Libertà di espressione e social: qual è il confine?
Social network, tra tutela della libertà d’espressione e linee guida. La natura del rapporto sinallagmatico come possibile lente interpretativa.
Com’è noto, i social nell’ultimo decennio hanno assunto un ruolo sempre più significativo in molti aspetti della società, dalle relazioni interpersonali fino al mondo della politica. Essi pongono ovviamente un ampio ventaglio di questioni delicate anche sul piano del diritto.
La stessa società Meta (proprietaria di noti social come Facebook e Instagram), nel proprio rapporto annuale inviato il 3 febbraio da Meta Inc. alla Sec (Security and Exchange Commission), l’autorità statunitense garante del mercato, ha evidenziato come la propria attività abbia un significativo impatto su aspetti che vanno dalle questioni legate alle pratiche di e-commerce fino alla protezione dei dati personali, la tutela dei minori, le questioni legate ai diritti civili e al contrasto alla corruzione.
A questi aspetti deve poi aggiungersi una fondamentale questione, quella della tutela della libertà d’espressione.
Libertà d’espressione e “linee guida” dei social.
La questione della tutela della libertà d’espressione si pone, in particolare, rispetto al “potere” dei soggetti gestori dei social network di rimuovere o meno determinati contenuti dalla propria piattaforma, o di limitare in vario modo la possibilità di utilizzo del social stesso da parte degli utenti per un periodo più o meno lungo.
I soggetti gestori dei social network hanno infatti progressivamente elaborato proprie “linee guida”, degli standard per la community in base ai quali determinare quali contenuti siano o meno ammissibili sulla piattaforma, e quali conseguenze comporti per l’utente la violazione di tali regole di utilizzo della piattaforma.
Rispetto al tema della tutela della libertà d’espressione sui social, appare possibile, con una certa dose di semplificazione, distinguere due ipotesi.
La prima è quella che riguarda contenuti qualificabili come fattispecie criminose; in tal caso, infatti, una volta accertata la natura criminosa della condotta (processo non sempre agevole, peraltro, come dimostra la ricca giurisprudenza italiana sul tema, ad esempio, della diffamazione per mezzo dei social), il problema dell’eventuale tutela della libertà d’espressione viene meno. La questione della tutela della libertà d’espressione, dunque, si potrebbe porre in fase di accertamento della natura criminosa o meno della condotta, ma una volta accertato che questa viola una norma penale, la rimozione in sé del contenuto dal social network non pone particolari questioni in termini di tutela della libertà d’espressione sul piano giudiziario. Subentreranno senz’altro altre questioni, legate ad esempio alla responsabilità del soggetto gestore del social, o ai tempi e alle modalità di rimozione del contenuto stesso.
La seconda ipotesi che può verificarsi riguarda invece quelle condotte che, pur non violando alcuna norma, violano comunque le linee guida del social, che dunque “sanziona” l’utente, ad esempio rimuovendo il contenuto postato o limitando la sua possibilità di utilizzo del social stesso.
È in quest’ultima ipotesi, in particolare, che si pone una delicata questione di tutela della libertà di espressione, che costringe a chiedersi in che misura e quali condizioni l’utente possa chiedere tutela giudiziale avverso la condotta “sanzionatoria” del gestore del social, e dunque in che misura tale condotta possa essere qualificata come legittima o debba essere qualificata invece come una lesione della libertà d’espressione.
Un’interessante risposta in tal senso è giunta con la sentenza 9 novembre 2021, n. 1659Corte d’appello di L’Aquila il cui nodo centrale è rappresentato proprio da una riflessione in merito a quale parametro debba essere preso in considerazione per determinare la legittimità o meno delle azioni “sanzionatorie” adottate dai gestori dei social network sulla base delle proprie linee guida.
Il caso
Con ordinanza pubblicata il 29/01/2020, il Tribunale di Chieti ha accolto il ricorso ex art 702 bis c.p.c. con il quale un utente del social network Facebook aveva chiesto la condanna di Facebook Ireland ltd al risarcimento di € 15.000,00 a titolo di danno non patrimoniale, sotto forma di danno morale nella sua veste di danno relazionale, per la violazione e l’erronea applicazione degli “standard della comunità” previsti dal social network, secondo il ricorrente, in violazione dei suoi diritti costituzionalmente garantiti di espressione e di manifestazione del pensiero. Il ricorrente, in particolare, affermava che tra il 2018 e il 2019 erano stati rimossi contenuti da lui postati perché considerati non rispettosa dei c.d. “standard della comunità”, con conseguenza sospensione dell’utilizzo dell’account; i contenuti in questione erano, in particolare, una fotografia ritraente il dittatore Benito Mussolini nel giorno del compleanno, accompagnata da una didascalia; un’immagine della bandiera della Repubblica Sociale Italiana, una fotografia che riproduceva il Monte Giano, sul quale, nel 1939, era stata riprodotta la scritta “DUX”, attraverso la potatura di una pineta; l’immagine di un pilota di guerra, corredata da una didascalia descrittiva della sua tragica morte, e infine un’ulteriore immagine ritraente Benito Mussolini con annessa didascalia “W Mussolini”.
Al ricorrente era stata inoltre notificata la sospensione dell’account per ulteriori trenta giorni per aver pubblicato un commento (rivolto ad un terzo soggetto) che non avrebbe rispettato gli standard della comunità in tema bullismo e intimidazione.
Il ricorrente aveva dunque denunciato l’illiceità della condotta della società convenuta sotto due profili: l’illegittima sospensione dell’account Facebook per oltre quattro mesi, in un arco temporale di quattordici mesi complessivi, in violazione del diritto costituzionalmente garantito della libertà d’espressione; violazione dell’art. 617 sexies c.p. (Falsificazione, alterazione o soppressione del contenuto di comunicazioni informatiche o telematiche) poiché la società convenuta avrebbe, secondo il ricorrente, creato un pregiudizio, interrompendo le sue comunicazioni con altri utenti con la illegittima sospensione dell’accesso al social, impedendo così le sue abituali relazioni sociali sulla piattaforma informatica.
Il Tribunale adito ha accolto integralmente le domande dell’attore, condannando la società convenuta al pagamento di € 15.000,00 a titolo di risarcimento del danno, oltre agli interessi legali dalla domanda al saldo e alla refusione, in favore di parte attrice, delle spese di lite.
L’azione è stata qualificata dal giudice come di origine contrattuale.
