Tutela della vita privata, protezione dei dati personali e privacy. Ambiguità semantiche e problemi definitori

Questo articolo analizza il rapporto fra tutela della vita privata, protezione dei dati personali e diritto alla privacy per evidenziare i problemi interpretativi derivanti da una non chiara definizione dei concetti e degli istituti giuridici coinvolti. Evidenzia come non sia possibile considerare come sinonimi il diritto alla protezione dei dati personali e quello alla tutela della privacy e come il diritto al rispetto della vita privata e familiare abbia un contenuto molto più ampio di quello che, normalmente, si ricomprende genericamente nella nozione di privacy. Analizza le conseguenze derivanti dal ridurre la nozione di privacy alla sue caratteristiche funzionali di segretezza, anonimato e diritto alla solitudine. Propone la positivizzazione del concetto di privacy come diritto al controllo sulle proprie informazioni personali, in modo da fornire un’autonomia altrimenti inesistente a questo diritto fondamentale – di Andrea Monti^[1] Diritto di internet n. 1/19

Sommario. 1. Introduzione – 2. Esiste un “diritto alla privacy” – 3. Privacy, tutela della vita privata e protezione dei dati personali – 4. Definire la privacy – 5. Privacy come diritto a controllo sulle informazioni personali

1. Introduzione

Il rapporto fra tutela della vita privata, protezione dei dati personali e privacy – o, meglio, diritto al rispetto della privacy – è un tema ampiamente esplorato dalla letteratura scientifica che, però, non è sempre in grado di fornire una tassonomia di questi concetti, considerandoli sinonimi o comunque sostanzialmente intercambiabili.

In realtà, secondo la lettura che questo articolo intende proporre, non è così: la triade non è “una e trina” ma afferisce a istituti diversi e gerarchicamente non sullo stesso piano. Il che ha delle conseguenze non solo sul piano teorico, ma anche su quello dell’applicazione giurisprudenziale.

Come rileva Giampiero Di Plinio nella prefazione all’edizione italiana del saggio Privacy. A Very Short Introduction:

Lo stato dell’arte, con il relativo toolkit, e? incompleto, insufficiente, in larga misura ambiguo, perche? lo stesso concetto di privacy, indubbiamente utile ai primordi dei lavori seminali di Frosini e Simitis, e? stato fagocitato dalla frenesia del mutamento tecnologico, ed e? divenuto troppo ‘impreciso’, troppo poco ‘maneggevole’, in un certo senso ‘ingombrante’.^[2]

Perché il concetto di privacy è diventato – nelle parole di Di Plinio – “troppo impreciso” e “troppo poco maneggevole”?

Probabilmente perché il concetto nasce già troppo vago.

Una condizione, questa, che nel corso del tempo e per via dei mutamenti sociali e tecnologici ha consentito di attribuire a questo significante dei significati molto diversi fra loro – al punto di essere addirittura strutturalmente contraddittori.
Così, senza voler ripercorrere analiticamente l’evoluzione del concetto di privacy^[3], l’originario concetto di privacy come right to be alone teorizzato da Warren e Brandeis nell’oramai celeberrimo articolo pubblicato nel 1890 dalla Harvard Law Review in reazione all’invasività dei giornali scandalistici nelle loro vicende private, ha cambiato più volte forma fino a diventare irriconoscibile.

Nel corso del tempo, infatti, il diritto alla privacy è stato invocato – e applicato – come strumento di tutela della libertà di scelta in materia di aborto^[4], o di riconoscimento della libertà di intrattenere – consensualmente – rapporti omosessuali^[5] . E’ stato utilizzato in funzione anti-discriminatoria delle minoranze^[6] e come strumento di marketing per “spingere” le vendite di smartphone^[7]. Ne è stata chiesta l’applicazione per limitare l’attività degli street-photographer^[8] e dei mezzi di informazione. Oppure per limitare il diritto – ma anche il dovere – del datore di lavoro, di adottare misure di sicurezza a tutela del patrimonio aziendale e in adempimento a prescrizioni normative come quelle derivanti dall’adozione di un modello organizzativo ai sensi del d.lgs. 231/01.

