Tutela della persona: protezione dei dati personali, riservatezza e identità digitale
La privacy – in senso lato – comprende, invero, tre macro diritti fondamentali come si evince anche dagli artt. 7 e 8 della Carta UE: il diritto al rispetto della propria sfera personale (c.d. privacy in senso stretto); il diritto alla protezione dei dati personali (c.d. data protection); e il diritto all’identità personale.
Particolare rilievo va, inoltre, riconosciuto, al diritto all’identità personale (ossia il patrimonio di informazioni, credenze, valori, opinioni, stratificatisi nel corso del tempo, che concorrono a delineare il profilo immateriale dell’identità personale), che seppure autonomo rispetto alla privacy né è comunque espressione strettamente correlata: in particolare, nell’evoluzione più recente del diritto all’identità digitale che è, di tutta evidenza, strettamente correlato alla titolarità dei dati e al controllo su di essi assicurato dal GDPR espressione del principio di autodeterminazione informativa.
Da queste macrocategorie discendono gli altri diritti fondamentali sopracitati. Anche il considerando n. 1 del GDPR ricorda, qualora fosse dubbio, che: «La protezione delle persone fisiche con riguardo al trattamento dei dati di carattere personale è un diritto fondamentale».
E ancora il considerando 4 del GDPR precisa che «Il trattamento dei dati personali dovrebbe essere al servizio dell’uomo. Il diritto alla protezione dei dati di carattere personale non è una prerogativa assoluta, ma va considerato alla luce della sua funzione sociale e va contemperato con altri diritti fondamentali, in ossequio al principio di proporzionalità. Il presente regolamento rispetta tutti i diritti fondamentali e osserva le libertà e i principi riconosciuti dalla Carta, sanciti dai trattati, in particolare il rispetto della vita privata e familiare, del domicilio e delle comunicazioni, la protezione dei dati personali, la libertà di pensiero, di coscienza e di religione, la libertà di espressione e d’informazione, la libertà d’impresa, il diritto a un ricorso effettivo e a un giudice imparziale, nonché la diversità culturale, religiosa e linguistica».
La dimensione complessa della tutela privacy, in senso lato, comprende – nella sua dimensione più matura e attuale anche alla luce del quadro normativo comunitario introdotto del GDPR e in Italia già con il fondamentale intervento normativo di cui alla legge n. 675 del 1996 che stabiliva per la prima volta che il trattamento dei dati personali dovesse avvenire nel rispetto della riservatezza e dell’identità personale – i seguenti elementi essenziali:
- Diritto alla riservatezza personale: originaria accezione di esclusione dei terzi dalla propria sfera personale più intima;
- Diritto alla riservatezza informatica: diritto alla titolarità dei dati personali. Corollari del principio di titolarità dei dati sono, inoltre, i diritti – pure tipizzati della nuova normativa comunitaria del GDPR – alla:
- Correzione e aggiornamento dei dati,
- Limitazione e cancellazione,
- Diritto all’oblio condizionato,
- Diritto alla portabilità dei dati,
- Sicurezza dei dati.
Le origini del diritto alla riservatezza vanno rintracciate nel famoso saggio “The right to privacy” dei giuristi degli Stati Uniti Samel D. Warren e Louis D. Brandeis pubblicato nel 1890 sulle pagine della prestigiosa rivista giuridica Harvard Law Review.
Gli autori in parola elaboravano tale nuovo diritto declinando sostanzialmente come The right to be let alone, ossia il diritto ad essere lasciati soli escludendo i terzi da indebite interferenze nella propria vita privata: rectius privacy in senso stretto. Il diritto alla riservatezza della persona – di elaborazione dottrinale e giurisprudenziale – viene ritenuto tutelabile quale diritto personale fondamentale al pari del diritto all’immagine e del diritto al nome, dall’art. 2 Cost., oltre che dagli artt. 7-8 della Carta UE e dell’art. 8 della Convenzione europea dei diritti dell’uomo.
L’art. 7 della Carta dei diritti fondamentali UE esprime molto bene tale primigenio nucleo concettuale della privacy cristallizzando la tutela del diritto fondamentale di ogni persona alla riservatezza, al rispetto della propria vita privata e familiare, del proprio domicilio e delle proprie comunicazioni. Nella società dell’informazione e delle comunicazioni elettroniche la dimensione della riservatezza personale delle origini evolve verso una nuova imprevista dimensione informatica-virtuale in cui la persona deve difendersi da trattamenti automatizzati invasivi e potenzialmente pericolosi per l’identità della persona e l’esercizio delle libertà costituzionalmente protette: espressione e informazioni in primis ai sensi dell’art. 21 Cost. ma anche l’identità stessa della persona nel mondo reale e virtuale nell’alveo dell’art. 2 Cost.