Per motivare la propria decisione, il giudice ha innanzitutto evidenziato come senz’altro l’ordinamento democratico della Repubblica italiana rifiuti ogni ideologia contraria alla Costituzione, la quale, in particolare, alla XII disposizione transitoria e finale vieta “la riorganizzazione, sotto qualsiasi forma, del disciolto partito fascista.”; tale principio costituzionale ha trovato attuazione con la cd. legge Scelba del 1952, normativa in relazione alla quale si è formato un orientamento giurisprudenziale che afferma che, sulla base del combinato disposto tra la XII disposizione transitoria e finale e l’art. 21 della Costituzione, le condotte apologetiche, per divenire illecite, devono concretizzarsi in comportamenti fattivi di pericolo (quest’ultimo inteso come probabilità del verificarsi dell’evento dannoso) di ricostituzione del partito fascista. Posto ciò, secondo il giudice adito le condotte poste in essere dall’attore, pur essendo senz’altro relative all’espressione di un pensiero di adesione all’ideologia fascista, rappresentano semplice espressione di convinzioni personali, senza concretizzarsi però in iniziative concretamente volte a supportare l’ideologia fascista nell’ottica di un’espansione del consenso tale da concretizzare il pericolo di una sua riaffermazione. Di conseguenza, le condotte oggetto di causa non potevano, secondo il Tribunale, concretare la violazione degli standard, come eccepito dalla società convenuta, rappresentando un mero esercizio del diritto costituzionale di libertà di manifestazione del pensiero. Sotto tale profilo, il giudice ha dunque ritenuto di accogliere la domanda dell’attore, affermando che, affinché possa essere posta a base di un giudizio di inadempimento contrattuale, senza tuttavia violare il diritto fondamentale alla libera manifestazione del pensiero, la condotta dell’utente in questione avrebbe dovuto concretizzarsi, appunto, in iniziative concretamente volte a supportare ed elogiare l’ideologia fascista.
Con riferimento invece al commento rivolto ad un altro utente, il giudice ha ritenuto che questo non rappresentasse una violazione degli standard della comunità ma, tutt’al più, un pensiero espresso con un tono fortemente polemico.
In conclusione, il Tribunale ha condannato la società Facebook Ireland ldt a pagare al ricorrente i 15.000,00 euro richiesti a titolo di risarcimento.
La pronuncia in questione è stata allora impugnata dalla società dinnanzi alla Corte d’appello di L’Aquila.
Come già anticipato, l’obiettivo della presente trattazione non è valutare la condivisibilità o meno delle opinioni dell’utente del social network protagonista del caso in esame, quanto proporre una riflessione, seppur breve, a partire dall’analisi di una recente pronuncia, su quali aspetti del rapporto tra social e utente debbano essere valutati in un giudizio per stabilire quale sia il “potere sanzionatorio” del social stesso nei confronti dell’utente, e come valutare la legittimità del suo operato in un’ottica di tutela della libertà d’espressione, diritto tutelato, lo si ribadisce dalla Costituzione stessa. Tale riflessione, per altro, potrebbe applicarsi anche a casi relativi all’espressione di altre opinioni o a contenuti di natura diversa, ma comunque “sanzionati” per violazione delle linee guida dei social.
La pronuncia della Corte d’appello: il rapporto sinallagmatico tra Facebook e l’utente
Il giudice dell’appello ha dichiarato l’appello proposto dalla Facebook Ireland ltd parzialmente fondato.
Ciò che appare particolarmente rilevante ai fini della presente riflessione è come anche il giudice d’appello abbia posto l’attenzione sulla natura e le caratteristiche del rapporto sinallagmatico tra Facebook e l’utente come criterio dirimente per valutare la legittimità o meno delle “sanzioni” irrogate dal gestore del social network per violazione delle linee guida.
Anche secondo il giudice dell’appello, dunque, la questione deve essere ricondotta nell’alveo della responsabilità contrattuale e richiede un’analisi delle specifiche caratteristiche del contratto.
Secondo il giudice dell’appello, una volta affermato che ci si trova in ambito negoziale ed in tema di responsabilità contrattuale, il contratto deve qualificato come “contratto per adesione”, stipulato mediante il ricorso a moduli on line predisposti unilateralmente dal fornitore, le cui clausole, quindi, dovendosi applicare la legge italiana, essendo «…inserite nelle condizioni generali di contratto, o in moduli o formulari predisposti da uno dei contraenti, si interpretano, nel dubbio, a favore dell’altro» (art. 1370 c.c.) .
Secondo la Corte, il contratto è inoltre qualificabile come oneroso e a prestazioni corrispettive.
A conferma di ciò, il giudice ha richiamato innanzitutto l’incipit della pagina online che descriveva le Condizioni d’uso, in cui era possibile leggere che, anziché richiedere all'utente un pagamento per l'utilizzo di Facebook o degli altri prodotti e servizi coperti dalle Condizioni in esame, Facebook riceve una remunerazione da parte di aziende e organizzazioni per mostrare agli utenti inserzioni relative ai loro prodotti e servizi. Dunque, utilizzando i Prodotti di Facebook, l'utente accetta che il gestore del social possa mostrargli inserzioni selezionate come pertinenti per l’utente e per i suoi interessi utilizzando i dati personali dell’utente stesso per aiutare a determinare quali inserzioni mostrare all'utente. Facebook si impegna poi a non vendere dati personali dell'utente agli inserzionisti e non condivide informazioni che identificano direttamente dell'utente con gli inserzionisti senza l'autorizzazione specifica dell'utente. Secondo la Corte, dunque, l’adesione dell’utente comporta il sorgere di obbligazioni corrispettive, che, dal lato dell’utente vanno individuate nella concessione a Facebook della facoltà d’uso dei dati personali (con le limitazioni sopra specificate) e, dal lato del gestore, nella messa a disposizione di strumenti che, come si leggeva nelle Condizioni d’uso, “consentono agli utenti di connettersi fra di loro, creare community e far crescere aziende”.
Alla luce di tali condizioni d’uso, e in base anche alla ricostruzione proposta dalla sesta sezione del Consiglio di Stato nella sentenza 29 marzo 2021, n. 2631 il contratto deve qualificarsi come oneroso e la facoltà d’uso dei dati personali concessa dall’utente al social network deve essere considerata alla stregua di una controprestazione a contenuto patrimoniale.
Detto ciò, la Corte ha proseguito l’analisi del caso, statuendo che la clausola contrattuale che attribuisce a Facebook poteri di rimozione dei post e di sospensione degli account non possa essere ritenuta nulla, come sostenuto dall’appellato, che aveva riproposto le questioni di nullità della clausola nell’atto di costituzione e risposta, sia sotto il profilo codicistico che sotto il profilo della tutela consumeristica.
La previsione in capo al proprietario e gestore del social network sul quale si manifestano le varie personali opinioni o si condividono contenuti del diritto di verificare che ciò avvenga nel rispetto dei valori condivisi posti alla base dell’adesione deve essere anzi intesa come posta a tutela del sinallagma, posta non solo la natura del contratto (per adesione) e la sua onerosità, ma anche il fatto che, sebbene in determinati ambiti e condizioni il profilo dell’utente possa restare noto solo ad una ristretta cerchia di persone, ciò che viene condiviso sul social è però sempre veicolato all’esterno da un soggetto giuridico diverso dall’autore di quelle espressioni, nel caso in esame Facebook.
