La storia del diritto alla privacy muove i suoi passi dalla teorizzazione del “right to be let alone” di Warrein e Brandeis nel 1890, il diritto degli individui alla riservatezza, fino ai giorni nostri, nell’era digitale. Ne ripercorriamo le tappe principali per approfondire l’elemento negoziale del consenso e focalizzarci sul potere dispositivo del diritto alla privacy.
Di pari passo con le innovazioni tecnologiche e, in particolare, con la nascita dell’information society [1], i diritti della persona sui suoi attributi immateriali si sono evoluti fino a includere i dati personali.
Il lento percorso evolutivo del diritto alla privacy si è caratterizzato per una miscellanea di circostanze fattuali, interventi giurisprudenziali e normativi, accomunati dai nuovi interrogativi sul modo d’intendere e di costruire la sfera privata.
Commercio e divieto di vendita dei dati personali: i due opposti approcci
Storia del diritto alla privacy
Come ha sostenuto Stefano Rodotà “si è passati dal diritto di essere lasciato solo, al diritto di mantenere il controllo sulle proprie informazioni; dalla privacy al diritto all’autodeterminazione informativa; dalla privacy alla non discriminazione; dalla segretezza al controllo” (Rodotà, 1997).
L’origine del diritto è tradizionalmente collocata dalla dottrina alla fine del 1800 negli Stati Uniti, precisamente nel 1890, quando gli avvocati Samuel Warren e Louis Brandeis pubblicarono un articolo in cui ripresero e svilupparono quel “right to be let alone” elaborato in nuce dal giudice Thomas C. Cooley qualche anno prima nel suo Law of Torts.
L’elaborazione originaria [2] è stata, quindi, in termini di diritto negativo, un diritto di libertà, a garanzia dell’inviolabilità della sfera più intima dell’individuo.
Da una parte, il diritto assumeva il rango di valore fondamentale, dall’altro veniva incasellato nel Tort Law e nelle sue azioni rimediali [3].
La Privacy nella Dichiarazione universale dei diritti umani
Occorre attendere fino al 1948 affinché il diritto alla privacy sia consacrato nella Dichiarazione universale dei diritti umani, all’articolo 12, che sancisce: “Nessun individuo potrà essere sottoposto ad interferenze arbitrarie nella sua vita privata, nella sua famiglia, nella sua casa, nella sua corrispondenza, né a lesione del suo onore e della sua reputazione. Ogni individuo ha diritto ad essere tutelato dalla legge contro tali interferenze o lesioni”.
Le sentenze della Corte Suprema
Fondamentale tappa evolutiva per lo sviluppo del concetto di privacy è la sentenza Griswold v. Connecticut con cui la Corte Suprema federale statunitense nel 1965 dichiarò l’incostituzionalità di uno Statute del Connecticut che vietava e sanzionava penalmente l’utilizzo di mezzi contraccettivi con riferimento alle coppie unite da vincolo matrimoniale. Venne così dichiarata illegittima la lesione del diritto alla privacy coniugale/familiare, successivamente estesa anche al piano individuale (al di fuori del vincolo coniugale) con la sentenza Eisenstadt v. Baird nel 1972.
Si è in tal modo progressivamente sedimentato un ulteriore profilo del diritto alla privacy rispetto alla radice originaria, il diritto all’autodeterminazione nella sfera della propria sessualità, un diritto le cui radici affondano nel diritto naturale [4].
Nell’anno immediatamente successivo, con la sentenza Roe v. Wade (1973), i giudici della Corte Suprema hanno fatto rientrare nell’alveo del diritto alla privacy il diritto di aborto, quale diritto di non procreare. Trattandosi di un diritto negativo, contro l’interferenza dello stato, esso non comporta di regola lo stanziamento di fondi pubblici, salvo eccezione in casi estremi come l’incesto e lo stupro, secondo quanto sancito nella sentenza Harris v. McRae.
Privacy come meta-diritto
L’ombrello del right to privacy è stato così utilizzato oltreoceano nelle situazioni più eterogenee, come “un meta-diritto, valore culturale e morale fondante l’intera esperienza giuridica” [5].
