Codice della Privacy e Data Protection. Intervista ai Prof. Avv. Giusella Fiocchiaro, Oreste Pollicino, Giorgio Resta

 

DIMT ha intervistato i Prof. Avv. Oreste Pollicino, la Prof.ssa Avv. Giusella Fiocchiaro ed il Prof. Avv. Giorgio Resta, Condirettori della nostra Rivista, che insieme al Prof. Roberto D’Orazio, hanno curato il volume Codice della Privacy e Data Protection. Il testo si accompagna alla collana Le Fonti del diritto italiano, la quale si arricchisce così di un’opera fondamentale.

Il volume costituisce un punto di riferimento per l’analisi della disciplina della privacy e della tutela dei dati personali, perché fornisce un quadro completo delle questioni giurisprudenziali e dottrinali emerse in prima battuta con riferimento alla Convenzione europea dei diritti dell’uomo e la Carta dei diritti fondamentali dell’Unione europea, per poi concentrarsi su quelle derivanti dal Regolamento GDPR e dalla normativa interna contenuta nel c.d. Codice della privacy.

 

La Prof.ssa Avv. Giusella Fiocchiaro

La Prof.ssa Avv. Giusella Fiocchiaro è titolare e fondatrice dello Studio Legale Finocchiaro (Bologna – Milano), è Professoressa ordinaria di diritto di internet e di diritto privato nell’Università di Bologna e socio effettivo dell’Accademia delle Scienze dell’Istituto di Bologna e socia fondatrice di IAIC (Italian Academy of the Internet Code).
Affianca alla carriera accademica numerose collaborazioni di carattere scientifico, di livello nazionale e internazionale. È Presidente della Commissione dell’UNCITRAL (Commissione delle Nazioni Unite per il Diritto del Commercio Internazionale) sul commercio elettronico.

 

Il Prof. Avv. Oreste Pollicino

Il Prof. Avv. Oreste Pollicino è Professore ordinario di Diritto costituzionale e di Diritto dei media presso l’Università Bocconi. Direttore della “Rivista di diritto dei media” e della “Rivista di Diritti Comparati”, socio fondatore di IAIC (Italian Academy of the Internet Code). È stato consulente giuridico, sui temi legati alla tutela dei diritti fondamentali in ambito digitale, per Consiglio d’Europa, Commissione europea, Organizzazione per la cooperazione e lo sviluppo economico, Ministero della Giustizia e Autorità (italiana) per le garanzie nelle comunicazioni. Ha insegnato come visiting professor presso la Oxford University, la University of Haifa, la National Singapore University, l’Università di Friburgo (Svizzera) e la Central European University (Budapest).

 

 

Il Prof. Avv. Giorgio Resta

Il Prof. Avv.Giorgio Resta è Professore ordinario di Diritto privato comparato presso l’Università di Roma Tre, ove ricopre attualmente la carica di Direttore vicario del Dipartimento di Giurisprudenza, nonché Coordinatore del Programma di Dottorato internazionale su “Law & Social Change: The Challenges of Transnational Regulation”. Oltre al corso di Sistemi giuridici comparati, insegna “Digital Technologies and the Law”. Ha fatto parte della Commissione ministeriale per il recepimento del Regolamento UE 2016/679 in materia di protezione dei dati personali e della Commissione ministeriale per la riforma del III libro del Codice civile (Segreteria scientifica). Condirettore della Rivista Critica del Diritto Privato e del Diritto dell’informazione e dell’informatica,

 

 

 

L’approccio dei vari membri dell’UE a seguito delle prospettive aperte dalla normativa sovranazionale contenuta nel Regolamento europeo “General Data Protection Regulation” (GDPR), è estremamente diversificato seppur allineato nell’insistere sulla tutela della privacy e dei dati personali. Ma perché è così importante parlare e analizzare l’evoluzione del diritto della tutela dei dati personali, quali sono le principali questioni giurisprudenziali e dottrinali aperte nell’attuale dibattito in materia? Come l’Italia si sta muovendo per allinearsi con le normative del GDPR?

La Prof.ssa Avv. Giusella Finocchiaro- Il sistema della protezione dei dati personali costituisce oggi un “cantiere” normativo. È un cantiere nel quale i materiali certamente non mancano e nel quale interagiscono tante diverse architetture e livelli di norme: dai principi fondamentali affermati nella Carta di Nizza fino alle FAQ del Garante per la protezione dei dati personali. In questo edificio in via di costruzione un contributo fondamentale è senz’altro offerto dalla giurisprudenza.