Secondo la Corte, dunque, tale clausola non può essere considerata vessatoria, ma afferisce alla normale regolamentazione del contratto, non ponendo in capo all’aderente «limitazioni alla facoltà di opporre eccezioni, restrizioni alla libertà contrattuale nei rapporti con i terzi, tacita proroga o rinnovazione del contratto» (art. 1341 c.c.).
La Corte ha poi affermato che, poiché tra le parti è intercorsa una regolamentazione contrattuale mediante il ricorso alla tipologia del contratto per adesione, nel cui ambito il contraente aveva accettato, tra le altre, anche le clausole relative ai poteri del gestore del social di sanzionare determinati comportamenti considerati come violazioni delle Condizioni di utilizzo della piattaforma, clausole da considerarsi validamente pattuita in quanto “posta a salvaguardia del sinallagma contrattuale, cioè dell’equilibrio tra la possibilità per l’utente di esprimersi e condividere contenuti ritenuti importanti e il pregiudizio che determinate modalità espressive o determinati contenuti possano arrecare alla sicurezza e al benessere altrui o all’integrità della stessa community”. Il giudice ha poi aggiunto che “La violazione dei criteri di equilibrio sopra descritti, che sono sostanzialmente regole di convivenza civile, può ben dunque essere valutata alla stregua di un inadempimento contrattuale che, ove esistente, abilita la controparte a sospendere la propria prestazione, rimuovendo o bloccando i contenuti che violino tali disposizioni contrattuali”. Per altro, sulla base dei contenuti degli standard di comunità resi noti all’utente, il giudice ha affermato che a legittimare l’esercizio di poteri di autotutela da parte del soggetto gestore del social possa essere non solo il comportamento contrario alla legge (certamente rilevante, posto l’espresso richiamo contrattuale) - e dunque un comportamento che integri, ad esempio, il reato di apologia del fascismo - ma anche un comportamento diverso, non definibile come illecito.
Posto ciò, la Corte ha dunque affermato la necessità di condurre in sede giurisdizionale una valutazione relativa ad ogni singolo episodio, poiché il potere di autotutela riconosciuta contrattualmente al soggetto gestore del social non deve sfociare “in comportamenti apertamente violativi della sfera di libertà espressiva che, dietro concessione dell’autorizzazione all’uso di propri dati sensibili e non gratuitamente, costituisce il contenuto tipico e, per così dire, la ragion d’essere dell’adesione ad una piattaforma di questo tipo, la cui funzione è appunto quella di consentire agli utenti di esprimersi e condividere contenuti per loro importanti. Tanto più in un contesto nel quale non è neppure specificato con quali modalità si formuli il giudizio di congruità dell’espressione usata da parte di Facebook.”.
Il giudice dell’appello ha dunque proceduto a valutare la legittimità delle azioni del ricorrente proprio attraverso la lente delle caratteristiche del rapporto sinallagmatico tra gestore del social network e utente, andando a valutare la correttezza o meno dell’applicazione delle clausole contrattuali.
Ad esempio, ha affermato la legittimità della sospensione dell’account dell’utente per violazione degli standard della comunità in tema bullismo e intimidazione, ritenendola del “tutto fuori misura perché priva di giustificazione per quella che appare essere una mera divergenza di vedute e di appartenenza politica”.
Ha invece ritenuto illegittimo, negli episodi successivi, il ricorso da parte di Facebook alle azioni repressive adottate, ancora una volta sulla base della valutazione del tenore degli accordi negoziali. Secondo la Corte infatti, le espressioni utilizzate sarebbero state mere espressioni di pensiero, “il che costituisce in ultima analisi, come più volte ribadito anche dall’appellante, la principale funzione di Facebook e la ragione stessa della proposta di adesione rivolta al pubblico degli utenti, quella cioè di consentire agli utenti di esprimersi e condividere contenuti per loro importanti.”. Con riferimento a tali ipotesi, il giudice ha inoltre aggiunto che “in tutti questi casi, le espressioni non travalicano la manifestazione di un’opinione che, a prescindere dalla sua condivisibilità (che non è un parametro contrattualmente assunto a criterio di giudizio) deve essere consentita ove fine a sé stessa.”.
In conclusione, dunque, la chiave di lettura per individuare i limiti dei poteri gestori dei social network, secondo la presente pronuncia, sembrerebbe essere la natura del rapporto sinallagmatico e le sue caratteristiche, che rappresentano la lente attraverso cui guardare alle condotte poste in essere dal soggetto gestore del social per valutare se esse siano o meno legittime sul piano della tutela della libertà d’espressione, qualora le condotte in esame non rappresentino fattispecie penalmente rilevanti.
La protezione dei diritti nell’era digitale: tratti essenziali e capisaldi normativi.
Lo sviluppo in termini pandigitali della rete Internet è uno dei fattori che hanno portato la “questione privacy” al centro del dibattito politico, sociale e giuridico degli ultimi decenni.
Lo sviluppo pervasivo, e al tempo stesso invasivo, in termini pandigitali della rete internet nella vita quotidiana rappresenta tra i principali fattori che hanno portato la “questione privacy” al centro del dibattito politico, sociale e giuridico degli ultimi decenni.
Nell'odierna società dell'informazione, inaugurata dall'avvento e dalla diffusione dei calcolatori elettronici, il concetto di privacy è inscindibilmente legato, infatti, a quello di diritto alla protezione dei dati personali, il quale, negli ultimi anni, ha trovato piena consacrazione all'interno di testi normativi di livello nazionale ed internazionale.
La protezione dei diritti nell’era digitale
L'identificazione del diritto alla privacy con il diritto alla protezione dei dati personali è il punto di approdo di una lunga evoluzione concettuale che, nelle sue varie tappe, ha arricchito di implicazioni e significati nuovi e ulteriori un concetto che si è caratterizzato, e che si caratterizza ancora oggi, per la sua incessante mutevolezza contenutistica e per la capacità di racchiudere in sé una serie di esigenze multiformi.
L'attuale nozione di privacy, intesa come information privacy, è, quindi, l'ultima accezione che la privacy ha assunto dopo che lo sviluppo sociale e tecnologico ha sollecitato, nonché imposto, una rivisitazione dell'antico concetto.
Difatti, precedentemente – prima che la creazione e la diffusione degli elaboratori elettronici permettesse di raccogliere, organizzare e trasmettere una serie indistinta di informazioni personali in modo velocissimo e per i fini più disparati – il diritto alla privacy andava a coincidere con il the right to be let alone di statunitense memoria, il quale attribuiva all'individuo il diritto di essere lasciato solo, in pace, indisturbato; di godere, così, di una sfera riservata e intima al riparo dall'altrui intrusione.
