Recenti novità in materia di privacy

In ambito di rapporti contrattuali sia privati che pubblici, è ormai prassi accettare le condizioni del trattamento dei propri dati personali da parte di terzi; in merito a ciò, sorgono due rilevanti quesiti: con quale consapevolezza vengono sottoscritte tali condizioni? esiste davvero un “diritto alla riservatezza” dei cittadini/consumatori?

In Italia, a livello normativo, il trattamento dei dati personali è attualmente disciplinato dal Codice della Privacy (D.lgs. n. 196/2003, emanato in attuazione di direttive comunitarie), ma tra meno di un anno entreranno in vigore regole e principi nuovi (in parte più rigidi e stringenti rispetto alla vigente normativa nazionale), anch’essi di matrice europea.

A partire dal 25 maggio 2018, infatti, si applicherà su tutto il territorio dell’UE il regolamento UE 2016/679 (GUUE L 119/35) “relativo alla protezione delle persone fisiche con riguardo al trattamento dei dati personali, nonché alla libera circolazione di tali dati”.

In quanto regolamento, tale fonte avrà portata generale, sarà obbligatorio in tutti i suoi elementi e direttamente applicabile in ciascuno degli Stati membri (ex art. 288 TFUE) senza necessità di alcuna normativa nazionale di recepimento.

Da una prima analisi del regolamento si osserva innanzitutto un’estensione della definizione di “dato personale” rispetto alla disciplina nazionale attualmente vigente, in base alla quale “dato personale” è “qualunque informazione relativa a persona fisica, identificata o identificabile, anche indirettamente, mediante riferimento a qualsiasi altra informazione, ivi compreso un numero di identificazione personale” (art. 4 D.lgs. n. 196/2003).

Ai sensi del regolamento UE 2016/679, invece, sarà più precisamente qualificata come dato personale “qualsiasi informazione riguardante una persona fisica identificata o identificabile («interessato»); si considera identificabile la persona fisica che può essere identificata, direttamente o indirettamente, con particolare riferimento a un identificativo come il nome, un numero di identificazione, dati relativi all’ubicazione, un identificativo online o a uno o più elementi caratteristici della sua identità fisica, fisiologica, genetica, psichica, economica, culturale o sociale”.

La base giuridica su cui si fonda il c.d. regolamento privacy è il combinato disposto dell’art. 8 della Carta dei diritti fondamentali dell’UE (Carta di Nizza) e dell’art. 16 TFUE, in base ai quali ogni persona ha diritto alla protezione dei dati di carattere personale che la riguardano; tali dati devono essere trattati secondo il principio di lealtà, per finalità determinate e in base al consenso della persona interessata o a un altro fondamento legittimo previsto dalla legge; ogni persona ha il diritto di accedere ai dati raccolti che la riguardano e di ottenerne la rettifica.

 

Ambito di applicazione e principi del regolamento UE 2016/679

Ai sensi dell’art. 3, il regolamento si applicherà “al trattamento dei dati personali effettuato nell’ambito delle attività di uno stabilimento da parte di un titolare del trattamento o di un responsabile del trattamento dell’Unione, indipendentemente dal fatto che il trattamento sia effettuato o meno nell’Unione”.

In particolare, la nuova disciplina sarà applicata “al trattamento di dati personali di interessati che si trovano nell’Unione, effettuati da un titolare da un titolare del trattamento o da un responsabile del trattamento che non è stabilito nell’Unione, quando le attività di trattamento riguardano: a) l’offerta di beni o la prestazione di servizi ai suddetti interessati nell’Unione, indipendentemente dall’obbligatorietà di un pagamento dell’interessato; oppure b) il monitoraggio del loro comportamento nella misura in cui tale comportamento ha luogo all’interno dell’Unione” par. 3 “si applica al trattamento dei dati personali effettuato dal titolare del trattamento che non è stabilito nell’Unione, ma in un luogo soggetto al diritto di uno Stato membro in virtù del diritto internazionale pubblico”.

