Il diritto alla protezione dei dati personali. A proposito del volume a cura di S. Sica – V. D’Antonio – G.M. Riccio “La nuova disciplina europea della privacy”

Si è svolto a Roma, presso la sede del Consiglio Nazionale Forense, il convegno dal titolo “Il diritto alla protezione dei dati personali”, durante il quale è stato presentato il volume “La nuova disciplina europea della Privacy” – curato dai Proff. S. Sica, V. D’Antonio, G.M. Riccio ed edito da Wolters Kluwer – avente ad oggetto la disciplina del trattamento dei dati personali alla luce del Regolamento n. 679/2016 (GDPR) che entrerà in vigore nel maggio 2018.

I lavori sono stati aperti dal Presidente del CNF, l’Avv. Andrea Mascherin, il quale ha affermato che simili eventi costituiscono un’importante occasione formativa e di confronto tra gli operatori del diritto in un ambito, quale è quello della privacy, in cui i problemi posti agli interpreti sono molteplici ed aumentano con il progresso tecnologico.

Il Presidente dell’Autorità Garante per la protezione dei dati personali, Antonello Soro, ha tenuto a rimarcare l’impegno del Garante dinanzi alle problematiche connesse alla circolazione dei dati personali. L’azione dell’Autorità è infatti volta a proteggere i cittadini dall’uso che alcuni operatori del mercato possono farne. A tal fine è necessario contemperare gli interessi di entrambe le parti attraverso un’operazione di bilanciamento. Anche il Prof. Alberto Maria Gambino, Presidente dell’Accademia Italiana del Codice di Internet (IAIC), ha sostenuto tale necessità, constatando, tuttavia, che le categorie giuridiche tradizionali devono essere riviste in chiave evolutiva allo scopo di adeguarle alle nuove istanze che affiorano in quest’ambito ed incidere positivamente nella tutela dei diritti fondamentali.

Il Prof. Salvatore Sica, Vicepresidente della Scuola Superiore dell’Avvocatura, ha analizzato in chiave diacronica la nozione di privacy, inizialmente formulata come il c.d. right to be let alone, espressione della logica proprietaria del jus excludendi alios, ed oggi intesa quale diritto al controllo dei propri dati. All’interno di un mercato globale, in cui anche i dati circolano liberamente, la tutela dei diritti fondamentali dell’individuo dev’esser preminente; da questo punto di vista, il Prof. Sica accoglie con favore le modifiche introdotte dal GDPR laddove introduce nuove misure atte a garantire la protezione dei dati dei cittadini UE anche al di fuori dei confini dell’Unione. Quanto alla responsabilità derivante dal trattamento dei dati e posta in capo al titolare ed al responsabile del trattamento, il Regolamento, infatti, non collima con il consolidato indirizzo giurisprudenziale che colloca tale attività nelle ipotesi di responsabilità da attività pericolosa e dunque semi-oggettiva ai sensi dell’art. 2050 c.c.

In ogni caso, come sottolineato anche dal Prof. Giorgio Resta, il Regolamento sancisce il diritto al risarcimento del danno materiale ed immateriale, riproponendo una divisione della categoria del danno tipica dei sistemi di common law e non anche di quelli di civil law. La traduzione delle norme europee crea, pertanto, dei problemi applicativi di non poco conto, la risoluzione dei quali non può che essere demandata agli operatori giuridici di ciascuno Stato membro. Così, piuttosto che parlare di danno materiale ed immateriale, nell’ordinamento italiano bisogna rifarsi alla tradizionale distinzione tra danno patrimoniale e non patrimoniale tratteggiata dal Codice Civile.

