Regolamento - 27/04/2016 - n. 679 art. 1 - Oggetto e finalitàOggetto e finalità 1. Il presente regolamento stabilisce norme relative alla protezione delle persone fisiche con riguardo al trattamento dei dati personali, nonché norme relative alla libera circolazione di tali dati. 2. Il presente regolamento protegge i diritti e le libertà fondamentali delle persone fisiche, in particolare il diritto alla protezione dei dati personali. 3. La libera circolazione dei dati personali nell'Unione non può essere limitata né vietata per motivi attinenti alla protezione delle persone fisiche con riguardo al trattamento dei dati personali. InquadramentoL'art. 1 GDPR enuncia le due coordinate essenziali, e insieme contrapposte, entro le quali si colloca l'intera materia disciplinata dal Regolamento: da un lato il diritto alla protezione dei dati personali, dall'altro il diritto alla libera circolazione degli stessi, bene tutelato che rappresenta, rispetto al primo, il polo dialettico imprescindibile. La circolazione dei dati personali tuttavia è garantita proprio se e in quanto avvenga entro un preciso contesto di regole e tutele, ossia nei limiti in cui sia osservata la disciplina sul trattamento dei dati personali. La contrapposizione tra i due beni evocati è perciò più apparente che reale. In particolare, il diritto alla protezione dei dati personali non si declina propriamente come un freno alla circolazione degli stessi o alla loro conoscibilità, ma come uno strumento per mettere la persona nel controllo pieno delle proprie informazioni, assicurando trasparenza nei processi e nelle finalità a cui sono sottoposte, rispetto delle regole normative e osservanza di principi di responsabilizzazione, correttezza e liceità. Questo controllo riconosciuto all'individuo non è solo di tipo conoscitivo, ma si declina anche come potere di intervento sulle informazioni e/o sui processi cui sono sottoposte (trattamenti), e può essere esercitato perfino in concorrenza o anche eventualmente in supplenza del titolare del trattamento, tutte le volte in cui occorra riportare dati e trattamenti entro il quadro normativo applicabile. Si pensi alla pretesa riconosciuta di ottenere in via amministrativa o giudiziale, comunque coattiva, la limitazione del trattamento dei dati, la loro rettifica o perfino la loro cancellazione oppure si pensi al potere di concedere e revocare liberamente e in ogni momento il consenso al loro trattamento. Traspare qui la differenza fondamentale tra una pretesa di contenuto negativo, vale a dire il diritto alla riservatezza/privacy inteso in senso classico, quale right to be let alone, ossia diritto, alla lettera, di “essere lasciati in pace”, questo sì contrapposto alla libera circolazione e conoscibilità dei dati personali, e una pretesa di contenuto positivo, un diritto appunto di controllo, nel duplice senso della verifica conoscitiva e di un potere di intervento sul trattamento, che può anche prescindere completamente dal profilo della riservatezza e anzi spesso presuppone proprio la piena accessibilità alle informazioni personali, sia pure limitatamente ad alcuni soggetti e solo sulla base di regole precise. Si pensi a dati volontariamente rilasciati dall'interessato al titolare del trattamento o che questi può comunque pacificamente trattare e dunque conoscere: non viene in considerazione, nei confronti del titolare del trattamento, una pretesa di privacy/riservatezza dell'interessato, ma una pretesa di rispetto delle norme, sulla quale l'interessato può appunto esercitare controllo puntuale. Non a caso le due situazioni tutelate rimandano a disposizioni diverse della Carta dei diritti fondamentali dell'Unione: la privacy/riservatezza all'art. 7, la tutela dei dati personali all'art. 8 (e all'art. 16.1 TFUE). Naturalmente sono diritti strettamente connessi in concreto. L'osservanza delle regole da parte del titolare che, in ipotesi, possa