Dalla riservatezza personale, quindi, verso la complessa dimensione della riservatezza informatica, oltre l’originario profilo della tutela della propria sfera personale più intima da indebite ingerenze esterne da parte di terzi. Da tale nuova dimensione che si rende necessaria per contrastare la diffusione massiva delle banche dati e degli elaboratori elettronici, da ultimo sublimati, in negativo, nella dittatura dell’algoritmo, emergono e discendono il diritto alla titolarità dei dati e alla protezione dei dati personali.
La “nuova antropologia” registrata dal giusprivatista Stefano Rodotà, trasforma la persona da Essere Umano a un complesso di dati, identità digitale. Se volessimo sintetizzare tale visione antropo-tecnologica potremmo dire: i dati siamo noi. La tutela dell’identità della persona si risolve nella società digitale nell’equazione: persona = dati personali rectius identità digitale.
La crescente diffusione di prodotti e servizi di comunicazione elettronica di nuova generazione basati sui Big Data ossia sull’elaborazione massiva e sistematica di informazioni personali – Social Network, Internet of Thing, Cloud computing, Smartphone, Fintech, Blockchain, Smart Cars e oltre verso l’Artificial Intelligence – accrescono il ruolo strategico dei temi della privacy in senso lato e della sicurezza informatica – cybersecurity – dei dati raccolti con tali modalità invasive e pervasive anche nella prospettiva di un armonizzato sviluppo dei mercati digitali non solo europei ma globali.
È ormai evidente a tutti che nei mercati digitali l’algoritmo è fonte di autoregolazione, non di rado opaca, dei rapporti della persona-utente-consumatore con i gatekeeper, più in generale con i fornitori: si rende, pertanto, necessario regolare il fenomeno «non delegando ogni tutela al codice normativo del digitale, su cui fondare diritti e doveri, nel contesto in cui più di ogni altro si dispiega la nostra esistenza». Non si possono affidare tutele di diritti e osservanza di obblighi esclusivamente ai codici informatici – non trasparenti per non dire opachi, spesso coperti da segreto industriale – e nemmeno alle condizioni contrattuali asimmetriche unilateralmente stabilite dalle multinazionali della Silicon Valley e dei Big Tech, gli Over The Top globali.
Il consenso al trattamento dei dati personali deve, pertanto, per essere davvero giuridicamente rilevante – rectius informato e libero, soprattutto consapevole – comprendere anche l’algoritmo stesso che deve, quindi, essere disvelato e rivelato, trasparente per gli utilizzatori della piattaforma digitale. In ordine al consenso informato e alla trasparenza dell’algoritmo si segnala la recente, apprezzabile e innovativa, decisione della Corte di cassazione del 24 marzo 2021, n. 14381 che ha così correttamente statuito: «…il consenso è validamente prestato solo se è espresso liberamente e specificamente in riferimento ad un trattamento “chiaramente individuato”, se è documentato per iscritto, e se sono state rese all’interessato le informazioni di cui all’art. 13. In tema di trattamento dei dai personali, il consenso è validamente prestato solo se espresso liberamento e specificamente in riferimento a un trattamento chiaramente individuato; ne consegue che nel caso di una piattaforma web (con annesso archivio informatico) preordinata all’elaborazione di profili reputazionali di singole persone fisiche o giuridiche, incentrata su un sistema di calcolo con alla base un algoritmo finalizzato a stabilire i punteggi di affidabilità, il requisito della consapevolezza non può considerarsi soddisfatto ove lo schema esecutivo dell’algoritmo e gli elementi di cui si compone restino ignoti o non conoscibili da parte degli interessati”.
Evoluzione giurisprudenziale attenta alla ratio del GDPR che non può non salutarsi con favore costituendo un significativo passo in avanti nel rafforzamento della protezione della persona nella società digitale e una vera e propria sfida giuridica al dominio tecnologico dell’algoritmo.
Un cenno merita, infine, la dimensione consumeristica e metaindividuale – collettiva – della prospettiva rimediale a protezione della persona. La capacità offensiva della società tecnologica, invero, si sviluppa in termini massivi e seriali: eventuali illeciti perpetrati dai big digital player, ma non solo, colpiscono ampi cluster di persone danneggiate rendendo spesso inefficaci rimedi a base individualistica come quello aquiliano essendo anche per tale ragione necessario valorizzare rimedi collettivi sulla scorta dell’art. 80 del GDPR.
La sfida regolatoria più complessa – del legislatore e delle Autorità di vigilanza – sarà, pertanto, quella di contrastare il rischio di dominio dell’algoritmo – le cui meccaniche intrinseche sono tendenzialmente occulte e tutelate dal segreto industriale – rischio che si disvela nella società digitale ed è immanente nella black box society, con strumenti regolatori e rimedi non solo individuali ma anche collettivi. Quanto sopra al fine di controbilanciare, in prospettiva assiologica costituzionalmente orientata nel sistema italo-europeo delle fonti, l’asimmetria di potere tra persone e piattaforme digitali, proteggendo direttamente il soggetto debole, oltre il consumatore-utente-interessato dal trattamento dei dati personali, in ultima istanza la persona, e – di riflesso – la correttezza, equità, trasparenza e concorrenza degli stessi mercati digitali.