Definito l’ambito soggettivo ed oggettivo della nuova disciplina, l’art. 5 elenca i principi applicabili al trattamento di dati personali: questi ultimi vengono innanzitutto trattati secondo lealtà, correttezza, trasparenza; sono inoltre raccolti per finalità determinate, esplicite e legittime, e successivamente trattati in modo che non sia incompatibile con tali finalità.

Oltre a ciò, il Legislatore europeo ha elaborato il principio della c.d. minimizzazione dei dati, in base al quale i dati personali devono essere adeguati, pertinenti e limitati a quanto necessario rispetto alle finalità per le quali sono trattati.

Gli stessi dati devono inoltre essere esatti e, se necessario, aggiornati; devono essere conservati in una forma che consenta l’identificazione degli interessati per un arco di tempo non superiore al conseguimento delle finalità per le quali sono trattati; devono infine essere trattati in maniera da garantire un’adeguata sicurezza, compresa la protezione mediante misure tecniche e organizzative adeguate, da trattamenti non autorizzati o illeciti e dalla perdita, dalla distruzione o dal danno accidentali.

Un ruolo cruciale all’interno della nuova disciplina è svolto dal titolare del trattamento, ossia la persona fisica o giuridica, l’autorità pubblica, il servizio o altro organismo che, singolarmente o insieme ad altri, determina le finalità e i mezzi del trattamento di dati personali.

Il titolare del trattamento è competente per il rispetto dei suddetti principi ed in grado di comprovarlo: a tal proposito, il regolamento UE 2016/679 ha introdotto il principio di c.d. responsabilizzazione (accountability).

Oltre a quanto sin qui descritto, il trattamento dei dati personali sarà lecito solo se e nella misura in cui “a) l’interessato ha espresso il consenso al trattamento dei propri dati personali per una o più specifiche finalità; b) il trattamento è necessario all’esecuzione di un contratto di cui l’interessato è parte o all’esecuzione di misure precontrattuali adottate su richiesta dello stesso; c) il trattamento è necessario per adempiere un obbligo legale al quale è soggetto il titolare del trattamento; d) il trattamento è necessario per la salvaguardia degli interessi vitali dell’interessato o di un’altra persona fisica; e) il trattamento è necessario per l’esecuzione di un compito di interesse pubblico o connesso all’esercizio di pubblici poteri di cui è investito il titolare del trattamento; f) il trattamento è necessario per il perseguimento del legittimo interesse del titolare del trattamento o di terzi, a condizione che non prevalgano gli interessi o i diritti e le libertà fondamentali dell’interessato che richiedono la protezione dei dati personali, in particolare se l’interessato è un minore” (art. 6).

Infine, un delicato e rilevante aspetto della nuova disciplina è connesso al consenso dell’interessato al trattamento dei propri dati personali: ai sensi dell’art. 7, infatti, “il titolare del trattamento deve essere in grado di dimostrare che l’interessato ha prestato il proprio consenso al trattamento dei propri dati personali. Se il consenso dell’interessato è prestato nel contesto di una dichiarazione scritta che riguarda anche altre questioni, la richiesta di consenso è presentata in modo chiaramente distinguibile dalle altre materie, in forma comprensibile e facilmente accessibile, utilizzando un linguaggio semplice e chiaro. Nessuna parte di una tale dichiarazione che costituisca una violazione del presente regolamento è vincolante. L’interessato ha il diritto di revocare il proprio consenso in qualsiasi momento. La revoca del consenso non pregiudica la liceità del trattamento basata sul consenso prima della revoca. Prima di esprimere il proprio consenso, l’interessato è informato di ciò. Il consenso è revocato con la stessa facilità con cui è accordato. Nel valutare se il consenso sia stato liberamente prestato, si tiene nella massima considerazione l’eventualità, tra le altre, che l’esecuzione di un contratto, compresa la prestazione di un servizio, sia condizionata alla prestazione del consenso al trattamento di dati personali non necessario all’esecuzione di tale contratto”.

Trattamento illegittimo dei dati personali – disciplina interna

Resta ferma comunque la risarcibilità, già prevista dalla normativa nazionale del 2003 (che a sua volta recepiva direttive comunitarie), del danno patrimoniale e non patrimoniale derivante dall’illecito trattamento di dati personali.