Questa concezione, figlia di un contesto storico e culturale di matrice statunitense, ha trovato piena cittadinanza all'interno del mondo giuridico europeo ed ha dominato fino a quando le esigenze di una società tecnologicamente avanzata non hanno richiesto una sua ridefinizione.
Nel lungo iter evolutivo del diritto alla privacy un ruolo cruciale ha avuto l'opera della giurisprudenza la quale, dinanzi all'incertezza della dottrina e al silenzio del legislatore, ha saputo riconoscere la valenza giuridica delle esigenze di tutela della vita privata, sollecitando così il legislatore nostrano ad abbandonare il suo stato di inerzia ed attivarsi al fine di garantire piena ed effettiva tutela del diritto de quo.
Dopo un lungo e travagliato processo di riconoscimento e di affermazione, l'iniziale diritto ad essere lasciati soli si è trasformato, quindi, nel diritto alla protezione dei dati personali il quale oramai assurge a diritto fondamentale della persona sia all'interno del sistema giuridico nazionale che nell'alveo di quello comunitario.
I capisaldi normativi che tutelano il “diritto alla privacy”
La Convenzione EDU
Partendo dal versante europeo, il primo riferimento è l’articolo 8 della Convenzione europea dei diritti dell’uomo (d'ora in avanti CEDU), nel quale il diritto alla vita privata ha trovato la propria consacrazione.
L’articolo 8, rubricato “Diritto al rispetto della vita privata e familiare”:
al 1° comma testualmente recita che “Ogni persona ha diritto al rispetto della sua vita privata e familiare, del suo domicilio e della sua corrispondenza”;
al 2° comma consente, analogamente alla Costituzione italiana, limitazioni alla tutela della vita privata in ipotesi tassativamente indicate dalla legge e motivate da preminente interesse pubblico, ovvero che “Non può esservi ingerenza di una autorità pubblica nell’esercizio di tale diritto a meno che tale ingerenza sia prevista dalla legge e costituisca una misura che, in una società democratica, è necessaria per la sicurezza nazionale, per la pubblica sicurezza, per il benessere economico del paese, per la difesa dell’ordine e per la prevenzione dei reati, per la protezione della salute o della morale, o per la protezione dei diritti e delle libertà altrui”.
L’articolo 8 della CEDU ha permesso alla Corte europea dei diritti dell'uomo (d'ora in poi Corte EDU) di determinare, e progressivamente ampliare, il significato da ascrivere ai concetti di “vita privata” e “corrispondenza”, gettando le basi per la positivizzazione di un diritto al controllo consapevole su ogni forma di circolazione delle proprie informazioni personali. La nozione, elaborata nell'ambito del Consiglio d'Europa, dalla Convenzione n.108 del 1981 (c.d. Convenzione di Strasburgo), comprende un'articolata enunciazione di principi a cui avrebbero dovuto conformarsi le varie legislazioni nazionali, in modo da assicurare il rispetto del diritto alla privacy degli individui nei confronti di ogni elaborazione di dati concernenti soggetti identificati o identificabili. Il 27 luglio 2004, inoltre, con la sentenza del caso Sidabras vs. Lithuania, la Corte EDU ha dato una interpretazione molto estensiva del diritto alla privacy previsto dall'art. 8 della Convenzione EDU. I giudici di Strasburgo hanno ritenuto, infatti, che la tutela prevista da questo articolo si estenda fino a comprendere il diritto di ciascuno a sviluppare relazioni sociali al riparo da ogni forma di discriminazione o stigmatizzazione sociale, così consentendogli anche il pieno godimento della sua vita privata. La Corte ha, dunque, considerato la complessiva collocazione della persona nella società, affermando che il pieno rispetto della privacy è una condizione per l'eguaglianza e il godimento di diritti fondamentali, come quello al lavoro.
Carta dei Diritti fondamentali dell’Unione europea (c.d. Carta di Nizza)
Altri riferimenti normativi da considerarsi fondanti per la tutela del diritto alla vita privata in ambito europeo sono gli articoli 7 e 8, Capo II (Libertà) della Carta dei Diritti fondamentali dell’Unione europea (Carta di Nizza).
L’articolo 7, unico comma, intitolato “Rispetto della vita privata e della vita familiare” afferma che “Ogni individuo ha diritto al rispetto della propria vita privata e familiare, del proprio domicilio e delle sue comunicazioni”.
Il significato e la portata dei diritti di cui alla summenzionata disposizione ricalcano mutatis mutandis quelli del corrispondente articolo della CEDU. Per tener conto dell'evoluzione tecnica, il termine «comunicazioni» è stato sostituito con “corrispondenza”. Nei tre commi dell’articolo 8, dal titolo “Protezione dei dati di carattere personale” si asserisce che “1. Ogni individuo ha diritto alla protezione dei dati di carattere personale che lo riguardano. 2.Tali dati devono essere trattati secondo il principio di lealtà, per finalità determinate e in base al consenso della persona interessata o a un altro fondamento legittimo previsto dalla legge. Ogni individuo ha il diritto di accedere ai dati raccolti che lo riguardano e di ottenerne la rettifica. .Il rispetto di tali regole è soggetto al controllo di un’autorità indipendente”. L’articolo 8 innalza esplicitamente il livello di protezione dei dati di carattere personale fino a considerarlo un diritto fondamentale nell’ambito del diritto dell’Unione. Le istituzioni dell’UE e gli Stati membri devono rispettare e garantire tale diritto, che vale anche per gli Stati membri nell’attuazione del diritto dell’Unione (articolo 51 della Carta). La Carta, dunque, non solo menziona esplicitamente, all’articolo 8, il diritto alla protezione dei dati, ma fa altresì riferimento ai principi fondamentali della protezione dei dati. Inoltre, al comma 3, garantisce che una Autorità indipendente controlli l’attuazione di questi principi.
2.3 Dichiarazione Universale dei Diritti Umani
Altro importante riferimento normativo del diritto alla privacy è da considerare l’articolo 12 della “Dichiarazione Universale dei Diritti dell’Uomo” che recita: “Nessun individuo potrà essere sottoposto ad interferenze arbitrarie nella sua vita privata, nella sua famiglia, nella sua casa, nella sua corrispondenza, né a lesione del suo onore e della sua reputazione. Ogni individuo ha diritto ad essere tutelato dalla legge contro tali interferenze o lesioni”. Viene qui riconosciuto quel diritto alla riservatezza che non è da intendersi quale sinonimo di diritto all’anonimato o ad essere soli, bensì come diritto a mantenere il controllo sulle proprie informazioni, quale presupposto per l’esercizio di molti altri diritti di libertà. L’articolo 12 della Dichiarazione universale menziona luoghi ed ambiti in cui il diritto alla riservatezza deve essere particolarmente garantito: famiglia, casa, corrispondenza. Il concetto di famiglia è quello definito, poi, all’articolo 16 della stessa Dichiarazione. Il Comitato diritti umani delle Nazioni Unite ha stabilito che per “casa” deve intendersi il luogo in cui la persona risiede o realizza la sua abituale occupazione, e sollecita gli stati a specificare, nei rapporti che sono obbligati a presentargli periodicamente, il significato che nelle rispettive società viene dato anche all’espressione famiglia.