L’opera di Stefano Rodotà, ex Garante Privacy
Il dibattito giurisprudenziale e dottrinale statunitense è proseguito nei decenni seguenti, mentre nell’ordinamento giuridico italiano “il diritto alla privacy trova il suo primo riconoscimento nello Statuto dei lavoratori; essa non è più solo uno scudo contro il pettegolezzo, ma un’arma contro le discriminazioni basate sulla raccolta di informazioni su opinioni politiche, sindacali, religiose” (Rodotà, 1997).
Lo sviluppo della teoria del diritto alla privacy, slegata dalla dimensione della corporeità, deve il suo riconoscimento in Italia all’opera di Stefano Rodotà, la cui riflessione è inquadrabile all’interno della contestuale elaborazione continentale per lo più critica nei confronti del riduzionismo statunitense [6].
Gli sforzi dottrinali sono incentrati sul superamento del concetto olistico e strumentale di privacy, negli Stati Uniti oggetto di successive flessioni in senso conservatore, a favore del riconoscimento del diritto fondamentale all’autodeterminazione informativa in chiave relazionale.
L’identità personale dell’individuo nell’information society
All’interno di questa cornice teorica, elemento dirimente è rappresentato dall’identità personale dell’individuo nell’information society. Secondo Stefano Rodotà, infatti, “di fronte alla frammentazione che la persona ormai subisce nella dimensione informativa, il riferimento all’identità (e alla sua pienezza) costituisce lo strumento che permette di ricostituire l’integrità della persona. […] Ma come la costruzione della personalità è frutto di un processo selettivo e non di un puro accumularsi di vicende, così la proiezione nella dimensione giuridica dell’identità personale esige il riconoscimento di una possibilità di selezione, affidata a criteri obiettivi (tempo di conservazione dei dati raccolti) e alle decisioni dell’interessato” [7].
Diritto alla privacy e all’identità personale
Il diritto all’identità personale, intrinsecamente legato al diritto alla privacy, “secondo una prima e più risalente accezione, designa il complesso delle risultanze anagrafiche, che servono ad identificare il soggetto nei suoi rapporti con i poteri pubblici e a distinguerlo dagli altri consociati” [8].
L’intervento della Corte costituzionale del ’96
Il diritto all’identità personale è stato definito dalla Corte Costituzionale nel 1996 come “diritto ad essere se stesso, inteso come rispetto dell’immagine di partecipe alla vita associata, con le acquisizioni di idee ed esperienze, con le convinzioni ideologiche, religiose, morali e sociali che differenziano, ed al tempo stesso qualificano, l’individuo”.
La definizione della Corte di Cassazione
La Corte di Cassazione, successivamente e conformemente, lo ha definito “bene-valore costituito dalla proiezione sociale della personalità dell’individuo, cui si correla un interesse del soggetto ad essere rappresentato, nella vita di relazione, con la sua vera identità, e non vedere travisato il proprio patrimonio intellettuale, ideologico, etico, religioso, professionale”. Da tali massime emerge chiaramente che le interpretazioni dell’identità personale si sono via via sviluppate mediante connessione intrinseca con la “biografia” dell’individuo [9].
I dati personali
Con riferimento al tema della disposizione dei dati personali, e in particolare al funzionamento del mercato dei dati personali, la Sezione Civile I della Cassazione ha a suo tempo chiarito che “il dato personale identificativo della persona fisica qual è il cognome, ancorché possa essere legittimamente trattato, resta tuttavia tale. Resta cioè un proprium della persona cui si riferisce. Pertanto, la legittimità del trattamento in astratto di un dato siffatto non ne espropria il titolare: questi resta legittimato a richiedere la protezione della legge, quando l’uso altrui, astrattamente legittimo, determina tuttavia, per il modo nel quale viene effettuato, una lesione dei suoi diritti.
Si deduce quindi che, se il comportamento tenuto in pubblico da una persona può essere diffuso da un operatore dell’informazione come tale, esso non muta tuttavia il carattere personale che si è evidenziato, nel senso dell’appartenenza di un dato specifico a una persona determinata, che può anche essere diversa da quella il cui comportamento in pubblico è stato diffuso” [10].
