Abbiamo vissuto gli ultimi decenni con la convinzione che l’Europa sia più rispettosa degli Stati Uniti d’America sulla privacy dei propri cittadini. Alcune vicende ci hanno portato a crederlo ed è difficile poterlo smentire. NSA, da un lato, ha accesso a tutte le comunicazioni elettroniche e aziende come Facebook, Google, Microsoft ed Apple, dall’altro, raccolgono ed elaborano una moltitudine di informazioni sulla quasi totalità della popolazione esistente al mondo.
Eppure, il concetto originario di privacy è stato ideato proprio negli USA nel 1890, esattamente quando due giuristi, Samuel Warren e Louis Brandeis, pubblicarono un approfondimento scientifico sulla Harvard Law Review intitolato “Right to Privacy”. In quell’articolo, per la prima volta, venne analizzato il bilanciamento tra il diritto all’informazione, cioè il diritto di informare ed essere informati, ed il diritto alla privacy, da intendersi come diritto individuale alla “riservatezza”. Warren e Brandeis furono i primi a chiedersi quale fosse il limite del primo (diritto all’informazione) a discapito dell’altro (diritto alla riservatezza), al fine di evitare che le informazioni afferenti ad un individuo potessero essere oggetto di diffusione inopportuna attraverso la stampa. I due giuristi americani utilizzarono quindi per la prima volta il termine privacy, e non “data protection” (protezione dei dati), perché, appunto, non si interrogarono sul “come” le informazioni degli individui dovessero essere utilizzate e protette ma solo sul “se”.
Il tema dell’informazione e della diffusione di notizie relative a persone individuate non era affatto nuovo al tempo di Warren e Brandeis, nemmeno in Europa. Così come non lo era quello della manifestazione del pensiero e del diritto di cronaca, quindi della trasmissione e conservazione del pensiero. La Dichiarazione dei diritti contenuta nella Costituzione federale degli Stati Uniti d’America del 1787 stabiliva infatti che il Congresso non potesse limitare la libertà di parola e di stampa. Parimenti in Francia e nel Regno Unito, dove la libertà di pensiero risale al Bill of Rights del 1689.
Ma allora perché nel 1890 ci si pose il problema del rapporto tra diritto all’informazione e tutela della sfera privata intesa come privacy e riservatezza? Perché in quegli anni, per la prima volta nella storia, l’innovazione tecnologica aveva aperto un varco enorme alla comunicazione. Nel 1875 Robert Barclay inventò la stampa in offset, utilizzata poi da quasi tutti i quotidiani negli anni a seguire; nel 1837 la tecnica fotografica di Louis Daguerre raggiunse piena maturità e consentì la possibilità di creare la prima vera foto della storia (“Natura morta”) e, parallelamente, esplose il mercato della diffusione delle informazioni su larga scala attraverso le testate giornalistiche ed i quotidiani nel 1851 fu fondato uno tra i più diffusi ed autorevoli ancor oggi, il “The New York Times”.
Le riflessioni e preoccupazioni di Warren e Brandeis non potevano essere più lungimiranti e fondate di come furono espresse nel citato “Right to Privacy”. Infatti, con l’avvento degli elaboratori elettronici si determinò una vera trasformazione degli effetti derivanti dalla raccolta delle informazioni. Negli anni Settanta del Novecento, quando iniziarono a costituirsi le prime grandi banche dati elettroniche, iniziò a sentirsi l’esigenza di norme che tutelassero la privacy e riservatezza dell’individuo ma in modo specifico nell’ambito della raccolta, elaborazione e diffusione elettronica dei dati personali, quindi al diritto alla privacy e riservatezza si aggiunse il diritto al trattamento dei dati personali. La tutela della privacy non poteva, e non può, infatti, consistere nel mero divieto della raccolta ed elaborazione dei dati personali senza consenso dell’interessato. Stefano Rodotà ci insegna che ciò sarebbe da considerare eccessivo e insufficiente. Eccessivo perché disconoscerebbe fenomeni irreversibili delle tecnologie dell’informazione e insufficiente perché vietare la raccolta di dati personali, se non con il consenso dell’interessato, significa considerare lecita la raccolta per qualsiasi tipo di informazione sui soggetti più deboli.