legittimamente trattare i dati personali (ad esempio perché ne ha ottenuto il consenso o perché vanta legittimo interesse) si collega a un'aspettativa di privacy dell'interessato rispetto a soggetti terzi, proprio in applicazione del tessuto di regole evocato. Giova infine notare che il diritto alla protezione dei dati personali, anche per la sua spiccata natura dinamica di potere di governo e partecipazione a trattamenti che possono ben essere oggetto di tutele antagoniste in capo a terzi, deve trovare un bilanciamento con altre esigenze protette, deve cioè, come chiarisce il considerando 4 GDPR, «essere al servizio dell'uomo. Il diritto alla protezione dei dati di carattere personale non è una prerogativa assoluta, ma va considerato alla luce della sua funzione sociale e va contemperato con altri diritti fondamentali, in ossequio al principio di proporzionalità. Il presente regolamento rispetta tutti i diritti fondamentali e osserva le libertà e i principi riconosciuti dalla Carta, sanciti dai trattati, in particolare il rispetto della vita privata e familiare, del domicilio e delle comunicazioni, la protezione dei dati personali, la libertà di pensiero, di coscienza e di religione, la libertà di espressione e d'informazione, la libertà d'impresa, il diritto a un ricorso effettivo e a un giudice imparziale, nonché la diversità culturale, religiosa e linguistica». Già Cass. pen. III, n. 30134/2004, in relazione all'art. 167 cod. privacy nella formulazione allora vigente, facendo cenno sistematico a «gli interessi protetti della riservatezza e dell'identità personale», li riconduceva rispettivamente alla «privacy intesa nella duplice valenza positiva e negativa quale libertà di escludere l'indiscriminato accesso di terzi ai dati personali e libertà di garantire all'interessato il controllo della correttezza e non eccedenza del trattamento al fine di salvaguardare l'identità personale». Giova soltanto aggiungere, con sensibilità più moderna, che l'identità personale non è l'unico bene protetto e che ormai il diritto di controllo appare essersi spostato (come appare chiaro anche dal Regolamento, cfr. considerando 75 e 85) da un ruolo strumentale di protezione avanzata di altri diritti a vero e proprio bene giuridico in sé oggetto di tutela. Autodeterminazione informativaGiova sottolineare che il diritto di controllo è stato anche inteso, soprattutto in passato, come diritto all'autodeterminazione informativa, che ha costituito il vero perno concettuale della materia de qua fin dagli esordi di una disciplina organica a livello nazionale e internazionale. Secondo le parole di pregevole dottrina (S. Rodotà), l'autodeterminazione informativa esprime il «potere di governare il flusso delle proprie informazioni» (cfr. Rodotà, in GPDP, Discorso di presentazione della Relazione per l'anno 2000 in occasione della proclamazione della Carta di Nizza, oggi Carta UE). Tale potere implica innanzitutto un rapporto ininterrotto tra l'interessato e i suoi dati personali e di conseguenza la pretesa, riconosciuta dall'ordinamento, di avere conoscenza di quel flusso, di afferrarne e seguirne lo sviluppo, di apprenderne e, se del caso, autorizzarne le finalità, saperne i soggetti che lo dirigono e lo ricevono, avere certezza circa la durata complessiva. Già all'indomani del primo recepimento nazionale della dir. 95/46/CE, l'Autorità garante, nella prima relazione annuale al Parlamento, aveva chiaramente misurato il novum normativo rispetto al passato: il testo allora appena introdotto superava definitivamente una concezione statica e di matrice “proprietaria” dei dati personali, in favore di un approccio dinamico, fondato appunto sul potere di controllo dell'interessato. A tal fine, indicava la relazione, era stata preferita dal legislatore una struttura marcatamente procedimentale, che permettesse di gestire il bilanciamento, necessario, con il complesso di diritti, interessi, libertà