Due punti di vista sull’identità digitale
L’identità digitale viene, invece, definita in dottrina secondo due diversi punti di vista: il primo la considera come sinonimo di “identità in rete o virtuale”, mentre per il secondo “[l’]insieme delle informazioni e delle risorse concesse da un sistema informatico ad un particolare utilizzatore del suddetto.
Queste informazioni sono di norma protette da un sistema di autenticazione. L’autenticazione può essere effettuata tramite parola chiave (password), caratteristiche biologiche (iride, impronta digitale, impronta vocale, riconoscimento del volto, ecc.) o attraverso un particolare oggetto (tessera magnetica, smart card, ecc.)” [11].
Da una parte, quindi, c’è l’identità personale in rete e la tutela reputazionale; dall’altra, ci sono le tecniche di identificazione del soggetto mediante autenticazione; sullo sfondo, rimangono questioni comuni relative ad anonimato in rete e pluralità di identità tramite.
La legge 675 del 1995
La concezione essenzialistica dell’identità personale muta radicalmente con l’entrata in vigore della legge 675 del 1995. Fino a quel momento “l’attenzione dell’ordinamento si appuntava, infatti, soprattutto sulle ipotesi di falsificazione o alterazione dell’immagine di sé agli occhi del pubblico (false light) e non si spingeva a valutare le modalità (e i problemi) del processo di costruzione dell’identità […] Con l’introduzione della legge n. 675 del 31 dicembre 1996 […] si trasforma il significato complessivo dell’identità personale. Le tecniche di raccolta dei dati e profilazione individuale, rese possibili dalle nuove tecnologie, determinano il rischio che l’io venga frammentato, a sua insaputa, in una molteplicità di banche dati, offrendo così una raffigurazione parziale e potenzialmente pregiudizievole della persona, la quale verrebbe così ridotta alla mera sommatoria delle sue proiezioni elettroniche.
Il diritto all’identità, di riflesso, assume nuove connotazioni, in quanto implica non più soltanto la corretta rappresentazione in ciascun contesto, ma presuppone una rappresentazione integrale della persona e per di più rappresentazione non affidata solo agli strumenti automatizzati. […]
Se in precedenza si era potuto parlare di una lettura essenzialistica, ora siamo in presenza di un’impostazione di tipo proceduralistico, che prelude a una visione contingente e fluida dell’identità. L’identità, cioè, non viene più vista come dato preesistente (ossia come proiezione esterna di un patrimonio individuale già delineato nelle sue caratteristiche distintive), bensì come processo, costantemente in atto, aperto ad una pluralità di esiti e continuamente esposto all’interferenza, capillare e pervasiva, delle varie forme di potere sociale.
Rispetto a tale processo l’ordinamento non si limita più ad una posizione di astensione e non interferenza — come predicato dalla lettura liberale classica dei diritti fondamentali — ma esercita un ruolo attivo di supervisione e controllo, con l’obiettivo di restituire il più possibile all’individuo la capacità di perseguire politiche dell’identità personale liberamente definite, sottraendolo al rischio della normalizzazione” [12]
[13].