Siamo ancora lontani dalla piena definizione di questo quadro, già di per sé estremamente complesso e articolato, nella cui costruzione occorrerà tenere conto anche dei diversi approcci di ciascun ordinamento. Non ci si può infatti dimenticare la prospettiva internazionale, in cui i tre maggiori player (Stati Uniti d’America, Unione europea e Repubblica Popolare Cinese) stanno affermando valori culturali molto diversi, come dimostra la legge cinese di recente approvazione (Personal Information Protection Law of the People’s Republic of China).

Il GDPR rappresenta soltanto una parte importante di questo edificio in costruzione, quale è il sistema normativo a tutela dei dati personali, a cui si aggiungono, tra gli altri, le norme nazionali. Come noto, infatti, la maggior parte degli Stati membri ha adeguato i propri ordinamenti interni alle nuove disposizioni europee. In Italia, ad esempio, è stato emanato il d.lgs. 10 agosto 2018, n. 101 che ha modificato il “Codice italiano in materia di protezione dei dati personali”, il d.lgs. 196/2003.

Il sistema della protezione dei dati personali rappresenta dunque un processo di evoluzione che inevitabilmente va analizzato e contestualizzato rispetto ai cambiamenti sociali, economici e tecnologici. Sono infatti innumerevoli le questioni ancora aperte in materia di protezione dei dati personali: tra tutte, la sfida che ancora deve essere ancora affrontata riguarda il tema della ricerca scientifica che in Italia trova alcuni ostacoli alla circolazione libera, ma protetta, dei dati. Occorrerà individuare nuove soluzioni normative perché la ricerca può costituire una potente leva anche allo sviluppo economico del Paese e dell’Europa.

 

Il Prof. Avv. Giorgio Resta- Aggiungo a queste condivisibili considerazioni il rilievo per cui la “costituzionalizzazione” del sistema della tutela dei dati personali, operata con l’introduzione dell’art. 8 della Carta dei diritti UE e ben ricostruita nei commenti alla CEDU e alla Carta che aprono il Volume, ha operato come volano da un lato per una armonizzazione in via giudiziale dei regimi nazionali (che concorre con quella prodotta top down dalla normativa secondaria dell’UE) e dall’altro ha contribuito ad una straordinaria crescita di importanza – non solo nella coscienza dei giuristi, ma anche sul piano strettamento operativo – di questo compendio disciplinare. Si pensi ad esempio al tema del rapporto tra protezione dei dati e sicurezza nazionale, rispetto al quale diverse sentenze della Corte di Giustizia (come quelle nei casi Digital Rights e Schrems) hanno scritto pagine coraggiose, anche perché impattano su questioni tradizionalmente riservate alla sovranità statuale o rimesse alla sfera della negoziazione politica (si pensi in particolare alla questione del trasferimento dei dati all’estero e al conflitto transatlantico determinatosi, da ultimo, con lo scandalo della sorveglianza di massa negli USA). Insomma, la protezione dei dati ha lasciato la nicchia degli esperti per candidarsi a divenire uno dei terreni sui quali si giocano le più importanti partite della cittadinanza digitale.

 

Il Prof. Avv. Oreste Pollicino- Le considerazioni dei Colleghi che precedono sono assai rilevanti  per fare emergere le sfide che i processi ricordati di trasformazione ed a volte trasfigurazione del sistema di protezione dei dati personali portano con sé.

D’altronde, oggi, più che mai, è evidente come l’impatto dei regimi “continentali” di tutela dei dati vada oltre il mero dato normativo, e si rifletta sempre di più, in un apparente paradosso, in questioni che se sono “digitali” quanto al fattore tecnologico rilevante, hanno delle implicazioni di natura culturale, valoriale e persino geopolitica più che mai tangibili e “reali”.

Si pensi, per esempio, al grande dilemma, quasi esistenziale, che affligge regolatori, garanti e giudici  in Europa. Come riuscire a fare in modo che il vecchio Continente rimanga baluardo (e modello da esportare) in tema di protezione della privacy e dei dati personali, senza però che si trasformi in una fortezza, inespugnabile dall’interno, ma senza i ponti levatoi – con riguardo alla alimentazione di processi di innovazione –  che le permettano di mantenere attrattività e competitività rispetto agli altri mercati digitali concorrenti?

Oppure, ancora, come, allo stesso tempo, contemperare l’ esigenza di esaltare la tutela del dato personale, come si diceva vero e proprio diritto fondamentale generato dal costituzionalismo europeo, alla necessità di emanciparsi da una tutela quasi del tutto concentrata sul carattere, appunto, personale del dato? Il tutto nella stagione dei big data in cui sono proprio i dati non personali ad essere il combustibile più ricercato per i processi di sorveglianza e di  previsione ed anticipazione delle preferenze descritti, tra gli altri da Shoshana Zuboff.