Convenzione internazionale sui diritti civili e politici
Un altro riferimento di natura giuridica a sostegno del diritto alla privacy lo rintracciamo nell’articolo 17 della “Convenzione internazionale sui diritti civili e politici” che, riprendendo integralmente l’articolo 12 della Dichiarazione, afferma che “1. Nessuno può essere sottoposto ad interferenze arbitrarie o illegittime nella sua vita privata, nella sua famiglia, nella sua casa o nella sua corrispondenza, né a illegittime offese al suo onore e alla sua reputazione. 2. Ogni individuo ha diritto ad essere tutelato dalla legge contro tali interferenze od offese”.
2.5 Dalla direttiva europea 95/46/CE al nuovo Regolamento europeo
Il diritto alla protezione dei dati personali fa ingresso nell’ordinamento comunitario con la Direttiva 95/46/CE, per arricchirsi progressivamente di nuovi atti, fino al Trattato di Lisbona.
Come asserisce Pizzetti, “la Direttiva 95/46/CE è certamente uno dei punti di riferimento cardini in materia di privacy, ritenuta “madre” in materia di protezione dei dati, dimostrandosi un’eccellente “cassetta degli attrezzi”. Tale Direttiva è stata emanata in data 24 ottobre 1995, in materia di tutela delle persone fisiche, con riguardo al trattamento dei dati personali, nonché alla libera circolazione di tali dati. Anche per la sua semplicità di impianto, si è dimostrata uno strumento molto adatto a consentire ai nuovi Paesi, che nel corso degli anni sono entrati a far parte dell’Unione, di adempiere all’obbligo di dotarsi di legislazioni di protezione dati con essa coerenti.
La direttiva intende conciliare la rimozione degli ostacoli alla circolazione dei dati personali, allo scopo di agevolare lo sviluppo del mercato economico interno, con l’esigenza di salvaguardare i diritti fondamentali della persona. Più specificamente, essa muove dalla constatazione della disparità nel livello di tutela del diritto alla vita privata da parte dei vari Stati membri, con conseguenze sulla circolazione dei dati personali nell’esercizio di attività economiche. In sostanza, attraverso la direttiva, l’Unione esprime due obiettivi principali, per certi versi discordanti:
disciplinare il trattamento dei dati personali allo scopo di garantire la tutela dei diritti fondamentali della persona;
non introdurre restrizioni alla libertà di circolazione dei dati personali.
Nell’analisi svolta da autorevole dottrina, si rileva l’insufficienza della base giuridica utilizzata dall’Unione, solo parzialmente coerente con gli obiettivi dichiarati. Si sostiene, infatti, che “l’art. 100A del TCE permette l’adozione di misure di ravvicinamento delle legislazioni nazionali che hanno per oggetto l’instaurazione e il funzionamento del mercato interno, ma non offre al legislatore europeo una competenza in materia di protezione dei diritti fondamentali della persona. Di qui la necessità di esaminare il problema dell’ambito di applicazione della direttiva, non risolto dal testo normativo, alquanto vago sull’argomento. L’art. 3 infatti, non chiarisce se essa si applichi a tutti i trattamenti dei dati personali ovvero soltanto a quei trattamenti che presentino una connessione con l’esercizio delle libertà di circolazione stabilite dal diritto comunitario”.
Alcuni autori considerano la direttiva come il risultato del compromesso tra sostenitori di una tutela ampia e robusta dei diritti individuali e i fautori della libera circolazione delle informazioni. In realtà essa deve essere vista e valutata alla luce dell’evoluzione legislativa continentale in materia di protezione dei dati, costituendo un punto d’approdo di un quarto di secolo nel quale si sono succedute leggi che non sempre hanno creato un soddisfacente impianto disciplinare.
La struttura della Direttiva è chiaramente delineata: il testo si sviluppa in 72 Considerando, ai quali seguono 34 articoli, suddivisi in 6 capi. È proprio l’articolo 1 che definisce l’oggetto della Direttiva, affermando che gli Stati membri si impegnano a garantire la tutela dei diritti e delle libertà fondamentali delle persone fisiche e particolarmente del diritto alla vita privata, con riguardo al trattamento dei dati personali.
La Direttiva è stata considerata principale strumento giuridico in materia di protezione dei dati personali in ambito europeo, fino alla recentissima entrata in vigore del Regolamento UE 2016/679 del Parlamento europeo e del Consiglio, che la abroga definitivamente, determinando un passaggio cruciale in materia di protezione dei dati personali.
Come si legge dai Considerando del Regolamento stesso, il trattamento dei dati personali è al servizio dell’uomo; il diritto alla protezione dei dati di carattere personale non è una prerogativa assoluta, ma va considerato alla luce della sua funzione sociale e va contemperato con altri diritti fondamentali, in ossequio al principio di proporzionalità.
Il nuovo Regolamento, particolarmente innovativo su alcuni profili che successivamente si analizzeranno, entrato in vigore a maggio 2016, avrà due anni di tempo per essere attuato, nel corso dei quali si potrà definire in modo più chiaro anche il rapporto tra esso e le leggi nazionali di protezione dei dati.
2.6 Legge 31 dicembre 1996, n. 675
In Italia, uno dei primi interventi legislativi in materia di protezione dei dati è riconducibile alla legge n. 675/96, concernente la tutela delle persone e di altri soggetti rispetto al trattamento dei dati personali, legge di recepimento italiana della Direttiva 95/46/CE ed introdotta per rispettare gli Accordi di Schengen, effettivamente entrata in vigore nel maggio 1997.
L’articolo 1 di tale legge, seguendo anche i modelli europei a livello di tecnica redazionale dei testi di legge, indica l’ambito di applicazione della normativa e ciò che essa garantisce, ossia che “il trattamento dei dati personali si svolga nel rispetto dei diritti, delle libertà fondamentali, nonché della dignità delle persone fisiche, con particolare riferimento alla riservatezza e all'identità personale; garantisce altresì i diritti delle persone giuridiche e di ogni altro ente o associazione”.
Tale articolo presenta una definizione dei diritti oggetto della legge più ampia e completa di quelli prospettati dalla direttiva CE, includendo oltre alla tutela della vita privata anche la dignità umana; proprio questo riferimento ha fatto pensare, forse con un eccesso di enfasi, che la legge sulla protezione dei dati personali abbia rappresentato la prima legge italiana sui diritti umani.
L’opera dell’interprete è quanto mai complessa perché questi si trova di fronte a categorie, quali i diritti e le libertà fondamentali, i cui confini sono poco netti; ovvero di fronte a concetti, quali la riservatezza e l’identità personale, di derivazione giurisprudenziale, per la cui individuazione non ha a disposizione precisi riferimenti normativi.
