Il diritto alla privacy/protezione dei dati personali è un diritto inviolabile/della personalità oppure un bene strumentale a garanzia di un diritto collettivo?
Proviamo a rispondere a questo interrogativo, riprendendo le fila della nostra analisi, svolta sin qui ricostruendo gli orientamenti interpretativi e le polarizzazioni dottrinali sulla commodification dei diritti della personalità e dei dati personali.
Procediamo, quindi, addentrandoci nei fondamenti comunitari e internazionali del diritto alla protezione dei dati personali, concentrando i nostri sforzi nel tentativo di far emergere quali siano gli interessi tutelati come libertà fondamentali individuali e come diritti della collettività.
Commercio e divieto di vendita dei dati personali: i due opposti approcci
Diritto alla protezione dei dati personali come diritto collettivo
Il diritto alla protezione dei dati personali viene, sovente, definito come diritto strumentale a tutelare altri interessi, dal momento che la protezione dei dati personali, secondo questa corrente di pensiero, non è un bene giuridico di per sé. Su questa scia interpretava, il diritto alla protezione dei dati personali viene anche definito come diritto collettivo: posto per garantire che il progresso digitale si fondi su radici che non ne violino i diritti fondamentali. Il consenso rappresenterebbe lo strumento individuale preposto a garantire interessi sovra-individuali; mentre la garanzia posta dall’art. 2, par. 1 del Reg. n. 676/2018 (secondo cui il GDPR “si applica al trattamento interamente o parzialmente automatizzato di dati personali e al trattamento non automatizzato di dati personali contenuti in un archivio o destinati a figurarvi”) sarebbe funzionale a tutelare la collettività da trattamenti di massa con effetti discriminatori. Inoltre, con riferimento ai trattamenti che consistono nell’analisi dei big data tramite strumenti algoritmici di data mining, al fine di tutelare categorie deboli quali le minoranze, si considera qualsiasi limitazione alla raccolta dei dati meno efficace rispetto all’ampliamento della tipizzazione delle fattispecie discriminatorie [1].
La distinzione tra diritto alla riservatezza (o privacy) e alla protezione dei dati personali
La distinzione tra diritto alla riservatezza (o privacy) e alla protezione dei dati personali non opera sovente nel linguaggio comune (e talvolta nemmeno nel linguaggio specialistico), mentre da un punto di vista sistematico, se guardiamo alle Carte fondamentali, il diritto alla privacy si presenta con due corollari: il rispetto per la vita privata, tutelato dall’art. 8 della CEDU e l’art. 7 della Carta dei diritti fondamentali dell’UE, e il diritto alla protezione dei dati personali, tutelato dall’art. 8 della Carta citata.
L’art. 8 della CEDU, che tutela il diritto al rispetto della vita privata e familiare, al primo paragrafo sancisce che “ogni persona ha diritto al rispetto della propria vita privata e familiare, del proprio domicilio e della propria corrispondenza, mentre al secondo paragrafo stabilisce che “non può esservi ingerenza di una autorità pubblica nell’esercizio di tale diritto a meno che tale ingerenza sia prevista dalla legge e costituisca una misura che, in una società democratica, è necessaria alla sicurezza nazionale, alla pubblica sicurezza, al benessere economico del paese, alla difesa dell’ordine e alla prevenzione dei reati, alla protezione della salute o della morale, o alla protezione dei diritti e delle libertà altrui” [2].
Il testo dell’art. 7 della Carta dei diritti fondamentali dell’UE ricalca quello dell’art. 8 della CEDU (“ogni persona ha diritto al rispetto della propria vita privata e familiare, del proprio domicilio e della proprie comunicazioni”), mentre l’art. 8 della medesima Carta, posto a protezione dei dati di carattere personale, al paragrafo 1 dispone che “ogni individuo ha diritto alla protezione dei dati di carattere personale che lo riguardano”, al paragrafo 2 che “i dati devono essere trattati secondo il principio di lealtà, per finalità determinate e in base al consenso della persona interessata o a un altro fondamento legittimo previsto dalla legge. Ogni individuo ha il diritto di accedere ai dati raccolti che lo riguardano e di ottenerne la rettifica”, infine, al paragrafo 3 che “il rispetto di tali regole è soggetto al controllo di un’autorità indipendente” [3].
Privacy: la radice dei diritti della personalità
Il diritto alla privacy garantisce non soltanto la riservatezza, ma anche che la sfera personale sia libera dall’ingerenza e dall’intrusione altrui, mentre il diritto alla protezione dei dati personali tutela la trasparenza sulle modalità di trattamento dei dati personali. Giova precisare che all’interno del sistema CEDU il secondo diritto è racchiuso all’interno del primo, il quale viene comunemente considerato la radice dei diritti della personalità e la cui interpretazione si è radicalmente evoluta dalla sua approvazione. Difatti, dall’iniziale mera tutela della sfera privata dall’ingerenza esterna, si è passati alla protezione di ogni aspetto legato alla personalità e alla libertà positiva di controllo sulle proprie informazioni personali.