A questo riguardo potrebbe aiutare una migrazione  “biunivoca” di idee costituzionali in tema di protezione dati, non solo dall’Europa verso paesi terzi ma anche viceversa. Più precisamente, in questo caso, il modello che emerge dall’interpretazione che del IV Emendamento ha dato la Corte suprema  degli Stati Uniti con una esaltazione del concetto di dato, al di là della sua riconducibilità ad un soggetto identificato o identificabile,  potrebbe essere di ispirazione per la Corte di giustizia quando si trova ad interpretare (ed a volte a manipolare) la normativa rilevante di matrice europea.

 

 

La pubblicazione Codice della Privacy e Data Protection offre un’analisi dell’evoluzione del diritto in materia di tutela dei dati personali anche in relazione ai recenti sviluppi post-pandemici. Sviluppi che hanno comportato l’adozione di nuovi strumenti giuridici, nuove connessioni tra discipline e diverse interpretazioni giurisprudenziali della materia da parte delle Corti europee. Quali sono i punti cardine di questa importante analisi?

La Prof.ssa Giusella Finocchiaro- In una società dove le tecnologie digitali rivestono sempre più un ruolo centrale, è inevitabile indagare se il paradigma europeo di tutela dei dati personali sia al passo con le nuove tendenze dell’economia digitale. Questa indagine non può che muovere dall’analisi del complesso reticolo di norme la cui portata sembra estendersi ben oltre il territorio dell’Unione e la cui guida è rappresentata dalla matrice costituzionale europea e dalla traslazione nei principi generali iscritti nel GDPR.

Il volume offre dunque uno strumento di comprensione e di interpretazione del complesso e nuovo sistema introdotto dal GDPR e fondato oggi sul principio di accountability, sulla definizione dei ruoli dei soggetti coinvolti nel trattamento di dati personali, sulla valutazione del rischio basata sull’impatto del trattamento sui diritti fondamentali degli interessati.

L’analisi fornisce un quadro analitico e sistematico della dimensione normativa italiana, che costituisce un passaggio fondamentale per comprendere la complessità del sistema di tutela dei dati personali in Europa.

Il volume adotta un approccio multilivello e comparativista, dando conto non solo dei riferimenti giurisprudenziali e delle autorità garanti ma anche delle differenze presenti negli ordinamenti degli Stati membri europei derivanti dall’esercizio di quei margini di tutela accordati dal GDPR ai legislatori nazionali.

 

Il Prof. Avv. Giorgio Resta- Tra le varie caratteristiche del Volume, v’è anche quella di non limitarsi a una mera esegesi delle norme, ma anche di offrire una prospettiva critica per l’approfondimento di questioni tuttora aperte. Diverse sono infatti le criticità del GDPR, enfatizzate dall’emergenza Covid-19. Si pensi, ad esempio, alla questione del rapporto tra protezione dei dati e libertà della ricerca scientifica: sono molti gli ostacoli tuttora frapposti a una efficiente e rapida organizzazione della ricerca, soprattutto in ambito biomedico, sia perché l’art. 89 del GDPR demanda molte competenze a livello nazionale (e quindi c’è un concreto rischio di frammentazione delle regole applicabili specie alle ricerche di carattere transfrontaliero), sia perché ci sono ambiguità irrisolte a livello definitorio ed operazionale quanto ad esempio al problema del perimetro della nozione di dato anonimo nel contesto dei big data (lo ricordano i commenti di De Franceschi e Ducato a vari articoli del GDPR nel Volume). Di ciò sono testimonianza alcuni recenti documenti dello European Data Protection Board, ma anche la nostra esperienza nazionale dimostra che c’è molta strada da fare per costruire un ambiente maggiormente abilitante per la ricerca scientifica. Oppure si pensi al problema del rapporto tra tecnologie digitali e mercato, enfatizzato dalla difficile coesistenza tra la Direttiva sulla fornitura di contenuti digitali e il GDPR. Possono i dati personali costituire un corrispettivo atto a giustificare causalmente la fornitura di beni o servizi? Possono essi essere in tutto equiparati a merci? Su questo tema sussiste, com’è noto un ampio dibattito e in diverse parti del contributo, ad esempio nei commenti di Alpa e Caggia se ne offre una chiara rappresentazione. Come si diceva in apertura, il sistema della protezione dei dati personali costituisce da molti punti di vista un cantiere aperto, e l’emergenza pandemica, tra gli altri fattori, ha dimostrato la necessità di dedicarvi fresche energie di studio e ingegno critico.

 

 

 

 Approfondimenti:

• Codice della Privacy e Data Protection