potenzialmente confliggenti o antagonisti rispetto alla tutela dei dati personali. Il Regolamento rappresenta oggi una prosecuzione e un affinamento di questa impostazione: rende ancora più puntuale e stringente il profilo procedimentale, soprattutto a livello anticipatorio (accountability), e ribadisce il potere conoscitivo e decisionale della persona sui dati che la riguardano, declinandolo in una complessa tessitura che include gli artt. 12-22, 34,77-79, 81 e 82 GDPR. Il potere di «controllo» dell'interessato è peraltro precisato già nei considerando di apertura, cfr. in particolare il 7. Allo stesso modo, il considerando 68, dedicato specificamente al diritto alla portabilità, ne evidenzia la valenza di potenziamento dello spazio già riconosciuto all'autodeterminazione informativa: l'introduzione del nuovo diritto avviene infatti «per rafforzare ulteriormente il controllo [dell'interessato, n.d.a.] sui propri dati». Soprattutto, appaiono decisivi i considerando 75 e 85, che in maniera assolutamente coerente individuano l'esercizio del «controllo» da parte dell'interessato tra i beni che, rispettivamente, devono essere necessariamente inclusi in una valutazione del rischio e che possono essere lesi in conseguenza (danno conseguenza) di un personal data breach. Cfr. GPDP, Relazione al Parlamento per l'anno 1997, 5 maggio 1998, in Camera Dep., Docc. parl., XIII leg., doc. CXXXVI, n. 1, pp. 47-48, in storia.camera.it: «[...] Il legislatore ha previsto forme di protezione differenziata della riservatezza, al fine di contemperarla con interessi pubblici e privati meritevoli di una qualche tutela [...]. Questa differenziazione della tutela dei dati e delle modalità della loro circolazione è collegata al progressivo abbandono dell'originaria matrice “proprietaria” del diritto alla riservatezza, intesa come bene ad uso rigorosamente esclusivo del soggetto, al quale avrebbe dovuto riconoscersi il diritto di estromettere chiunque altro dalla propria sfera privata. Ci si è invece indirizzati verso una protezione di tipo dinamico e procedimentale, che rappresenta il nucleo forte della nuova legge, in base alla quale i trattamenti dei dati sono disciplinati secondo procedure e requisiti corrispondenti ad uno schema tipico [...]. Sotto il profilo procedimentale, il nuovo quadro di trasparenza dell'attività di raccolta dei dati si basa, anzitutto, sugli obblighi di informativa all'interessato e di acquisizione, ove necessario, del consenso, nonché sul “diritto di accesso” che il più delle volte può essere esercitato direttamente nei confronti del soggetto che elabora i dati». Queste considerazioni erano formulate alla luce della dir. 95/46/CE e della sua prima attuazione nazionale con la l. n. 675/1996. Restano tuttavia pienamente valide. Più avanti, Relazione cit., p. 49, a proposito del diritto di controllo dell'interessato, inteso anche in senso proattivo e anticipatorio, si trova un passaggio illuminante: «Tale tempestiva possibilità di controllo determina lo spostamento del fulcro della tutela dei diritti della personalità dal momento della loro possibile lesione a quello, anteriore, del coinvolgimento dell'interessato stesso. Ciò comporta un effetto positivo, sotto almeno due aspetti: a) attraverso il diritto di accesso, rettifica, integrazione e cancellazione dei dati, nonché di opposizione al trattamento “per motivi legittimi”, si raggiunge il risultato di diminuire al minimo il rischio di lesioni; b) conseguentemente, si favorisce un'apprezzabile diminuzione del contenzioso amministrativo e giudiziario». Soprattutto, e questo è decisivo, il coinvolgimento della persona e la sua compartecipazione nel governo dei dati che la riguardano è declinato nel senso di una «redistribuzione di potere sociale e [...] una conseguente trasparenza sociale. Tutto questo può determinare un integrale recupero della “sovranità su di sé”, facendo della pienezza della