Con tale disciplina normativa, il legislatore ha inteso sanare il contrasto tra i valori espressi dall’ordinamento e quelli che emergono dalla quotidianità, dando impulso anche in Italia a uno sviluppo evolutivo del concetto di privacy, fino a quel momento frutto solo di elaborazione dottrinale e giurisprudenziale.
Si può, pertanto, affermare senza timore di smentita che la legge 675/96:
da un lato, ha positivizzato il concetto di privacy;
dall’altro, ha apportato una grande innovazione all’interno del sistema italiano, pur con le inevitabili difficoltà interpretative e attuative.
La introduzione di tale normativa, considerato il suo carattere di assoluta novità, ha imposto, difatti, una “fase di rodaggio” nella quale il Garante per la protezione dei dati personali ha ricoperto un ruolo-chiave nello svolgimento di una incessante attività ermeneutica, stante una certa ambiguità del dettato normativo e la stringente necessità di favorire un’applicazione uniforme e, per quanto possibile, compatibile con la reale ratio legis.
Nonostante le difficoltà interpretative e applicative che la legge 675/96 implica, vi sono due aspetti rilevanti da considerare:
in primis, essa positivizza due figure di creazione pretoria, quali il diritto alla riservatezza e l’identità personale;
in secundis – attraverso il richiamo ai diritti, alle libertà fondamentali e alla dignità della persona – segna il punto di arrivo degli sforzi di dottrina e giurisprudenza volti a dimostrare che si tratta non già di vuoti concetti, ma di aspetti qualificanti dell’esistenza umana e pertanto bisognosi di una specifica tutela.
Inoltre, tale legge è stata da molti definita e considerata dinamica, proprio in considerazione del fatto che consente una protezione della sfera riservata dell’individuo non solo rispetto ai cosiddetti dati in uscita, ma anche in relazione a quelli in entrata.
2.7 Codice in materia di dati personali, D.lgs. 30 giugno 2003, n. 196
Punto di riferimento centrale, prima del nuovo Regolamento UE 2016/679, è stato certamente il Codice in materia di dati personali, emanato con D.lgs. del 30 giugno 2003, n. 196 che razionalizza, semplifica e coordina in una specie di “Testo unico” tutte le precedenti disposizioni relative alla protezione dei dati personali.
Il D.lgs 196/2003 ha abrogato la precedente legge n. 675/96.
L’entrata in vigore del Codice, avvenuta il 1° gennaio 2004, ha rappresentato una tappa fondamentale per la tutela dei diritti della persona e ha concluso il processo di recepimento delle direttive europee in materia (95/46/CE e 2002/58/CE). È stato così completato il complesso percorso di razionalizzazione della disciplina inizialmente introdotta con la legge 31 dicembre 1996, n. 675, riunendo in un unico testo una regolamentazione che si era, nel tempo, stratificata a seguito di numerosi interventi modificativi e integrativi.
È bene, inoltre, precisare che la disciplina ordinata della materia si è resa quanto mai necessaria con l’avvento delle nuove tecnologie, dei computer, dei sistemi di raccolta dei dati, quali le banche dati. Infatti, negli ultimi anni, il potere di controllo dell’individuo sulla circolazione delle informazioni che lo riguardano si è andata configurando come questione centrale ed emergente della società attuale, definita la “società dell’informazione”, dove ai mass-media tradizionali sono andate sovrapponendosi l’informatica e le reti telematiche.
Il Codice del 2003, espressione di una forma più concreta ed esplicita di tutela, è strutturato in tre parti:
la prima, sancisce le norme di carattere generale, comuni a qualsiasi trattamento dei dati;
nella seconda parte, si articolano norme dedicate a particolari settori, quali pubblica amministrazione, giudiziario e sanitario;
nella terza parte, infine, sono contenute le disposizioni che attengono alla tutela riconosciuta ai soggetti che si ritengono lesi dalla violazione di norme disposte dallo stesso decreto legislativo e le misure poste in essere per coloro che utilizzano i dati impropriamente.
L’accorpamento di norme che fino a quel momento erano sparse in vari provvedimenti ha portato a una semplificazione della materia, introducendo altresì alcune novità accanto alla conferma di norme già esistenti nella precedente legislazione. La nuova disciplina si uniforma a quella comunitaria che già in occasione dei primi interventi di cui alle leggi 675/96 e 676/96 aveva condizionato il legislatore nazionale ad armonizzare il sistema interno con quello dei paesi membri, come disposto dalle istituzioni europee.
I tratti essenziali del diritto alla protezione dei dati personali
Oggigiorno la privacy, nelle sue molteplici sfaccettature, è, dunque, pienamente tutelata sia a livello nazionale che sovranazionale. Si tratta, tuttavia, di un concetto che risente fortemente dei mutamenti sociali, culturali e soprattutto tecnologici, sempre in corso di evoluzione e di definizione.
Or dunque, in questo contesto assume valenza dirimente la nozione di “sovranità digitale” come snodo della necessaria tutela statuale in ambito nazionale e internazionale. In mancanza, la sottrazione dell'ambito a una tutela ordinamentale è destinata ad esporre i diritti fondamentali di ognuno all'arbitrio di pochi, aprendo il passo al totalitarismo digitale.
Sulla scorta di quanto sin qui osservato, l'emersione del diritto alla protezione dei dati personali è da ricondursi allo sviluppo delle tecnologie informatiche e telematiche e al ruolo centrale assunto dall'informazione nel nuovo contesto economico e sociale. Ogni consociato deve, dunque, esser consapevole:
da un lato, della necessità di non impedire, se vuole appartenere pienamente al mondo di oggi, che i propri dati circolino;
dall'altro, dei pericoli per i diritti e le libertà individuali che possono derivare da tale circolazione.
Orbene, la questione fondamentale, sul fronte della tutela dell'interessato, è quella di garantirgli un potere di controllo sui dati che lo riguardano.
La detenzione di queste informazioni da parte di soggetti terzi assume, infatti, un valore giuridico assoluto che non solo non può essere sottratto a tutela ma non può essere destinato ad un limbo normativo, fosse solo per l'imperativo che discende dall'obbligo di tutela dei diritti involabili immanente al nostro ordinamento costituzionale.
In tale prospettiva, il contenuto del diritto alla protezione dei dati personali non può che sostanziarsi nel diritto di ciascuno a che i propri dati personali, ove trattati da un’altra persona, siano protetti con le modalità e secondo gli standards definiti dalla legge, così da consentirgli, in concreto, di mantenere il controllo sulla circolazione delle informazioni a lui riferibili e di determinare liberamente le condizioni e i limiti del trattamento delle stesse.