E’ il caso, dunqe, di domandarsi se questa frammentarietà del diritto alla privacy ne rappresenti un data costitutivo, se – al contrario – sia possibile ricondurre ad unità i suoi diversi epifenomeni o se, addirittura e provocatoriamente, non abbiamo bisogno di un diritto del genere.

2. Esiste un “diritto alla privacy”?

Da una prima ricognizione empirica, è possibile rilevare che praticamente nessuna Costituzione occidentale – con l’eccezione di quella sudafricana, di cui si dirà in seguito – contiene la parola privacy o un suo sinonimo. Mentre tutte le Costituzioni che potremmo definire “liberali” – insieme alla Convenzione europea sui diritti umani e alla Carta dei diritti fondamentali dell’Unione Europea – prevedono tutele forti per l’inviolabilità del domicilio, la segretezza della corrispondenza, la libertà di espressione e il rispetto della vita privata. Cioè gli ambiti che, tradizionalmente, si fanno coincidere con il diritto alla privacy.

Hic Rhoda, hic saltus.

Innanzi tutto: se diritto deve essere, quello alla privacy deve senz’altro essere costituzionale o costituzionalizzato:

The submission that privacy is only a right at common law misses the wood for the trees. The central theme is that privacy is an intrinsic part of life, personal liberty and of the freedoms guaranteed by Part III which entitles it to protection as a core of constitutional doctrine. The protection of privacy by the Constitution liberates it, as it were, from the uncertainties of statutory law which, as we have noted, is subject to the range of legislative annulments open to a majoritarian government.^[9]

Ma cosa aggiungerebbe alla tutela dell’individuo questo processo di costituzionalizzazione?

Apparentemente nulla, dal momento che – come rileva l’articolo 14 della Costituzione sudafricana, il diritto alla privacy comprende il diritto dell’individuo di non subire perquisizioni locali e personali, il sequestro dei suoi beni e – testualmente – di non vedere violata la privacy delle sue comunicazioni. Che, però, va evidentemente intesa come “segretezza” piuttosto che come nozione “altra” e più generale afferente in senso complessivo allo statuto della persona.

Conclusioni analoghe si raggiungono analizzando il testo dell’articolo 8 della Convenzione europea dei diritti umani e la giurisprudenza della Corte di Strasburgo che, spesso in modo sommario, vengono tout-court considerate il fondamento positivo della privacy.

Si deve tuttavia fare attenzione al fatto che questo articolo non protegge la “privacy” in quanto tale quanto piuttosto il diritto al “rispetto” della privacy.

In termini di sistematica giuridica l’estensione della tutela resa possibile da questa interpretazione e? incredibilmente ampia. La Corte europea, dal canto suo, ha interpretato l’articolo 8 includendovi l’integrita? psicofisica di un soggetto, la protezione del proprio ambiente, dell’identita? e dell’autonomia personale.

Questa indeterminatezza concettuale si appaia all’esasperante imprecisione del “diritto ad essere lasciato solo” teorizzato da Warren e Brandeis.^[10]

3. Privacy, tutela della vita privata e protezione dei dati personali

L’ambiguità e la vaghezza cui far riferimento Wacks nel suo lavoro, derivano proprio dall’avere configurato, da parte della dottrina e della giurisprudenza, la sussistenza di una corrispondenza biunivoca – se non addirittura di una sovrapposizione piena – fra il rispetto della vita privata e quello della privacy. Ma come dimostra la stessa giurisprudenza della Corte europea sui diritti umani, la nozione di rispetto della vita privata va ben oltre il riconoscimento di un diritto alla privacy che, nonostante gli sforzi interpretativi, rimane sostanzialmente non definito.

