dei dati in Francia. L’ordinamento francese è stato uno dei primi a tutelare espressamente il diritto alla privacy nella sua legislazione nazionale: il diritto alla riservatezza è sancito dall’art 9 del code civile modificato nel 1970; al diritto alla protezione dei dati personali è dedicata la L 78- 17 , una delle prime legislazioni in materia in tutto il mondo: in questa normativa è stata trasposta la Direttiva 95/46/CE. La L 2018-493 e il Décret 2019- 536 hanno, invece, recepito il GDPR modificando in gran parte la legge del 1978. L'art. 3 della L 78- 17 disciplina l'ambito di applicazione territoriale : esso amplia l'applicazione delle regole interne a tutti i trattamenti di dati personali effettuati nell'ambito delle attività di uno stabilimento di un titolare o di un responsabile del trattamento sul territorio francese, indipendentemente dal fatto che il trattamento abbia luogo o meno in Francia; le regole nazionali si applicano a partire dal momento in cui l'interessato risiede in Francia, anche quando il titolare del trattamento non è stabilito in Francia. Invece il consenso per i servizi della società dell’informazione è fissato a 15 anni (deroga = Italia). La l 78-17 prevede inoltre regole specifiche per i trattamenti nel