Quanto alla natura di questo diritto, la dottrina prevalente – attribuendo il giusto rilievo all'espressione “diritto” utilizzata dall'art. 1 del d.lgs. 30 giugno 2003, n. 196 (Codice Privacy), laddove riconosce espressamente a chiunque il diritto alla protezione dei dati personali che lo riguardano – lo ha ricostruito come diritto di rango primario, sostenendone la riconducibilità alla categoria dei diritti della personalità. Lo ha inteso, a seconda che si acceda alla tesi monistica o pluralistica, come una specifica concretizzazione dell'unico diritto della personalità ovvero come una nuova e autonoma figura di diritto della personalità.
Di tali situazioni giuridiche soggettive il diritto alla protezione dei dati personali condivide:
la ratio comune: che è quella di essere finalizzata alla valorizzazione della dignità e dell'autodeterminazione della persona umana, sostanziandosi nell'insieme delle facoltà e dei poteri che conferiscono il controllo sulle qualità corporee ed immateriali che ne costituiscono l’individualità (la personalità, appunto);
i caratteri distintivi tradizionalmente ravvisati nell'extra patrimonialità, indisponibilità, intrasmissibilità, imprescrittibilità ed insurrogabilità, anche se l'evoluzione della società e del sistema economico sta inesorabilmente portando ad uno svilimento di alcune di tali connotazioni (si pensi alla progressiva patrimonializzazione di questi diritti ed alla conseguente loro disponibilità o trasmissibilità).
Ebbene, tutto ciò inevitabilmente finisce col mettere in crisi l’identità stessa di una categoria i cui confini concettuali appaiono di difficile demarcazione, basandosi su un catalogo di situazioni giuridiche soggettive strutturalmente mobile e in continua evoluzione.
A conferma di una tale ricostruzione depone, peraltro, più di un dato testuale: il riferimento alla dignità umana contenuto nell'art. 2, comma 1, del codice privacy, la menzione del diritto alla protezione dei dati personali accanto agli altri diritti della persona, nonché l'espresso richiamo a tale categoria operato da più di un articolo del codice medesimo (artt. 26, comma 4, lett. c), 60 e 71, comma 2).
La ricostruzione del diritto alla protezione dei dati personali come diritto fondamentale dell'individuo determina l'importante conseguenza che ogni sua limitazione dovrà rispettare i canoni della ragionevolezza e della proporzionalità e non potrà spingersi fino ad intaccare il contenuto essenziale del diritto medesimo. La qualificazione adottata non deve, però, condurre ad un “appiattimento del diritto alla protezione dei dati personali sugli altri, più tradizionali, diritti della personalità” ed impedire di cogliere i tratti peculiari della relativa disciplina.
In primo luogo, giova porre mente alla connotazione marcatamente preventiva della tutela apprestata che si sostanzia in una serie di obblighi di comportamento (di informativa, notificazione, acquisizione di consenso, sicurezza, ecc.) posti in capo al titolare del trattamento resa del tutto indipendente da un effettivo pregiudizio subito dall'interessato. Essa si concretizza nel riconoscimento a quest'ultimo di un potere di intervento e controllo sul trattamento effettuato che realizza una tutela dinamica volta a seguire i dati nella loro circolazione.
Sotto il profilo degli interessi protetti, il rispetto del diritto alla protezione dei dati personali non tende soltanto alla tutela dell’inviolabilità della persona interessata (come dovrebbe essere secondo il sistema tradizionale dei diritti della personalità) ma viene considerato come una precondizione per l'esercizio di altri diritti civili, sociali e politici e, quindi, per lo stesso corretto funzionamento di una società democratica.
Rebus sic stantibus emerge la parallela connotazione pubblicistica e la valenza strumentale del diritto alla protezione dei dati personali. Di qui il superamento, nel modello di disciplina accolto dalla normativa a tutela del diritto alla protezione dei dati personali, di una prospettiva meramente individualistica e l'adozione di un sistema misto di meccanismi di controllo e di rimedi basato sull'interazione tra privato e pubblico.
Ragioni di completezza espositiva suggeriscono, ora, di far menzione delle forme di tutela dettate a protezione dei dati personali.
Al fine di garantire l'accesso degli individui ai meccanismi rimediali relativi alla protezione dei dati personali le norme predispongono, infatti, un articolato apparato di rimedi di natura amministrativa, civilistica e penale, che non tendono a difendere in via esclusiva i diritti dei singoli interessati ma sono, altresì, volti a garantire l'interesse di tutti i consociati e dell'ordinamento nel suo complesso alla legittimità, liceità e correttezza dei trattamenti di dati personali effettuati. Nella prima direzione rileva, in particolare, il controllo sul trattamento dei dati personali svolto dall'interessato; nella seconda, l'istituzione di un’Autorità Indipendente alla quale è affidato tanto il compito di vigilare sull'osservanza dei requisiti previsti dalla legge per il trattamento lecito dei dati personali quanto di assistere l'interessato, stabilendo specifiche misure di protezione rispetto al trattamento dei dati sensibili o dei dati “a rischio specifico”.
Essi possono così enumerarsi:
il ricorso al Garante (quale forma di tutela alternativa a quella giurisdizionale);
la tutela dinanzi all’Autorità giurisdizionale civile;
gli illeciti amministrativi;
gli illeciti penali;
il ricorso al Difensore civico o alla Commissione per l'accesso ai documenti amministrativi avverso i provvedimenti che autorizzano l'accesso ai documenti amministrativi, ex lege 7 agosto 1990, n. 241.
Così tracciata natura giuridica e mappa dei meccanismi rimediali, giudiziari o alternativi, disponibili nel campo della protezione dei dati personali l'interprete deve far propria una duplice consapevolezza:
se, a monte, nessuno oggi si sente sorvegliato o minacciato in modo esplicito, ed è questo stato a costituire l'essenza del problema da affrontare con efficaci strumenti giuridici;
a valle, il sistema dei mezzi di tutela rappresenta null'altro che il punto di incontro tra la normativa sostanziale e la realtà economico-sociale sulla quale essa è chiamata ad operare.
Il Regolamento Ue n. 2016/679: quadro normativo generale
In questo contesto di imperante progressione della vita digitale assumono un ruolo centrale a tutela della libertà e della democrazia:
la Cybersecurity (sempre più intesa come obiettivo strategico nelle politiche di intelligence);
la Data Protection.
La protezione dei dati personali rappresenta, infatti, un diritto fondamentale della persona da tempo codificato nello spazio giuridico europeo ed oggi riaffermato e rafforzato dall'approvazione del nuovo Regolamento UE 2016/679 relativo alla protezione delle persone fisiche con riguardo al trattamento dei dati personali, nonché alla libera circolazione di tali dati che abroga la primigenia Direttiva 95/46/CE (Regolamento generale sulla protezione dei dati), al fine di assicurare una maggiore tutela di un diritto fondamentale non solo per i cittadini europei bensì per tutti gli individui che si trovino sul territorio dell'Unione.