Il trattamento dei dati interessa, inoltre, anche l’ambito sanitario, in cui, peraltro, si prevede una tutela rafforzata, trattandosi più precisamente di dati sensibili. Così, ad avviso del Prof. Resta, l’avanzare dello sviluppo tecnologico pone diverse questioni riguardanti il consenso e la circolazione dei dati genetici. Difatti, il consenso dev’essere prestato per un trattamento specificamente individuato e, al contrario, non è possibile prestare un consenso generico. In questo campo la disciplina dei dati risulta incisiva e stringente poiché si attribuisce al soggetto dei cui dati si tratta di decidere fino a che punto e per quali attività di ricerca questi possano essere usati. Così, se da un lato appare indispensabile garantire al titolare dei dati piena tutela, dall’altro, le scoperte in campo medico e l’utilizzo dei dati raccolti possono rivelarsi essenziali per la cura di malattie genetiche.

Il Commissario AGCOM Antonio Nicita ha poi esaminato la questione in un’ottica di analisi economica del diritto. Particolare risalto è stato dato alla questione dei Big Data e del loro utilizzo da parte degli operatori economici. L’utilizzo della Rete consente a ciascun individuo di esprimere se stesso, ma, al contempo, i suoi dati diventano proprietà di altri soggetti che, per scopi economici, attraverso un’operazione di profilazione, incidono sui diritti e sulle libertà che si tende a garantire.

Il Prof. Giovanni Maria Riccio ha esaminato l’introduzione del Data Protection Officer, responsabile della protezione dei dati. La figura in questione dev’essere prevista da tutte quelle società che trattino una quantità consistente di dati personali, nonché dall’autorità pubblica o da un organismo pubblico. Il Regolamento rimette al titolare ed al responsabile del trattamento la nomina del Data Protection Officer, proponendo un approccio basato sul modello della self-governance – assistito peraltro da sanzioni che trovano la propria ratio nella prevenzione del danno piuttosto che su una tutela successiva – che, in realtà, dovrebbe favorire non soltanto l’individuo ma anche le società. In tal senso va intesa l’adozione da parte del Regolamento della privacy by default, cioè la previsione di non raccogliere dati che non siano necessari per il trattamento previsto e, al contempo, di provvedere ad adottare sistemi di privacy by design, che proteggano la privacy sin dal momento della raccolta dei dati.

L’intervento del Prof. Virgilio D’Antonio ha riguardato il diritto all’oblio e alla de-indicizzazione dei dati. Prendendo le mosse dalla famosa sentenza Google Spain (CGUE, Causa C-131/12), ha affermato che, seppure non ancora in vigore, il GDPR sia, in alcune sue parti, obsoleto, poiché recepisce solo parzialmente gli indirizzi giurisprudenziali, laddove accomuna il diritto all’oblio a quello alla cancellazione dei dati. Infatti, il diritto all’oblio non può più essere relegato alla sua accezione off-line, ma, al contrario, conosce più dimensioni che vanno dalla cancellazione dei dati da parte del titolare del trattamento alla deindicizzazione che, invece, pone in capo al gestore del motore di ricerca l’onere di effettuare – prima ancora di qualsiasi altra autorità – un bilanciamento tra gli interessi coinvolti: da una parte il diritto dell’istante di veder deindicizzata una notizia che lo riguarda, dall’altra il diritto di conoscere quella notizia da parte di qualsivoglia soggetto. Ciò che rileva è quindi l’attualità del dato di cui si chiede la de-indicizzazione nonché l’utilità che dallo stesso possa derivare per i consociati.

Il Prof. Giuseppe Spoto ha trattato la tutela del minore, lamentando, tuttavia, che la disciplina apprestata dal Regolamento in questo campo appare piuttosto marginale. Infatti, il GDPR prevede che il minore che abbia compiuto 16 anni possa prestare il consenso al trattamento dei dati; viceversa, per quanto riguarda il minore che non abbia ancora compiuto il sedicesimo anno di età è necessario il consenso da parte di chi ne esercita la responsabilità genitoriale. Tuttavia, gli Stati membri possono abbassare il limite di età ai 13 anni. La disciplina è, ad avviso del Prof. Spoto, frutto di compromesso tra le esigenze di tutela degli interessi del minore e di quelli di chi ne ha la rappresentanza legale: il problema più rilevante riguarda la contrapposizione tra la volontà del genitore e quella del minore in merito al consenso dei dati personali. In tal senso, il legislatore europeo sembra non aver accolto la consolidata prospettiva che vede nel minore non più un oggetto di diritti, bensì un soggetto, poiché la sua volontà è rimessa a quella di chi ne ha la rappresentanza, senza considerare la capacità di discernimento che l’individuo, per quanto minore di età, può possedere.