Note
- Continua la nostra analisi sul mercato dei dati personali, dopo aver definito il concetto di commodification (e le diverse impostazioni dottrinali sorte intorno al potere dispositivo dei diritti della personalità) e aver tratteggiato i contorni del diritto alla privacy (dal punto di vista pubblicistico e civilistico), approfondiremo l’elemento negoziale del consenso, concentrandoci sul potere dispositivo del diritto alla privacy, dopo una breve parentesi storico-comparatistica con cui allargare il nostro spettro di comprensione. Nel prossimo articolo approfondiremo l’elemento dirimente del consenso ovvero lo strumento attraverso cui il singolo dispone in via negoziale del proprio bene, non senza riferimento alle tutele rimediali, a cui seguirà l’analisi della direttiva (UE) 770/2019 e del decreto legislativo nazionale di recepimento, approvato pochi giorni fa dal Consiglio dei Ministri, che introduce nuove disposizioni nel Codice del consumo sui contratti di fornitura di contenuti e servizi digitali. ↑
- Secondo Warren e Brandeis: “The common law secures to each individual the right of determining, ordinarily, to what extent his thoughts, sentiments, and emotions shall be communicated to others. Under our system of government, he can never be compelled to express them (except when upon the witness-stand); and even if he has chosen to give them expression, he generally retains the power to fix the limits of the publicity which shall be given them. The existence of this right does not depend upon the particular method of expression adopted”. ↑
- Ancora secondo Brandeis “the makers of our Constitution undertook to secure conditions favorable to the pursuit of happiness. They recognized the significance of man’s spiritual nature, of his feelings and of his intellect. They knew that only a part of the pain, pleasure and satisfactions of life are to be found in material things. They sought to protect Americans in their beliefs, their thoughts, their emotions and their sensations. They conferred, as against the Government, the right to be let alone -the most comprehensive of rights and the right most valued by civilized men”. ↑
- “We deal with a right of privacy older than the Bill of Rights – older than our politics parties, older than our school system”. ↑
- Putignani, 2006. ↑
- Putignani, 2006. ↑
- Rodotà, 1997. ↑
- G. Resta, 2007. ↑
- Resta, 2007. ↑
- Resta, 2007. ↑
- Resta, 2007. ↑
- Resta, 2007. ↑
- Cfr. L. Bianchi, “Dentro o fuori il mercato? Commodification e dignità umana”, in Rivista critica del diritto privato, 24 (2006), 3, pp. 489-521; cfr. M. M. Ertman, J. C. Williams (ed. by), Rethinking Commodification, New York and
London, New York University Press, 2005; cfr. M. J. Radin, M. Sunder, “The Subject and Object of Commodification”, in Rethinking Commodification: Cases and Readings in Law and Culture, M. M. Ertman, J. C. Williams, (eds.), New York-London, New York University Press, 2005, pp. 8-29; cfr. G. Cricenti, “Il lancio del nano. Spunti per un’etica di diritto civile”, in Rivista critica del diritto privato, 27 (2009), 1, pp. 21-39; cfr. M. J. Radin, Contested Commodities, in Rethinking Commodification: Cases and Readings in Law and Culture, M. M. Ertman, J. C. Williams (eds.), New
York-London, New York University Press, 2005, pp. 81-95; cfr. G. Resta, V. Zeno Zencovich, “Volontà e consenso nella fruizione dei servizi in rete”, in Rivista trimestrale di diritto e procedura civile, (2018), pp. 411-440; cfr. F. Pizzetti, Protezione dei dati personali in Italia tra GDPR e Codice novellato, Giappichellli, Torino, 2021, pp. 233 ss.; cfr. R. Panetta (a cura di), Circolazione e protezione dei dati personali, tra libertà e regole del mercato. Commentario
al Regolamento UE 2016/679 (GDPR) e al novellato d.lgs. 196/2003 (Codice Privacy), Giuffrè, Milano, 2019; cfr. G. Finocchiaro, F. Delfini (a cura di), Diritto dell’informatica, Utet, Torino, 2014; cfr. G. Cassano, S. Previti, Il diritto di Internet nell’era digitale, Giuffrè, Milano, 2020; cfr. M. Mursia, C. A. Trovato, “The commodification of our digital identity: limits on monetizing personal data in the European context”, in Medialaws, (2021) 2, pp. 1-24; cfr. S. Tobani, “Il mercato dei dati personali: tra tutela dell’interessato e tutela dell’utente”, in Medialaws, (2019) 3, pp. 131-147; cfr. O. Pollicino, “Costituzionalismo, privacy e neurodiritti”, in Medialaws, (2021) 2, pp. 1-9; cfr. N. Zorzi Galgano (a cura
di), Persona e mercato dei dati. Riflessioni sul GDPR, Cedam, Padova, 2019; cfr. L. Bolognini, Follia artificiale.