sfera privata anche la condizione della pienezza della sfera pubblica» (ult. passaggio tratto dal discorso di presentazione della relazione al Parlamento da parte del Prof. S. Rodotà, allora Presidente dell'Autorità garante, in GPDP, 30 maggio 1998 [3528995]). CoE-FRA-EDPS, Manuale europeo in materia di protezione dei dati, 2018, § 1.1.1., p. 20: «In risposta alla necessità di norme specifiche a disciplina della raccolta e dell'utilizzo di informazioni personali, è emerso un nuovo concetto di vita privata, noto in alcune giurisdizioni come diritto all'“autodeterminazione informativa”». Ibidem, nota 1: «La corte costituzionale federale tedesca ha affermato un diritto di autodeterminazione informativa in una sentenza del 1983, Volkszählungsurteil, BVerfGE Vol. 65, pp. 1 e segg.. La Corte ha stabilito che l'autodeterminazione informativa sorge dal diritto fondamentale al rispetto della personalità, protetto dalla costituzione tedesca. In una sentenza del 2017, la Corte EDU ha riconosciuto che l'art. 8 CEDU “prevede il diritto ad una forma di autodeterminazione informativa”. Cfr. Corte EDU, 27 giugno 2017, n. 931/13, Satakunnan Markkinapörssi Oy e Satamedia Oy c. Finlandia, punto 137». Più avanti, pp. 21-22: «Il diritto al rispetto della vita privata e il diritto alla protezione dei dati personali sono strettamente connessi. [...] I due diritti differiscono in termini di formulazione e portata. Il diritto al rispetto della vita privata consiste in un divieto generale di ingerenza, assoggettato ad alcuni criteri di interesse pubblico che possono giustificare l'ingerenza in determinati casi. La protezione dei dati personali è vista come un diritto moderno e attivo, che instaura un sistema di controlli ed equilibri volti a proteggere le persone ogni qualvolta siano trattati i loro dati personali. Il trattamento deve essere conforme agli elementi essenziali della protezione dei dati personali, segnatamente il controllo indipendente e il rispetto dei diritti dell'interessato». Cfr. anche le relative note, cui si rimanda. Declinazioni del controllo nel RegolamentoIn concreto, il complesso dei diritti di controllo riconosciuti alla persona può essere articolato in base a criteri molteplici. Qui di seguito si propone una sistemazione ormai classica, organizzata attorno alle due già dette macrocategorie, “conoscitiva” (controllo-conoscenza) e “di intervento” (controllo-governo). Più in particolare, sono ascrivibili alla prima categoria i diritti di: ricevere informazione su vari aspetti del trattamento e innanzitutto sulla sua stessa esistenza, ossia il diritto all'informativa (artt. 13 e 14); richiedere/ottenere informazioni rilevanti sul trattamento e copia dei dati trattati, vale a dire il diritto di accesso (art. 15). In particolare, benché già assorbiti nei precedenti, giova a tal proposito evidenziare la sussistenza di precisi diritti conoscitivi rispetto al trattamento unicamente automatizzato o anche non unicamente automatizzato, che appaiono di pregio notevole in una fase di ricorso massivo ad algoritmi decisionali. Si tratta rispettivamente del diritto di ottenere informazioni significative sulla logica utilizzata nel caso di decisione significativa unicamente automatizzata, di cui agli artt. 13.2.f), 14.2.g), 15.1.h), e del diritto di «conoscere e ottenere comunicazioni [...] in relazione [...] alla logica cui risponde qualsiasi trattamento automatizzato dei dati e, almeno quando è basato sulla profilazione, alle possibili conseguenze di tale trattamento», enunciato quest'ultimo tuttavia solo al considerando 63 e non incluso nel successivo articolato normativo. Rientrano ugualmente nella nozione di controllo-conoscenza: il diritto di ricevere i dati in un formato strutturato (art. 20); di ricevere informazioni sugli specifici destinatari a cui sono state comunicate rettifiche, cancellazioni, limitazioni del trattamento (art. 19); di ricevere informazione