Ida Angela Nicotra, Consigliere dell’ANAC, ha concluso la prima parte del convegno esaminando le novità  introdotte dal FOIA (Freedom of Information Act) e sottolineando che la nuova legge consente ai cittadini, in linea con le prescrizione europee, di accedere agevolmente ai dati detenuti dalla PA. L’obiettivo è garantire la massima trasparenza e far sì che i singoli cittadini possano controllare l’operato della PA. La Consigliera ha poi precisato che la trasparenza ed il rapporto tra istituzioni e collettività sono elementi essenziali per combattere la corruzione. A tal fine, l’ANAC, d’intesa con l’Autorità Garante per la protezione dei dati personali, per rendere ancora più trasparente l’attività pubblica, ha adottato le Linee Guida, che si caratterizzano come veri e propri strumenti di soft law.

La seconda parte dei lavori, consistente in una tavola rotonda dal titolo “Inchieste giudiziarie, diritto di cronaca e tutela dei dati personali”, ha visto presenti, insieme al Prof. Cons. Salvatore Sica ed al Presidente del CNF Andrea Mascherin, il Dott. Giuseppe Pignatone (Procuratore della Repubblica di Roma), la Dott.ssa Augusta Iannini (Vicepresidente dell’Autorità Garante per la protezione dei dati personali) e l’Avv. Beniamino Migliucci (Presidente dell’Unione Camere Penali Italiane). I relatori hanno posto particolare attenzione sul fenomeno della fuga di notizie durante le indagini giudiziarie. Ad avviso del Prof. Sica, la maggiore difficoltà è riuscire a bilanciare il diritto di cronaca e quello al trattamento dei dati, soprattutto in un mercato, quale quello editoriale, caratterizzato dall’assenza di editori “puri”. I giornalisti, nel divulgare le notizie, dovrebbero attenersi al requisito, previsto anche dal Codice Deontologico, dell’essenzialità; in questo modo si riuscirebbe a frenare quel fenomeno per cui il solo avviso di garanzia determina già un giudizio di condanna da parte della società. Incisive sono le parole del Procuratore Pignatone che, citando Leonardo Sciascia, ha affermato “le notizie non scappano, sono consegnate, e a consegnarle sono in tanti”. Il Procuratore ha tenuto ad evidenziare che, molto spesso, la fuga di notizie deriva dalla circostanza che durante le indagini le intercettazioni sono ascoltate da un numero di soggetti che, peraltro, varia in virtù della complessità dell’indagine. Certamente, ha concluso Pignatone, sarebbe auspicabile che le Procure comunicassero indistintamente a tutte le testate giornalistiche, senza favoritismi che, per quanto scongiurati, continuano a verificarsi.

Al riguardo, il Presidente dell’Unione Camere Penali, l’Avv. Migliucci controbatte affermando che, invece, di frequente, la fuga di notizie è causata proprio dai rapporti che spesso gli operatori intrattengono con i giornalisti e che, per incidere in un fenomeno di così ampia portata, sarebbe opportuna una rivoluzione culturale che coinvolga, in primis, avvocati e magistrati.

La giornata si è conclusa con l’intervento della Dott.ssa Iannini che, in quanto Vicepresidente dell’Autorità Garante per la protezione dei dati personali, svolge un ruolo essenziale nella tutela della privacy e degli effetti del trattamento dei dati specialmente con riferimento ai minori. La Vicepresidente ha spiegato che se di regola il Garante agisce su richiesta e su impulso del soggetto che lamenta una lesione, al contrario, quando il soggetto da proteggere è un minore, il Garante interviene senza intermediazione alcuna, ponendo in essere misure certamente più incisive, data la delicatezza degli interessi in gioco.

15 aprile 2017