Sembrava di poter scorgere una via d’uscita da questo labirinto di incertezze su natura e contenuto del diritto alla privacy nella creazione di un corpo normativo attorno allo scheletro rappresentanto dall’articolo 8 della Carta dei diritti fondamentali dell’Unione Europea che stabilisce il diritto alla protezione dei dati personali. La direttiva 1995/46 e la direttiva 2002/58, prima, il Regolamento 679/16, oggi e il futuro Regolamento ePrivacy sembrano infatti in grado di raggiungere il tanto agognato traguardo.

In realtà non è così, innanzitutto per ragioni sistematiche.

Se, infatti, “sposando” l’interpretazione della Corte europea dei diritti umani, accediamo all’interpretazione per la quale il diritto alla privacy afferisce al rispetto della vita privata e familiare, allora il riferimento nella Carta di Nizza è l’articolo 7 (che si occupa, appunto ed esattamente, dello stesso tema) e non l’articolo 8, relativo alla protezione dei dati personali.

In secondo luogo, sia la direttiva 95/46, sia il Regolamento 679/16 costituiscono un diritto “strumentale” alla protezione dei diritti e delle libertà fondamentali dell’individuo. Il diritto alla protezione dei dati personali, in altri termini, ha senso nella misura in cui è funzionale all’affermazione di altri diritti, privacy compresa e non come sinonimo di diritto alla privacy.

Una risalente giurisprudenza milanese focalizzò molto bene il punto:

In proposito, occorre innanzitutto affermare, in dissenso con quanto da taluno pure sostenuto in sede di primo commento, che la l. 675/96 – ancorché conclami in preambolo la “finalità” di garantire il “rispetto dei diritti, delle libertà fondamentali nonché della dignità” della persona, “con particolare riguardo alla riservatezza ed all’identità personale” (cfr. il titolo dell’art. 1 ed il contenuto del relativo 1° comma) – non può essere né riguardata alla stregua di un vero e proprio “statuto generale della persona” né ritenuta più accentuatamente rivolta alla tutela della persona che alla disciplina sul trattamento dei dati.

Simili impostazioni appaiono, infatti, inficiate da un vizio di prospettiva, giacché confondono aspetti diversi e concettualmente infungibili, quali la ratio della normativa (ruolo, nella specie, testualmente assegnato alla protezione dei fondamentali diritti della persona: cfr. la rubrica ed il 1° comma dell’art. 1) e la sua sfera di operatività (nella specie, univocamente identificabile, alla luce del titolo e della complessiva disciplina della legge, nel fenomeno del “trattamento dei dati personali”); aspetti diversi, che solo complementarmente integrandosi concorrono a definire compiutamente il bene giuridico oggetto della tutela accordata: i diritti fondamentali della persona con specifico, ed esclusivo, riferimento alle implicazioni inerenti all’attività di “trattamento di dati personali”. ^[11]

Benchè relativo alla Legge 675/96, che non recepiva formalmente la direttiva 95/46 e che per questo fu riformato dalla Cassazione^[12], questo provvedimento ha operato una ricostruzione sostanzialmente e formalmente corretta – ma soprattutto attuale – del rapporto fra protezione dei dati personali e diritti fondamentali della persona, considerando il primo come “funzionale” ai secondi e non come equiparato.

In terzo luogo, la limitazione dell’ambito operativo del Regolamento UE 679/2016 stabilita dall’articolo 2^[13] esclude dalla tutela tutta una serie di comportamenti “istantantei”, come quelli puniti dall’articolo 615bis del Codice penale che espressamente la “vita privata” come elemento costitutivo della fattispecie. D’altra parte, volendo sostenere l’equiparazione fra tutela della privacy e diritto alla protezione dei dati personali si arriverebbe, per esempio, al paradosso di non considerare applicabile il GDPR ai trattamenti di dati eseguiti dal datore di lavoro nella gestione dell’impresa. L’articolo 4 della Legge 300/70, infatti, è inserito nel Titolo I che tutela dignità e libertà del lavoratore ma non la sua vita privata. Tutela che, sul luogo di lavoro, sussiste ex articolo 615bis Codice penale soltanto in quei casi nei quali il dipendente si trova in ambiti personalissimi, non afferenti alla prestazione lavorativa.^[14] Viceversa, la normativa sulla protezione dei dati personali si rivela fondamentale per la tutela della libertà e della dignità della persona-lavoratore proprio per sanzionare – o prevenire – quei comportamenti discriminatori che, pur non costituendo violazione del diritto al rispetto della vita privata, ledono i diritti e le libertà fondamentali che l’articolo 7 e il Regolamento 679/16 intendono proteggere, e ben oltre la limitata prospettiva dei controlli a distanza.