Gdpr, un Giano bifronte
Il Regolamento n. 676/2018 (“GDPR”) si presenta dal canto suo come un Giano bifronte. Da una parte, tutela il mercato unico dei dati personali e la loro libera circolazione, dall’altra, protegge i dati personali degli individui. Questi ultimi si presentano sia come bene economico/asset strategico all’interno del digital single market, sia come bene immateriale (che gode di tutela giuridica quindi), con valore economico, riferibile al soggetto giuridico. Secondo il considerando 4 del Regolamento “il trattamento dei dati personali dovrebbe essere al servizio dell’uomo. Il diritto alla protezione dei dati di carattere personale non è una prerogativa assoluta, ma va considerato alla luce della sua funzione sociale e va contemperato con altri diritti fondamentali, in ossequio al principio di proporzionalità. Il presente regolamento rispetta tutti i diritti fondamentali e osserva le libertà e i principi riconosciuti dalla Carta, sanciti dai trattati, in particolare il rispetto della vita privata e familiare, del domicilio e delle comunicazioni, la protezione dei dati personali, la libertà di pensiero, di coscienza e di religione, la libertà di espressione e d’informazione, la libertà d’impresa, il diritto a un ricorso effettivo e a un giudice imparziale, nonché la diversità culturale, religiosa e linguistica”[4].
La (rigida) posizione del Garante europeo
Nonostante le aperture del testo normativo, l’European Data Protection Supervisor (EDPS), “Garante europeo”, assumendo una posizione di netta rigidità, ha escluso la configurabilità dei dati personali come (merce nonché) controprestazione; non solo, secondo l’Autorità “there might well be a market for personal data, just like there is, tragically, a market for live human organs, but that does not mean that we can or should give the market the blessing of legislation” (EDPS “Opinion 4/2017 on the Proposal for a Directive on certain aspects concerning contracts for the supply of digital content”) [5].
Il diritto alla riservatezza, diritto alla non ingerenza e diritto alla protezione dei dati personali garantiscono l’assenza di invasione nello spazio di vita di ciascun individuo, la protezione dei suoi dati personali nonché l’autodeterminazione dell’individuo circa l’utilizzo delle informazioni a lui riferibili. Il diritto alla privacy, definito in tal guisa nei suoi corollari, è strettamente correlato all’art. 1 della Carta dei diritti fondamentali dell’UE, secondo cui “la dignità umana è inviolabile. Essa deve essere rispettata e tutelata” [6].
Conclusioni
Si tratta, in definitiva, di un diritto individuale riconducibile alla sfera della personalità, che ha per oggetto un bene immateriale, economico e, in quanto tale, disponibile secondo le limitazioni normative.
Come già anticipato, approfondiremo nel prossimo capitolo il consenso al trattamento dei dati personali, in particolare nelle sue correlazioni con l’elemento contrattuale del consenso; seguirà, poi, l’analisi delle Direttive n. 770/2019 (“Contratti di fornitura di contenuto digitale e di servizi digitali”) e 771/2019 (“Relativa a determinati aspetti dei contratti di vendita di beni”) e della giurisprudenza amministrativa più recente [7].