Ai sensi dell’art. 15, comma 1, D.lgs. 196/2003, infatti, “chiunque cagiona danno ad altri per effetto del trattamento di dati personali è tenuto al risarcimento ai sensi dell’art. 2050 del codice civile”.

La disposizione codicistica richiamata prevede, a sua volta, il risarcimento del danno da responsabilità per l’esercizio di attività pericolose; vi è di più perchè al comma 2, l’art. 15 prosegue prevedendo altresì la risarcibilità del danno anche al di fuori delle ipotesi di reato tipizzate dallo stesso Codice della privacy all’art. 11.

In tal modo, l’area di risarcibilità del danno non patrimoniale ha subito una significativa estensione, determinando una esplicita rilevanza giuridica del pregiudizio ad una pluralità di valori costituzionali (nonché contenuti nella Carta di Nizza), la cui lesione in altri ambiti rimane spesso priva di immediati risvolti patrimoniali.

Diritto all’oblio

Una delle più incisive novità introdotte dal regolamento UE 2016/679 è l’esplicito riferimento al c.d. diritto all’oblio.

Con la proliferazione dei c.d. diritti digitali, l’espressione “diritto all’oblio” (right to be forgotten) è entrata prepotentemente nel dibattito giuridico attuale.

Nella società dell’informazione, in cui tutto circola in rete, tale diritto viene configurato quale nuovo diritto della personalità.

Di recente, la Corte di Giustizia dell’Unione europea, nel noto caso Google Spain (C‑131/12, 13 maggio 2014, ECLI:EU:C:2014:317), ha indicato per la prima volta una serie di principi guida in materia.

In particolare, i Giudici di Lussemburgo hanno affermato che “il gestore di un motore di ricerca è obbligato a sopprimere, dall’elenco di risultati che appare a seguito di una ricerca effettuata a partire dal nome di una persona, dei link verso pagine web pubblicate da terzi e contenenti informazioni relative a questa persona, anche nel caso in cui tale nome o tali informazioni non vengano previamente o simultaneamente cancellati dalle pagine web di cui trattasi, e ciò eventualmente anche quando la loro pubblicazione su tali pagine web sia di per sé lecita”.

A livello nazionale, tra le prime pronunce che hanno applicato in concreto i principi dettati dalla Corte di Giustizia dell’UE, il Tribunale di Roma con la sentenza n. 23771/2015 si è espresso nei seguenti termini: “in materia di diritto all’oblio, inteso come “peculiare espressione del diritto alla riservatezza (privacy)”, l’utente può chiedere al motore di ricerca web la rimozione dei link da quei siti che ritiene lesivi della propria reputazione e riservatezza, ottenendo la cancellazione dei contenuti delle pagine web che offrono una rappresentazione non più attuale della propria persona, solo se si tratta di un fatto non recente e di scarso interesse pubblico. Il diritto all’oblio deve infatti essere bilanciato con il diritto di cronaca e l’interesse pubblico alla conoscenza dei fatti acquisibili via web”, escludendo in tal modo la c.d. deindicizzazione chiesta da un avvocato in relazione ad una rilevante indagine risalente al 2013 non ancora conclusasi con archiviazioni o sentenze favorevoli.

Il Giudice di primo grado ha infatti ritenuto che i fatti fossero ancora recenti e di sicuro e largo interesse, posto che si riferivano ad una persona che esercitava un ruolo pubblico (occorre precisare a tal riguardo che l’attribuzione di “ruolo pubblico” non si riferisce solo al politico, ma anche agli alti funzionari pubblici, agli uomini d’affari e agli iscritti in albi professionali).

Analogamente, con la sentenza n. 12623/2017 il Tribunale di Milano ha affermato che “deve essere riconosciuto il diritto dell’interessato a rivolgersi al gestore del motore di ricerca al fine di ottenere la rimozione dei risultati ottenuti inserendo come criterio di indagine il nome del soggetto cui si riferiscono le informazioni, in particolare quando le stesse, tenuto conto dell’insieme delle circostanze caratterizzanti il caso oggetto della richiesta, risultino inadeguate, non pertinenti o non più pertinenti ovvero eccessive in rapporto alle finalità per le quali sono state trattate al tempo trascorso”.