L’evoluzione tecnologica della stampa consentì quindi alla fine dell’Ottocento forme di diffusione prima sconosciute, di informazioni relative a persone senza il loro consenso. Fu la tecnologia (a quel tempo della stampa e della fotografia) che diede origine allo scritto di Warren e Brandeis perché si accorsero del rischio che migliaia e migliaia di copie di una notizia relativa ad un cittadino potevano essere agevolmente diffuse ledendo i suoi diritti.
Quanto detto sinora è fondamentale per comprendere il viaggio che occorre compiere per avvicinarsi con piena cognizione alla tematica della privacy. Occorre comprendere la stretta ed inscindibile connessione che la privacy ha con l’evoluzione tecnologica. Il diritto alla privacy e riservatezza è da sempre stato influenzato dalle tecnologie, dal sistema sociale e dall’epoca storica in cui ha preso forma ed ha iniziato a produrre effetti giuridici.
In questo excursus storico sulla privacy occorre precisare che, nonostante la profetica visione di Warren e Brandeis, questi non si posero il problema di collocarla e identificarla come diritto fondamentale in un apposito testo di legge. Al contrario, ciò è avvenuto in Europa qualche anno dopo. La Convenzione Europea dei Diritti dell’Uomo (CEDU) del 1950 prevedeva il diritto alla riservatezza per sé e per la propria famiglia come diritto fondamentale dell’uomo. Così come anche la Convenzione di Strasburgo del 1981, adottata in ambito CEDU, ricostruiva il diritto alla riservatezza ed il diritto alla protezione dei dati personali come un unico diritto fondamentale (la riservatezza) e condizione essenziale di libertà (la protezione dei dati personali). Queste scelte di fondo dell’UE sono state poi ribadite e rafforzate prima con la Direttiva 95/46/EC e poi con la Carta europea dei diritti fondamentali (Carta di Nizza).
In Europa la spinta a considerare riservatezza e protezione dei dati personali come diritti fondamentali specificamente espressi e costituzionalmente previsti è venuta man mano crescendo fin dalla seconda metà del secolo scorso, mentre nulla di tutto questo è avvenuto, né prima né dopo, nel mondo americano, nonostante il contributo fondamentale di Warren e Brandeis.
Veniamo ora ai giorni nostri.
La Direttiva 95/46/EC è senza dubbio la madre della privacy e della protezione dei dati in Europa (definita convenzionalmente anche “Direttiva Madre”) anche se, in realtà, Francia e Spagna erano già dotate di una legge sulla privacy. Si proponeva di armonizzare l’effettiva protezione dei diritti e delle libertà fondamentali delle persone fisiche ma tale obiettivo non è mai stato realizzato. Si prenda ad esempio l’attività di un’azienda che opera contemporaneamente nei mercati e negli ordinamenti giuridici di USA da un lato ed Europa dall’altro, compresi tutti quelli di ogni singolo Stato membro dell’UE in cui un’azienda opera.
Nella pratica, negli ultimi venti anni le aziende hanno dovuto considerare tutte le differenze sulle norme da applicare, anche le più piccole ma significative, delle ventotto differenti leggi di ogni Stato membro dell’UE, con costi e oneri amministrativi che, di fatto, hanno disincentivato all’espansione delle attività imprenditoriali (immagine qui di seguito riassuntiva delle leggi in UE).
La versione definitiva del Regolamento pubblicata poi in GUCE il 4 maggio del 2016 sembra tuttavia aver perso tale importante considerazione della Commissione e, anzi, a seguito della discussione tra Parlamento e Consiglio dell’UE sono comparse diverse disposizioni di ratio sostanzialmente opposta che hanno attribuito agli Stati membri la possibilità di legiferare in autonomia al fine di “precisare” le norme contenute nel RGPD (ciò si rinviene in particolare nel considerando n. 10 e negli artt. 9 e 23 del RGPD).
Questi spazi di intervento normativo lasciati agli Stati membri dal RGPD pone e porrà problemi non solo di coerenza con la visione iniziale dell’UE (di eliminare la disomogeneità normativa in materia) ma anche il rischio di contrasti tra il RGPD e le leggi nazionali scritte con non sufficiente attenzione.
PROSEGUE: LEGGI I DOSSIER ORA SUL TAVOLO PER IL FUTURO DELLA PRIVACY