Note e bibliografia
- Cfr. V. Zeno Zencovich, “Do ‘data markets’ exist?”, in Medialaws, 2 (2019), pp. 1-17; cfr. I. A. Caggiano, “Il consenso al trattamento dei dati personali tra nuovo Regolamento europeo e analisi comportamentale”, in Osservatorio del diritto civile e commerciale, 1 (2018), pp. 7 – 50; cfr. S. Gobbato, “Big data e tutele convergenti tra concorrenza, GDPR e Codice del consumo2, in Medialaws, pp. 148 – 161, 3 (2019); cfr. S. Thobani, “Il mercato dei dati personali: tra tutela dell’interessato e tutela dell’utente”, in Medialaws, pp. 131 – 147, 3 (2019); cfr. S. Thobani, “Diritti della personalità e contratto: dalle fattispecie più tradizionali al trattamento in massa dei dati personali”, Ledizioni, Torino, 2018. ↑
- Convention for the Protection of Human Rights and Fundamental Freedoms (European Convention on Human Rights, ECHR, as amended), Rome, 4 November 1950. ↑
- Charter of Fundamental Rights of the European Union [2012] OJ C326/391. ↑
- Regulation (EU) 2016/679 of the European Parliament and of the Council of 27 April 2016 on the protection of natural persons with regard to the processing of personal data and on the free movement of such data, and repealing Directive 95/46/EC (General Data Protection Regulation) [2016] OJ L119/1. ↑
- EDPS “Opinion 4/2017 on the Proposal for a Directive on certain aspects concerning contracts for the supply of digital content”. ↑
- Charter of Fundamental Rights of the European Union [2012] OJ C326/391. ↑
- Cfr. L. Bianchi, “Dentro o fuori il mercato? Commodification e dignità umana”, in Rivista critica del diritto privato, 24 (2006), 3, pp. 489-521; cfr. M. M. Ertman, J. C. Williams (ed. by), Rethinking Commodification, New York and London, New York University Press, 2005; cfr. M. J. Radin, M. Sunder, “The Subject and Object of Commodification”, in Rethinking Commodification: Cases and Readings in Law and Culture, M. M. Ertman, J. C. Williams, (eds.), New York-London, New York University Press, 2005, pp. 8-29; cfr. G. Cricenti, “Il lancio del nano. Spunti per un’etica di diritto civile”, in Rivista critica del diritto privato, 27 (2009), 1, pp. 21-39; cfr. M. J. Radin, Contested Commodities, in Rethinking Commodification: Cases and Readings in Law and Culture, M. M. Ertman, J. C. Williams (eds.), New York-London, New York University Press, 2005, pp. 81-95; cfr. G. Resta, V. Zeno Zencovich, “Volontà e consenso nella fruizione dei servizi in rete”, in Rivista trimestrale di diritto e procedura civile, (2018), pp. 411-440; cfr. F. Pizzetti, Protezione dei dati personali in Italia tra GDPR e Codice novellato, Giappichellli, Torino, 2021, pp. 233 ss.; cfr. R. Panetta (a cura di), Circolazione e protezione dei dati personali, tra libertà e regole del mercato. Commentario al Regolamento UE 2016/679 (GDPR) e al novellato d.lgs. 196/2003 (Codice Privacy), Giuffrè, Milano, 2019; cfr. G. Finocchiaro, F. Delfini (a cura di), Diritto dell’informatica, Utet, Torino, 2014; cfr. G. Cassano, S. Previti, Il diritto di Internet nell’era digitale, Giuffrè, Milano, 2020; cfr. M. Mursia, C. A. Trovato, “The commodification of our digital identity: limits on monetizing personal data in the European context”, in Medialaws, (2021) 2, pp. 1-24; cfr. S. Tobani, “Il mercato dei dati personali: tra tutela dell’interessato e tutela dell’utente”, in Medialaws, (2019) 3, pp. 131-147; cfr. O. Pollicino, “Costituzionalismo, privacy e neurodiritti”, in Medialaws, (2021) 2, pp. 1-9; cfr. N. Zorzi Galgano (a cura di), Persona e mercato dei dati. Riflessioni sul GDPR, Cedam, Padova, 2019; cfr. L. Bolognini, Follia artificiale. Riflessioni per la resistenza dell’intelligenza umana, Rubbettino, Soveria Mannelli, 2018; cfr. L. Bolognini, F. Pelino (a cura di), Codice della disciplina privacy, Giuffrè, Milano, 2019; cfr. L. Bolognini (a cura di), Privacy e libero mercato digitale, Giappichelli, Torino, 2021; cfr. I. De Michelis di Slonghello, L. Bolognini, An introduction to the right to monetize (RTM), 9 April 2018, An_Introduction_to_the_Right_to_Monetize_Data.pdf (istitutoitalianoprivacy.it); cfr. S. Zuboff, The age of surveillance capitalism. The fight for the human future at the new frontier of power, Profile Books, London, 2019, trad. it. Ead., Il capitalismo della sorveglianza, Luiss, Roma, 2019; cfr. S. Rodotà, Il diritto di avere diritti, Laterza, Bari, 2012; cfr. S. Rodotà, Prefazione, in R. Panetta (a cura di), Libera circolazione e protezione dei dati personali, I, Giuffrè, Milano, 2006, pp. VII-XIX; cfr. S. Rodotà, Prefazione, in A. Masera, G. Scorza, Internet, I nostri diritti, Laterza, Bari, 2016; Cfr. S. Elvy, “Paying for privacy and the personal data economy”, in Columbia Law Review, 117(6), 2017, 1369 