Riflessioni per la resistenza dell’intelligenza umana, Rubbettino, Soveria Mannelli, 2018; cfr. L. Bolognini, F. Pelino (a cura di), Codice della disciplina privacy, Giuffrè, Milano, 2019; cfr. L. Bolognini (a cura di), Privacy e libero mercato digitale, Giappichelli, Torino, 2021; cfr. I. De Michelis di Slonghello, L. Bolognini, An introduction to the right to monetize (RTM), 9 April 2018, An_Introduction_to_the_Right_to_Monetize_Data.pdf ; cfr. S. Zuboff, The age of surveillance capitalism. The fight for the human future at the new frontier of power, Profile Books, London, 2019, trad. it. Ead., Il capitalismo della sorveglianza, Luiss, Roma, 2019; cfr. S. Rodotà, Il diritto di avere diritti, Laterza, Bari, 2012; cfr. S. Rodotà, Prefazione, in R. Panetta (a cura di), Libera circolazione e protezione dei dati personali, I, Giuffrè, Milano, 2006, pp. VII-XIX; cfr. A. Putignani, “Prospettive costituzionali del diritto di privacy”, in R. Panetta (a cura di), Libera circolazione e protezione dei dati personali, I, Giuffrè, Milano, 2006, pp. 109-160; cfr. G. Pino, “Il diritto all’identità personale ieri e oggi. Informazione, mercato, dati personali”, in R. Panetta (a cura di), Libera circolazione e protezione dei dati personali, I, Giuffrè, Milano, 2006, pp. 259-332; cfr. S. Rodotà, Prefazione, in A. Masera, G. Scorza, Internet, I nostri diritti, Laterza, Bari, 2016; Cfr. S. Elvy, “Paying for privacy and the personal data economy”, in Columbia Law Review, 117(6), 2017, 1369 ss.; cfr. V. Ricciuto, “La patrimonializzazione dei dati personali. Contratto e mercato nella ricostruzione del fenomeno”, in Diritto dell’informazione e dell’informatica, 4 (2018), p. 718; cfr. V. Ricciuto, “Il contratto ed i nuovi fenomeni patrimoniali: il caso della circolazione dei dati personali”, in Rivista di diritto civile, 3 (2020), p. 642; cfr. G. D’Ippolito, “Commercializzazione dei dati personali: il dato personale tra approccio morale e negoziale”, in Il diritto dell’informazione e dell’informatica, 3 (2020), pp. 634-674; cfr. N.R. Koffeman, “(The right to) personal autonomy in the case law of the European Court of Human Rights”, in scholarlypublications.universiteitleiden.nl, June 2010; cfr. S. Athey, C. Catalini, C. Tucker, “The Digital Privacy Paradox: Small Money, Small Costs, Small Talk”, in National
Bureau of Economic Research Working Paper Series, n. 23488 (2017); cfr. J. Debussche, J. César, “EU data economy: Legal, ethical & social issues, in twobirds.com, August 2019; cfr. M. Nicotra, “Trasparenza web, attenti ai dark pattern: il ruolo del legal design perla tutela degli utenti”, in Agenda digitale.eu, 14 marzo 2019; cfr. M. Alovisio, P. Cucchi, “Dati in cambio di soldi? Consenso al trattamento e scenari futuri”, in Agendadigitale.eu, 21 febbraio 2020; cfr. L. Brandimarte, “Come combattere le pratiche commerciali ingannevoli: strategie e strumenti”, in Agendadigitale.eu, 17 giugno 2021; cfr. L. Floridi, Pensare l’infosfera. La filosofia come design concettuale, Raffaello Cortina Editore, Milano, 2020; cfr. V. Zeno Zencovich, “Do ‘data markets’ exist?”, in Medialaws, 2 (2019), pp. 1-17; cfr. I. A. Caggiano, “Il consenso al trattamento dei dati personali tra nuovo Regolamento europeo e analisi comportamentale”, in Osservatorio del diritto civile e commerciale, 1 (2018), pp. 7 – 50; cfr. S. Gobbato, “Big data e tutele convergenti tra concorrenza, GDPR e Codice del consumo”, in Medialaws, pp. 148 – 