Sotto un altro profilo, l’impossibilità di considerare la normativa sulla protezione dei dati personali come il one stop shop per la tutela della privacy deriva dal fatto che il GDPR non si applica ai casi di trattamenti anonimi e che, però, non per questo sono “innocui” in termini di rispetto per la vita privata dell’individuo.

Dato che il GDPR non si applica a dati anonimi in quanto non ricadenti nella definizione di “dato personale”, sono di conseguenza fuori dal suo raggio di azione tutti quei trattamenti eseguiti su numeri IP non associabili a un’identità fisica. Ma a chi opera nel settore della (vera) profilazione non interessa necessariamente conoscere “nome e cognome” del soggetto che sta usando un certo computer collegato alla rete internet. Ciò che basta è conoscere tutto ciò che ruota attorno a quel numero IP, in modo da somministrargli ciò che serve in termini di contenuti pubblicitari o – peggio – di messaggi e informazioni che ne orientano opinioni e scelte.

L’interferenza nella vita privata è evidente, come è evidente l’impotenza del GDPR in un caso del genere.

Infine, sia la direttiva 2002/58 sia l’emanando Regolamento ePrivacy, destinato a sostituirla, non si occupano di dati personali ma di segretezza delle comunicazioni sia per le persone fisiche, sia per quelle giuridiche.

Mentre il GDPR tutela soltanto le persone fisiche, la direttiva ePrivacy (e il suo futuro aggionrament, il Regolamento ePrivacy) offrono tutela anche alle persone giuridiche. E mentre il GDPR è basato su una complessa nozione di correttezza del trattamento di dati personali, la legislazione in materia di ePrivacy è concentrata sulla protezione della vita privata e della confidenzialità. Mentre il GDPR è applicabile a trattamenti automatizzati o finalizzati all’inclusione in un sistema di archiviazione, la regolamentazione ePrivacy coinvolge un più ampio spettro di trattamenti perchè il suo obiettivo è proteggere dei diritti positivamente individuati piuttosto che regolare il modo in cui devono essere gestiti i dati.^[15]

Benché sia alquanto improprio accomunare persone fisiche e persone giuridiche sotto la nozione di privacy, considerato che le seconde hanno (già) diritto alla protezione del segreto industriale e che la tutela della segretezza delle comunicazioni non coinciderebbe, in questo caso, con la tutela della vita privata, quest’ultimo dato normativo è, probabilmente, quello che meglio e più di altri contribuisce a differenziare il diritto alla protezione dei dati personali dalla tutela della privacy.

4. Definire la privacy

Il fatto che la normativa sulla protezione dei dati personali non consenta una tutela diretta – e comunque non la consente in via esclusiva – del diritto alla privacy non risolve il problema posto in apertura di questo articolo, e cioè se esista o meno un diritto alla privacy che sia autonomo rispetto a quelli riconosciuti e positivizzati nelle carte costituzionali, nei trattati e nelle convenzioni internazionali.

Se accediamo alla scelta di definire il diritto alla privacy tramite le sue caratteristiche, cioè segretezza, anonimato e solitudine ^[16], la risposta è evidentemente negativa. Da un lato, infatti, le norme esistenti già esauriscono gli ambiti di tutela rilevanti e, dall’altro, non necessariamente proteggere segretezza e anonimato significa tutelare la privacy.