Alla luce di tali premesse, è evidente la logica sottostante la formulazione dell’art. 17 del regolamento UE 2016/679, in base al quale, infatti, “l’interessato ha diritto di ottenere dal titolare del trattamento la cancellazione dei dati personali che lo riguardano senza ingiustificato ritardo e il titolare del trattamento ha l’obbligo di cancellare senza ingiustificato ritardo i dati personali, se sussiste uno dei seguenti motivi: a) i dati personali non sono più necessari rispetto alle finalità per le quali sono stati raccolti o altrimenti trattati; b) l’interessato revoca il consenso su cui si basa il trattamento conformemente all’articolo 6, paragrafo 1, lettera a), o all’articolo 9, paragrafo 2, lettera a), e se non sussiste altro fondamento giuridico per il trattamento; c) l’interessato si oppone al trattamento ai sensi dell’articolo 21, paragrafo 1, e non sussiste alcun motivo legittimo prevalente per procedere al trattamento, oppure si oppone al trattamento ai sensi dell’articolo 21, paragrafo 2; d) i dati personali sono stati trattati illecitamente; e) i dati personali devono essere cancellati per adempiere un obbligo legale previsto dal diritto dell’Unione o dello Stato membro cui è soggetto il titolare del trattamento; f) i dati personali sono stati raccolti relativamente all’offerta di servizi della società dell’informazione di cui all’articolo 8, paragrafo 1. Il titolare del trattamento, se ha reso pubblici dati personali ed è obbligato, ai sensi del paragrafo 1, a cancellarli, tenendo conto della tecnologia disponibile e dei costi di attuazione adotta le misure ragionevoli, anche tecniche, per informare i titolari del trattamento che stanno trattando i dati personali della richiesta dell’interessato di cancellare qualsiasi link, copia o riproduzione dei suoi dati personali. I paragrafi 1 e 2 non si applicano nella misura in cui il trattamento sia necessario: a) per l’esercizio del diritto alla libertà di espressione e di informazione; b) per l’adempimento di un obbligo legale che richieda il trattamento previsto dal diritto dell’Unione o dello Stato membro cui è soggetto il titolare del trattamento o per l’esecuzione di un compito svolto nel pubblico interesse oppure nell’esercizio di pubblici poteri di cui è investito il titolare del trattamento; c) per motivi di interesse pubblico nel settore della sanità pubblica in conformità dell’articolo 9, paragrafo 2, lettere h) e i), e dell’articolo 9, paragrafo 3; d) a fini di archiviazione nel pubblico interesse, di ricerca scientifica o storica o a fini statistici conformemente all’articolo 89, paragrafo 1, nella misura in cui il diritto di cui al paragrafo 1 rischi di rendere impossibile o di pregiudicare gravemente il conseguimento degli obiettivi di tale trattamento; o e) per l’accertamento, l’esercizio o la difesa di un diritto in sede giudiziaria”.

In conclusione, nel difficile tentativo di raggiungere un adeguato bilanciamento tra l’interesse degli utenti di Internet a conoscere le informazioni trattate dal gestore del motore di ricerca e il diritto fondamentale della persona coinvolta al rispetto della vita privata e alla protezione dei dati personali, occorre tenere a mente che i diritti fondamentali di cui sopra prevalgono, in linea di principio, non soltanto sull’interesse economico del gestore del motore di ricerca, ma anche sull’interesse del pubblico ad accedere all’informazione suddetta in occasione di una ricerca concernente il nome di questa persona.

Diversamente, in ipotesi particolari, in cui ad esempio il soggetto in questione ricopre un ruolo determinante nella vita pubblica, l’ingerenza nei diritti fondamentali della persona può essere giustificata dall’interesse preponderante del pubblico ad avere accesso.

Il tema è delicato e coinvolge un cambiamento etico-sociale ancor prima che giuridico: al di là delle prevedibili ed importanti questioni interpretative che la nuova disciplina potrà determinare, in attesa della relativa entrata in vigore, sembra che la Giurisprudenza nazionale e sovranazionale sia già orientata in senso pressoché conforme ad essa.

Avvocato Filippo Genovesi