Il nuovo Regolamento in materia di privacy nasce, allora, dalla consapevolezza che sebbene la Direttiva 95/46/CE abbia mantenuto ancora oggi validi i suoi obiettivi e principi, ciò “non ha impedito la frammentazione dell'applicazione della protezione dei dati personali nel territorio dell'Unione, né ha eliminato l'incertezza giuridica o la percezione, largamente diffusa nel pubblico, che in particolare le operazioni online comportino rischi per la protezione delle persone fisiche”.
Questa lucida critica, che potrebbe ben trovarsi nei lavori della dottrina o nella motivazione di qualche decisione della Corte di Giustizia dell'Unione Europea, rappresenta, invece, quanto affermato espressamente dallo stesso Regolamento al considerando 9.
La tempistica di un simile cambiamento, con il passaggio dallo strumento della Direttiva a quello del Regolamento, non è certo casuale.
Infatti, oggi, nel pieno dell'era digitale vi è la diffusa sensazione che i nostri dati personali siano costantemente a rischio e che vi sia “una costante ipoteca sulla inviolabilità della propria sfera privata e, soprattutto, sulla controllabilità della circolazione dei propri dati” con la conseguente esigenza di assicurare un'applicazione della disciplina sulla privacy omogenea su tutto il territorio dell'Unione Europea.
In questo modo si mira a dare vita a un contesto di affidabilità per i cittadini ed a costituire un clima di fiducia per lo sviluppo economico, soprattutto negli ambienti online, con il fine ultimo di agevolare la sussistenza di un unico mercato eurounitario in cui, oggi, la libera circolazione dei dati personali svolge un ruolo imprescindibile.
L'intento del Legislatore europeo di perseguire tali obiettivi non è certo occulto ma, al contrario, è sancito esplicitamente all'interno dei 99 articoli dello stesso Regolamento ed ancor prima scandito nei ben 173 considerando in cui si possono rinvenire i principi ispiratori dell'intervento normativo stante la loro indiscussa funzione di indirizzo interpretativo.
La prima disposizione di riferimento – anche per questioni sistematiche – è l'art. 1 (rubricato proprio “Oggetto e finalità”) che, al paragrafo 1, prevede che “il presente Regolamento stabilisce norme relative alla protezione delle persone fisiche con riguardo al trattamento dei dati personali, nonché norme relative alla libera circolazione di tali dati”. Con ciò si palesa, sin da subito, una particolare attenzione al momento della circolazione del dato.
Questa conclusione è avvalorata dal successivo paragrafo 3 dello stesso art. 1, laddove prevede che “la libera circolazione dei dati personali nell'Unione non può essere limitata né vietata per motivi attinenti alla protezione delle persone fisiche con riguardo al trattamento dei dati personali”.
Simili disposizioni denotano un passaggio fondamentale rispetto alla previgente disciplina. Oggi, a differenza di quanto poteva andar bene circa vent'anni fa quando venne approvata la Direttiva 95/46/CE, il Legislatore europeo ha scelto di distaccarsi dalla concezione sostanzialmente statica del diritto al rispetto della vita privata in cui era sufficiente una tutela eminentemente negativa consistente nel potere di escludere le interferenze altrui.
Nella stagione dell'interconnessione globale, consentita dall'utilizzo quotidiano di internet, non si tratta più solamente di proteggere la persona fisica ma anche i suoi dati e le informazioni che la riguardano; per fare ciò, sono necessari poteri d'intervento: la tutela non è più statica ma dinamica, seguendo i dati nel momento della loro circolazione.
È su queste premesse che si basano le maggiori novità della nuova disciplina europea della privacy ed i passaggi logici che hanno condotto all'adozione di questa nuova normativa sono nitidamente scanditi all'interno dei numerosi considerando del Regolamento.
Tale percorso motivazionale inizia con quanto previsto dal considerando 6 in cui si afferma a chiare lettere che “la rapidità dell'evoluzione tecnologica e la globalizzazione comportano nuove sfide per la protezione dei dati personali. La tecnologia attuale consente tanto alle imprese private quanto alle autorità pubbliche di utilizzare dati personali, come mai in precedenza, nello svolgimento delle loro attività”.
In tale affermazione sembra esservi, anche, la consapevolezza del nuovo ruolo che stanno assumendo i dati personali nell'era digitale e, ancor più, del valore economico dei nostri dati. Infatti, la progressiva digitalizzazione della società sta rendendo i nostri dati personali sempre più fragili a causa del costante e dinamico scambio di informazioni.
Questo risultato è reso possibile dall'impatto di due fenomeni che ormai connotano le società contemporanee:
il consolidamento del processo di globalizzazione;
la diffusione capillare delle connessioni internet.
Si prosegue, poi, con quanto affermato al successivo considerando in cui si conferma la necessità di creare un quadro più solido e coerente in materia di privacy. Tutto ciò richiede la presenza di efficaci misure di attuazione nella protezione della privacy: “data l'importanza di creare il clima di fiducia che consentirà lo sviluppo dell'economia digitale in tutto il mercato interno” (considerando 7).
Come visto in apertura, la Direttiva 95/46/CE non era più in grado di garantire siffatto clima di fiducia. Tale strumento normativo, per sua natura, ha consentito diverse possibilità di recepimento, di conseguenza non ha potuto impedire la compresenza di diversi livelli di protezione dei dati personali nei vari Stati membri dell'Unione Europea con il rischio di ostacolare la libera circolazione dei dati. Pertanto, “tali differenze possono costituire un freno all'esercizio delle attività economiche su scala dell'Unione, falsare la concorrenza e impedire alle autorità nazionali di adempiere agli obblighi loro derivanti dal diritto dell'Unione” (considerando 9).
Così, il Legislatore europeo – dopo aver individuato le ragioni che hanno giustificato la sostituzione della Direttiva 95/46/CE con il nuovo Regolamento – afferma expressis verbische “al fine di assicurare un livello coerente ed elevato di protezione delle persone fisiche e rimuovere gli ostacoli alla circolazione dei dati personali all'interno dell'Unione, il livello di protezione dei diritti e delle libertà delle persone fisiche con riguardo al trattamento di tali dati dovrebbe essere equivalente in tutti gli Stati membri” (considerando 10).
Com’è noto, difatti, il Regolamento consiste in uno strumento normativo che non necessita di un'intermediazione legislativa nazionale, stante la sua completa ed immediata applicazione.
Per creare un quadro di maggiore certezza del diritto e di maggiore uniformità tra i vari Paesi dell'Unione europea era giunto, quindi, il momento di realizzare “one continent, one law”; una sorta di ius commune in materia di privacy che le Istituzioni europee hanno scelto di disciplinare con lo strumento normativo più efficace per portare ad unità le diverse legislazioni nazionali: il Regolamento. Una scelta che, con ogni probabilità, rappresenta il risultato più rilevante della nuova disciplina sulla protezione dei dati personali.