La tendenza a considerare la privacy come sostanzialmente indistinguibile dai diritti che le si associano come quello alla segretezza o alla confidenzialità, privano il diritto alla privacy della sua essenza. E pone la domanda del perché, se questi diritti già garantiscono adeguata tutela, sia necessario concepire un diritto alla privacy.

I cittadini hanno il diritto di aspettarsi che uno Stato democratico rispetti il loro diritto di non essere oggetto di sorveglianza non neccessaria, così come che venga garantito il loro diritto di esercitare liberamente i loro diritti civili e politici. … Ma questa aspettativa è del tutto diversa da quella sulla quale fanno affidamento il capo di un cartello della droga, un partner infedele o un attivista per i diritti umani. Questi soggetti non aspirano a una tutela della loro privacy ma a permanere in uno stato di segretezza e di anonimato per salvaguardare le loro attività occulte dalla cognizione del pubblico.^[17]

Analogamente, anche l’anonimato non è necessariamente legato in modo esclusivo alla tutela della privacy, come dimostra il caso delle criptovalute^[18], la cui caratteristica principale è, appunto, quella di consentire pagamenti anonimi, del tutto analoghi a quelli eseguiti per contanti.

Usare una cripto valuta per finanziare attivisti politici, accettarla come pagamento da parte di un Paese in blacklist per avere venduto beni in violazione di embargo, o usarle per acquistare droghe ricreative sono attività differenti, soggette a differenti regolamentazioni. E non avrebbe senso condurre un’analisi caso per caso per verificare il coinvolgimento del (malinteso) diritto alla privacy dal momento che distruggerebbe la natura stessa di questo diritto fondamentale.^[19]

Possiamo dunque concludere che non abbiamo bisogno di un “diritto alla privacy” e dunque considerare il termine come una scorciatoria priva di contenuto sostanziale, come un umbrella word per sintetizzare un coacervo di diritti – pur fondamentali – ma diversi e a volte in conflitto fra loro?

5. Privacy come diritto al controllo sulle informazioni personali

Il tentativo, operato in varie giurisdizioni e in epoche differenti, di trovare un fondamento costituzionale alla privacy non ha mai fornito risultati definitivi proprio per la difficoltà di individuare il quid pluris in grado di fornire autonomia a questo diritto.

Oggi, però, l’evoluzione tecnologica e la sua irruzione violenta nella sfera individuale di ciascuno di noi rendono possibile individuare questo quid pluris nel diritto di ciascuno al controllo sulle proprie informazioni personali, che è un diritto diverso da quello alla protezione dei dati personali di cui si occupa l’articolo 8 della Carta di Nizza e non ne costituisce duplicazione.

Come si è detto supra, la normativa sulla protezione dei dati personali ha finalità diverse, più ristrette (quanto ad ambito di applicazione materiale) e in parte del tutto e grandemente estranee rispetto alla tutela della privacy. Allo stesso modo, concepire un diritto al controllo sulle proprie informazioni personali non equivale a invocare la tutela per il rispetto della vita privata e familiare, ma a rivendicare, per ciascuno, il potere di decidere cosa rendere pubblico di se stessi.

Categorie come “diritto ad essere lasciati soli” e “diritto all’oblio” sono statiche e immobili. Potevano avere senso ai tempi di Warren e Brandeis, quando la vita era più semplice e l’informazione giocava un ruolo molto meno rilevante nella vita dell’individuo. Oggi queste categorie non servono più perché sono state rese desuete dai mutamenti sociali causati dalla tecnologia e dal suo uso spregiudicato, consentito dall’inerzia e dall’incapacità del legislatore di comprendere cosa stesse accadendo.

Percepiamo intuitivamente che esiste una gerarchia di informazioni e che esistono diverse cerchie nel cui ambito queste informazioni possono circolare. E siamo consapevoli che un’informazione, una volta comunicata o diffusa, “più richiamar non vale”. Nello stesso tempo, però, abbiamo anche una più che legittima aspettativa di non essere discriminati, giudicati o subire danni per via della circolazione più o meno autorizzata di aspetti personalissimi della nostra vita individuale.