su gravi anomalie incorse nel trattamento, ossia il diritto alla comunicazione di una violazione dei dati (art. 34). L'altra macrocategoria, quella del controllo-governo, vale a dire del potere di vero e proprio intervento, dunque di determinazione e di compartecipazione da parte della persona cui i dati si riferiscono, può avere ad oggetto il trattamento oppure i dati trattati, o entrambi. Esprimono un potere di intervento sui trattamenti i diritti di: autorizzare il trattamento, ossia il diritto al consenso, di cui agli artt. 6, par. 1, lett. a), 9, par. 2, lett. a); di modificare il trattamento, ossia il diritto di limitazione, art. 18; di ottenere il rispetto dell'obbligo del titolare di comunicare le rettifiche, cancellazioni, limitazioni a ciascuno dei destinatari (art. 19). Sono altresì espressioni del controllo come potere di governo e compartecipazione nel trattamento: il diritto di revoca del consenso (art. 7.3); il diritto di opposizione al trattamento (art. 21); il diritto di non essere sottoposti a un trattamento unicamente automatizzato, fatte salve le eccezioni di legge (art. 22); il diritto altresì di ottenere, in alcuni dei casi predetti, un intervento umano, esprimere la propria opinione, contestare la decisione unicamente automatizzata. Sono invece applicazioni del potere di governo e compartecipazione non tanto in relazione al trattamento quanto piuttosto in relazione ai dati personali i diritti di: modificare gli stessi, ossia di rettificarli e integrarli (art. 16); di eliminare i dati personali, ossia il diritto di cancellazione/ oblio (art. 17); di ottenerne la trasmissione in un formato strutturato ad altro titolare (art. 20). Hanno infine ad oggetto sia il trattamento sia i dati personali i diritti alla tutela amministrativa (art. 77) e giudiziaria (artt. 78-80), ivi incluso il diritto al risarcimento del danno (art. 82). La tutela e il risarcimento del danno sono parte essenziale del riconoscimento di un diritto di controllo della persona che, in mancanza, sarebbe completamente teorico e quindi del tutto svuotato di significato. Accrescimento del catalogo dei diritti dell'interessatoRispetto alla disciplina previgente si registra con il Regolamento un accrescimento del catalogo dei diritti dell'interessato. Le novità più cospicue sono rappresentate dal diritto alla portabilità, dall'introduzione di un più definito ambito applicativo del diritto alla limitazione (che sostituisce, nel nome, il diritto di “blocco”, menzionato all'abrograto art. 7.3.b d.lgs. n. 196/2003 e all'art. 12.b dir. 95/46), dagli obblighi di cui all'art. 19, dalla fondamentale garanzia di cui all'art. 34 in tema di personal data breach e dal più completo novero di elementi informativi e conoscitivi nei diritti di informativa-accesso (artt. 13-15). Per il resto, vengono in considerazione pretese già riconosciute nel vigore della dir. 95/46/CE, disciplinate ora in maniera più puntuale e dettagliata, talvolta rimodulate. Vero è tuttavia che sono stati resi assai più cogenti e sono stati precisati alcuni degli obblighi incombenti sul titolare: es. adozione di determinate procedure, rispetto di termini precisi nel riscontro all'interessato, presidiati da sanzione, chiarimento dei criteri di allocazione dei ruoli, introduzione ampia e radicale del principio di responsabilizzazione (accountability), valorizzazione dei codici di condotta e delle certificazioni. È stato cioè rafforzato in modo netto il contesto complessivo di garanzie e procedure da osservare nello svolgimento del trattamento e nel rapporto con l'interessato. BibliografiaBravo, Il principio di solidarietà, in Bravo (a cura di), Dati personali, protezione, libera circolazione e governance - 1. Principi, cap. XIV, Pisa 2023; Pelino, in Bolognini-Pelino-Bistolfi, Il regolamento privacy europeo. Commentario alla nuova disciplina sulla protezione dei dati personali, Milano 2016, cap. IV, 171-175. |