161, 3 (2019); cfr. S. Thobani, “Il mercato dei dati personali: tra tutela dell’interessato e tutela dell’utente”, in Medialaws, pp. 131 – 147, 3 (2019); cfr. S. Thobani, “Diritti della personalità e contratto: dalle fattispecie più tradizionali al trattamento in massa dei dati personali”, Edizioni, Torino, 2018; cfr. R. Posner, Sex and Reason, Cambridge (MA), Harvard University Press, 1992, trad. it. Id., Sesso e ragione, Milano, Edizioni di Comunità, 1995; cfr. M. C. Nussbaum “Taking Money for Bodily Services”, in Rethinking Commodification: Cases and Readings in Law and Culture, M. M. Ertman, J. C. Williams (eds.), New York-London, New York University Press, 2005, pp. 243-247, pp. 243; cfr. M. C. Nussbaum, “Whether from Reason or Prejudices: Taking Money for Bodily Services”, in Journal of Legal Studies, 27 (1998), pp. 693-724; cfr. A. L. Tarasco, M. Giaccaglia, “Facebook è gratis? Mercato dei dati personali e giudice amministrativo, in Il diritto dell’economia, (2) 2020, pp. 263-301; S. Warren e L. Brandeis “The right to privacy”, in Harvard Law Review, 4 (1890), 5, pp. 193-220, alle pp. 198-199; cfr. U. Pagallo, La tutela della privacy negli Stati Uniti e in Europa: modelli a confronto, Milano, Giuffrè, 2008, p. 4 ss.; G. Resta, “Identità personale e identità digitale”, in Diritto
dell’informazione e dell’informatica, (3) 2007, pp. 511-531; Regulation (EU) 2016/679 of the European Parliament and of the Council of 27 April 2016 on the protection of natural persons with regard to the processing of personal data and on the free movement of such data, and repealing Directive 95/46/EC (General Data Protection Regulation) [2016] OJL119/1; AGCM, Decisione CV154, 11 maggio 2017; AGCM, Decisione IP330, 17 febbraio 2021; Directive (EU)
2019/770 of the European Parliament and of the Council of 20 May 2019 on certain aspects concerning contracts for the supply of digital content and digital services [2019] OJL136/1 (“Directive 2019/770”); Convention for the Protection of Human Rights and Fundamental Freedoms (European Convention on Human Rights, ECHR, as amended), Rome, 4 November 1950; Charter of Fundamental Rights of the European Union [2012] OJ C326/391; EDPS “Opinion 4/2017
on the Proposal for a Directive on certain aspects concerning contracts for the supply of digital content”; sezione predisposta dalla Commissione europea sul sito istituzionale: Shaping the DSM | Shaping Europe’s digital future; Autorità garante della concorrenza e del mercato (AGCM), Autorità per le garanzie nelle comunicazioni (AGCOM), Garante per la protezione dei dati personali, Indagine conoscitiva sui Big Data, 10 febbraio 2020; 1 Directive (EU) 2019/770 of the European Parliament and of the Council of 20 May 2019 on certain aspects concerning contracts for the supply of digital content and digital services [2019] OJL136/1 (“Directive 2019/770”); Charter of Fundamental Rights of the European Union [2012] OJ C326/391; DECISIONE DEL GARANTE EUROPEO DELLA
PROTEZIONE DEI DATI (GEPD) – del 3 dicembre 2015 – che istituisce un gruppo consultivo esterno sulle dimensioni etiche della protezione dei dati (il «gruppo consultivo etico»); Griswold v. Connecticut [381 U.S. 479 (1965)]; Eisenstadt v. Baird [405 U.S. 438 (1972)]; Harris v. McRae [448 U.S. 297 (1980)]; Roe v. Wade [410 U.S. 113 (1973)]; Cass. Civ. Sez. I, 30 giugno 2001, n. 8889, 2461-2462; Corte cost., 3 febbraio 1994, n. 13; Cass., 7 febbraio 1996, n. 978. ↑