ss.; cfr. V. Ricciuto, “La patrimonializzazione dei dati personali. Contratto e mercato nella ricostruzione del fenomeno”, in Diritto dell’informazione e dell’informatica, 4 (2018), p. 718; cfr. V. Ricciuto, “Il contratto ed i nuovi fenomeni patrimoniali: il caso della circolazione dei dati personali”, in Rivista di diritto civile, 3 (2020), p. 642; cfr. G. D’Ippolito, “Commercializzazione dei dati personali: il dato personale tra approccio morale e negoziale”, in Il diritto dell’informazione e dell’informatica, 3 (2020), pp. 634-674; cfr. N.R. Koffeman, “(The right to) personal autonomy in the case law of the European Court of Human Rights”, in scholarlypublications.universiteitleiden.nl, June 2010; cfr. S. Athey, C. Catalini, C. Tucker, “The Digital Privacy Paradox: Small Money, Small Costs, Small Talk”, in National Bureau of Economic Research Working Paper Series, n. 23488 (2017); cfr. J. Debussche, J. César, “EU data economy: Legal, ethical & social issues, in twobirds.com, August 2019; cfr. M. Nicotra, “Trasparenza web, attenti ai dark pattern: il ruolo del legal design perla tutela degli utenti”, in Agenda digitale.eu, 14 marzo 2019; cfr. M. Alovisio, P. Cucchi, “Dati in cambio di soldi? Consenso al trattamento e scenari futuri”, in Agendadigitale.eu, 21 febbraio 2020; cfr. L. Brandimarte, “Come combattere le pratiche commerciali ingannevoli: strategie e strumenti”, in Agendadigitale.eu, 17 giugno 2021; cfr. L. Floridi, Pensare l’infosfera. La filosofia come design concettuale, Raffaello Cortina Editore, Milano, 2020; cfr. V. Zeno Zencovich, “Do ‘data markets’ exist?”, in Medialaws, 2 (2019), pp. 1-17; cfr. I. A. Caggiano, “Il consenso al trattamento dei dati personali tra nuovo Regolamento europeo e analisi comportamentale”, in Osservatorio del diritto civile e commerciale, 1 (2018), pp. 7 – 50; cfr. S. Gobbato, “Big data e tutele convergenti tra concorrenza, GDPR e Codice del consumo2, in Medialaws, pp. 148 – 161, 3 (2019); cfr. S. Thobani, “Il mercato dei dati personali: tra tutela dell’interessato e tutela dell’utente”, in Medialaws, pp. 131 – 147, 3 (2019); cfr. S. Thobani, “Diritti della personalità e contratto: dalle fattispecie più tradizionali al trattamento in massa dei dati personali”, Ledizioni, Torino, 2018; cfr. R. Posner, Sex and Reason, Cambridge (MA), Harvard University Press, 1992, trad. it. Id., Sesso e ragione, Milano, Edizioni di Comunità, 1995; cfr. M. C. Nussbaum “Taking Money for Bodily Services”, in Rethinking Commodification: Cases and Readings in Law and Culture, M. M. Ertman, J. C. Williams (eds.), New York-London, New York University Press, 2005, pp. 243-247, pp. 243; cfr. M. C. Nussbaum, “Wheter from Reason or Prejudices: Taking Money for Bodily Services”, in Journal of Legal Studies, 27 (1998), pp. 693-724; Regulation (EU) 2016/679 of the European Parliament and of the Council of 27 April 2016 on the protection of natural persons with regard to the processing of personal data and on the free movement of such data, and repealing Directive 95/46/EC (General Data Protection Regulation) [2016] OJ L119/1; AGCM, Decisione CV154, 11 maggio 2017; AGCM, Decisione IP330, 17 febbraio 2021; Directive (EU) 2019/770 of the European Parliament and of the Council of 20 May 2019 on certain aspects concerning contracts for the supply of digital content and digital services [2019] OJL136/1 (“Directive 2019/770”); Convention for the Protection of Human Rights and Fundamental Freedoms (European Convention on Human Rights, ECHR, as amended), Rome, 4 November 1950; Charter of Fundamental Rights of the European Union [2012] OJ C326/391; EDPS “Opinion 4/2017 on the Proposal for a Directive on certain aspects concerning contracts for the supply of digital content”; sezione predisposta dalla Commissione europea sul sito istituzionale: Shaping the DSM | Shaping Europe’s digital future (europa.eu); Autorità garante della concorrenza e del mercato (AGCM), Autorità per le garanzie nelle comunicazioni (AGCOM), Garante per la protezione dei dati personali, Indagine conoscitiva sui Big Data, 10 febbraio 2020; Directive (EU) 2019/770 of the European Parliament and of the Council of 20 May 2019 on certain aspects concerning contracts for the supply of digital content and digital services [2019] OJL136/1 (“Directive 2019/770”); Charter of Fundamental Rights of the European Union [2012] OJ C326/391; Decisione del Garante europeo della protezione dei dati (EDPS) – del 3 dicembre 2015 – che istituisce un gruppo consultivo esterno sulle dimensioni etiche della protezione dei dati (il «Gruppo consultivo etico») (europa.eu), per consultare l’intero comunicato stampa si veda il seguente link: edps-2016-05-edps_ethics_advisory_group_it.pdf (europa.eu). ↑