In questo spazio, senza soluzione di continuità, i diritti dell’invididuo ricevono una tutela dinamica nella quale man mano che la tutela offerta dalla privacy perde efficacia, entrano in gioco altri diritti che completano e rinforzano lo scudo contro le molteplici aggressioni, pubbliche e private, che quotidianamente devono subire.

Per questo è importante che il diritto al controllo sulle informazioni personali venga positivizzato in una norma – idealmente a livello costituzionale – che consenta di intendere la privacy come parte di un continuum di diritti.

E’ chiaro la soluzione di positivizzare il diritto alla privacy non è perfetta nè scevra di problemi. Ma consentirebbe non solo allo studioso, ma soprattuto al pratico del diritto, di muoversi finalmente su un terreno solido con una direzione chiara, piuttosto che perdersi in una notte senza luna, popolata di ombre, fantasmi e spettri del passato, evocati dai nuovi negromanti.

Avvocato cassazionista, professore a contratto di Diritto dell’ordine e sicurezza pubblica nell’Università Gabriele d’Annunzio di Chieti-Pescara. ?
Così Di Plinio in Prefazione all’edizione italiana di Wacks, Privacy. Una sintetica introduzione, Pescara, 2016, Traduzione e cura dall’originale inglese Privacy. A Very Short Introduction, Oxford (UK), 2015 di Monti. ?
Per il che si rimanda a Wacks, cit. ?
Corte Suprema degli Stati Uniti, Roe v Wade 410 US 113 (1973). ?
Corte Suprema degli Stati Uniti, Lawrence v Texas 539 US 558 (2003). ?
Corte Suprema Indiana, Naz Foundation v Government of NCT of Delhi, 9 luglio 2009 (2010) Crim LJ 94 (Del), 110 at [48]. ?
Timberg, Apple will no longer unlock most iPhones, iPads for police, even with search warrants in The Washington Post del 18 settembre 2014. Disponibile all’indirizzo https://tinyurl.com/y2k6c3hl visitato il 15 marzo 2019. ?
La Street-Photography è una forma documentaristica che consiste nella “cattura” di momenti di vita quotidiana in spazi pubblici con l’intento di raccontarne il dipanarsi. La teorizzazione e le prime applicazioni pratiche risalgono ai primi anni del 1900, anche se fu il francese Henri Cartier-Bresson, cofondatore, nel 1947, dell’agenzia internazionale Magnum, a trasformare la Street-Photography in un fenomeno culturale internazionale. In Italia hanno fatto scuola, fra gli altri, i lavori di Vittorugo Contino, Caio Mario Garrubba e Calogero Cascio. ?
Corte Suprema Indiana, cit. ?
Wacks, cit., 94. ?
Tribunale di Milano, I Sezione Civile, Decreto 27 settembre 1999, RCS S.p.a., De Bortoli vs Valoti-Olcese, Garante per la protezione dei dati personali ?
Corte di cassazione, I Sezione Civile, sentenza 30 giugno 1999 n. 8889. ?
Articolo 2 Ambito di applicazione materiale – Il presente regolamento si applica al trattamento interamente o parzialmente automatizzato di dati personali e al trattamento non automatizzato di dati personali contenuti in un archivio o destinati a figurarvi. ?
Così, per esempio, la Cassazione ha ritenuto applicabile la norma in questione nel caso di abusiva installazione di videocamere negli spazi che le lavoratrici utilizzavano per cambiarsi d’abito (così Corte di cassazione, Sezione III penale, Sentenza 372/19). ?
Monti, Wacks, Protecting Personal Information, Londra, 2019, 26 ?
Gavison, Privacy and the Limits of Law (1980) 89 Yale Law Journal 412 ?
Monti, Wacks cit. 71. ?
Sull’argomento vedi, in generale, Monti, Un contributo all’analisi della natura giuridica delle criptovalute in Ragion Pratica Rivista semestrale 2/2018, 378. ?
Monti, Wacks cit. 76. ?

Possibly Related Posts: