Privacy by design e contenzioso

Mai forse come nel settore dell'informatica, ed in particolare dell'informatica giuridica, il legislatore si è trovato a dover rincorrere il rapido evolversi della realtà fattuale, la vera e propria “valanga” di opere dell'ingegno umano, che hanno travolto il nostro vivere quotidiano in modo così improvviso, rapido, capillare e a basso costo.

In questo contesto, il ruolo dell'interprete assume un'importanza chiave, dovendo, sulla base dei principi dell'ordinamento nazionale e sovranazionale posti a tutela del vivere civile, trovare un equilibrio e un giusto contemperamento tra le esigenze del progresso scientifico e della conoscenza da un lato, e la tutela del singolo e dei suoi dati personali, dall'altro.

L'esatta collocazione temporale degli eventi, dell'evolversi della realtà fattuale e della normativa di riferimento può essere di aiuto in quest'opera ermeneutica. Risalendo nel tempo, era l'anno 1950, quando nella Convenzione Europea dei diritti dell'uomo, nell'ambito del titolo I «Diritti e libertà», veniva prescritto il «Diritto al rispetto della vita privata e familiare», dopo i tragici orrori della seconda guerra mondiale.

Ma dopo poco più di quarant'anni, una sorta di “rivoluzione” nella comunicazione, avrebbe costretto il legislatore a doversi occupare della tutela di altri diritti. All'inizio degli anni ‘90 sarebbe iniziata una svolta che avrebbe portato ad una rivoluzione senza precedenti nel modo di comunicare, forse paragonabile alla diffusione della stampa a caratteri mobili di Guttenberg del 1455: la comunicazione via rete.

Dopo vari tentativi, nell'anno 1991, faceva capolino il primo sito web on line, creato da Tim Berners Lee del CERN di Ginevra e da lì veniva dato vita al protocollo HTTP (HyperTexs Transfer Protocol) a alla creazione del W3Catagol, che venne poi ritirato. Negli anni successivi si sarebbe assistito a un susseguirsi di tentativi e lanci dei motori di ricerca, fino ad arrivare al lancio di Yahoo e nell'anno 1998 al lancio di Google.

I traguardi e la capillarità della diffusione della rete, cui si potè assistere a partire dall'anno 2000, non avrebbero più avuto limite:

• nel 2000 - Google annunciava un web index da 1 miliardo di URL, che ne faceva il motore di ricerca più potente al mondo;
• nel 2001 utilizzava 26 lingue e raggiungeva 3 miliardi di URL;
• nel 2004 Google arrivava a 8 miliardi di contenuti indicizzati, nel 2005 iniziava il servizio Google Maps;
• nel 2006 Google parlava in 40 lingue, nel 2007 aveva inizio la navigazione immersiva;
• nel 2008 venivano raggiunti 1 trilione di pagine indicizzate.

I colossi del web Google, Yahoo, Bing e Baidu per l'Asia si contendono oggi gli utenti in una dimensione mondiale senza più confini.

Questa rivoluzione costringeva a riempire di nuovi significati e a declinare in una dimensione nuova il concetto di “transfrontaliero” nell'Unione Europea. A fronte di questa vera e propria “esplosione” di comunicazione e connessione via rete, anche gli ormai “vecchi” principi della libera circolazione delle merci, delle persone e dei capitali, avevano bisogno di aggiornamento.

Ed ecco che nell'anno 1995, vedeva la luce la Direttiva 95/46/CE del 24 ottobre 1995 relativa alla tutela delle persone fisiche con riguardo al trattamento dei dati personali, nonché alla libera circolazione di tali dati composta di 34 articoli, con la presa d'atto, tra i considerando, che «l'integrazione economica e sociale derivante dall'instaurazione e dal funzionamento del mercato interno ai sensi dell'art. 7 del trattato comporterà necessariamente un sensibile aumento dei flussi transfrontalieri di dati personali tra tutti soggetti della vita economica e sociale degli Stati membri..».

Nell'anno 2007 (12 dicembre), la Carta dei diritti fondamentali dell'Unione Europea si trovava espressamente a statuire al capo II, denominato Libertà, con l'art. 7 il Rispetto della vita privata e della vita familiare e con l'art. 8 la Protezione dei dati di carattere personale.

Nell'anno 2009 (1 dicembre) con l'entrata in vigore del trattato di Lisbona, all'art. 16 p.1 del trattato sul funzionamento dell'Unione Europea (“TFUE”), veniva statuito che «Ogni persona ha diritto alla protezione dei dati di carattere personale che la riguardano».

Si arriva all'anno 2016, ove vede la luce il Reg. (UE) 2016/679 del Parlamento Europeo e del Consiglio del 27 aprile 2016 relativo alla protezione delle persone fisiche con riguardo al trattamento dei dati personali, nonché alla libera circolazione di tali dati, che abroga la Direttiva 95/46/CE (regolamento generale sulla protezione dei dati), Regolamento entrato in vigore il 24 maggio 2016 (venti giorni dopo la data di pubblicazione in GU del 4 maggio 2016) e che si applicherà dal 25 maggio 2018.

Nel contesto cui sopra si accennava, nell'anno 2003 veniva emanato in Italia il d.lgs. 30 giugno 2003 n. 196 - Codice in materia di protezione dei dati personali.

Nel d.lgs. 30 giugno 2003 n. 196 veniva indicato, tra i principi generali, il principio della necessità del trattamento dei dati (art. 3 Principio di necessità nel trattamento dei dati: «I sistemi informativi e i programmi informatici sono configurati riducendo al minimo l'utilizzazione di dati personali e di dati identificativi, in modo da escluderne il trattamento quando le finalità perseguite nei singoli casi possono essere realizzate mediante, rispettivamente, dati anonimi od opportune modalità che permettano di identificare l'interessato solo in caso di necessità»).

A partire da metà degli anni ‘90, di pari passo con l'avanzare delle connessioni e dei motori di ricerca, a livello internazionale si era iniziato a guardare sotto altri punti di vista la privacy, con nuove direttive riguardo alle cosiddette PET (Privacy Enhancing Technologies), ossia tutte quelle tecnologie utili ad accrescere la protezione dei propri dati personali.

La svolta di principio avvenne però nell'anno 2010 quando, alla trentaduesima Conferenza Mondiale dei Garanti sulla privacy, venne adottata la storica risoluzione in materia di Privacy by Design (PbD), rendendo ufficiale un concetto coniato in Canada e negli USA.

Secondo i principi della teoria del “Privacy by Design”, l'utente è considerato il centro del sistema “privacy”, e qualsiasi progetto (sia strutturale sia concettuale) va realizzato considerando dalla progettazione (appunto by design) la riservatezza e la protezione dei dati personali. Con la PbD si assiste a un cambiamento e un'evoluzione della privacy, richiedendo un nuovo approccio per garantire una migliore protezione dei dati personali.

Per quanto attiene in particolare la normativa sul trattamento dei dati in ambito giudiziario, in Italia veniva inserito nel codice in materia di trattamento dei dati personali, uno specifico Titolo (trattamento in ambito giudiziario), nella parte seconda dedicata a Disposizioni relative a specifici settori, ove, al capo III (informatica giuridica), vi sono due articoli riguardanti i principi generali e i dati identificativi degli interessati

In particolare all'art. 52 del d.lgs. 30 giugno 2003 n. 196, veniva concessa facoltà all'interessato di attivarsi con una specifica istanza, che deve contenere “motivi legittimi”, se desidera che il suo nome venga anonimizzato, chiedendo l'annotazione in calce alla sentenza volta a precludere, in caso di riproduzione della sentenza o provvedimento in qualsiasi forma, per finalità di informazione giuridica su riviste giuridiche, supporti elettronici o mediante reti di comunicazione elettronica, l'indicazione delle generalità e di altri dati identificativi del medesimo interessato riportati sulla sentenza o provvedimento.

Nel complesso scenario e nei difficili equilibri tra funzione giurisdizionale, lunghezza dei procedimenti ed arretrato, condanne della CEDU nei confronti dell'Italia da un lato e inizio del funzionamento del PCT dall'altro, nell'anno 2014, il 6 ottobre, il Presidente del Garante per la protezione dei dati personali, Dott. Antonello Soro, inviava al primo Presidente della Corte di Cassazione, Dott. Giorgio Santacroce, una lettera in merito «alla pubblicazione integrale sul web delle sentenze pronunciate dalla Corte di Cassazione e protezione dei dati personali» in quanto, collegandosi al sito della Corte di Cassazione, era stato istituito il servizio “sentenze Web” pubblico, aperto a tutti i cittadini, senza registrazioni, chiavi di accesso o altro, per la consultazione delle sentenze edite dalla Suprema Corte, con tutti i nomi delle parti “in chiaro”.

Il Garante, richiamando il noto caso analizzato dalla Corte di Giustizia C-131/12 deciso con sentenza il 13 maggio 2014 (Google-Spain) esprimeva le proprie preoccupazioni per il mancato oscuramento dei dati personali contenuti nelle sentenze, che espongono al rischio di indicizzazione, decontestualizzazione e magari di alterazione dei dati stessi, suggerendo di espungere dai provvedimenti i dati identificativi. Il Garante concludeva auspicando un confronto sul tema.

Il servizio “sentenze Web” della Suprema Corte è attualmente fruibile e aggiornato, con una banca dati con i nomi “in chiaro”, non avendo la Suprema Corte modificato la propria impostazione.

Nel frattempo, nel corso dell'anno 2015 vedeva la luce in Italia la l. 7 agosto 2015 n. 124 in materia di riorganizzazione delle Amministrazioni pubbliche, che all'art. 1, si occupava delle modifiche e integrazioni del Codice dell'Amministrazione digitale. Nello schema di decreto legislativo conseguente, si proponeva la modifica del codice della privacy, aggiungendo all'art. 52, il comma 4-ter del seguente tenore:

«Le sentenze e le altre decisioni rese dall'autorità giudiziaria successivamente al 1 gennaio 2016 sono pubblicate sui siti Internet istituzionali delle autorità che le hanno emanate, su quelli di terzi e in qualsiasi forma, per finalità di informazione giuridica su riviste giuridiche, supporti elettronici o mediante reti di comunicazione elettronica, previa anonimizzazione dei dati personali in esse contenuti, fatti salvi quelli dei giudici e degli avvocati».

Nel frattempo il 17 marzo 2016, il Garante per la protezione dei dati personali, Dott. Antonello Soro, con una lettera indirizzata al Presidente della Camera arbitrale per i contratti pubblici presso l'ANAC, in merito alla “Pubblicazione nel sito internet dell'ANAC dei lodi arbitrali depositati presso la Camera arbitrale per i contratti pubblici” indicava che la pubblicazione dei lodi volta all'informazione giuridica potrà legittimamente avvenire previo oscuramento dei dati che consentano di individuare le persone coinvolte, in base al principio di proporzionalità.

Tuttavia, nel maggio 2016, il Consiglio di Stato nell'adunanza della Commissione speciale dell'11 maggio 2016 con riferimento allo schema di decreto legislativo recante modifiche e integrazioni al Codice dell'amministrazione digitale, (ai sensi dell'art. 1 della l. 7 agosto 2015 n. 124 in materia di riorganizzazione delle Amministrazioni pubbliche), così si esprimeva:

«La Commissione speciale, inoltre, ritiene di esprimere il proprio favorevole avviso sulla decisione, assunta dall'Amministrazione, di procedere a una nuova valutazione in merito alla compatibilità di quanto disposto dall'art. 62, comma 5, lettera b) del decreto - relativo alla “anonimizzazione” dei dati personali contenuti nelle sentenze e negli altri atti dell'autorità giudiziaria - con i criteri di delega recati dall'art. 1 della l. n. 124 del 2015, «in vista di una eventuale espunzione” della disposizione de qua dall'articolato. E ciò nella considerazione che la generalizzata “anonimizzazione” delle decisioni dell'autorità giudiziaria, svincolata da una valutazione caso per caso da parte degli organi giudicanti già prevista dalla vigente normativa, potrebbe comportare - come esposto nel parere interlocutorio in epigrafe - un “ingiustificato” appesantimento dell'attività amministrativa connessa con l'esercizio della funzione giurisdizionale, con conseguenti effetti negativi sull'efficacia e sulla speditezza della stessa».

Nell'ambito della realizzazione di uno spazio di libertà, sicurezza e giustizia e di un'unione economica, il Reg. (UE) 2016/679, entrato in vigore il 24 maggio 2016 e applicabile dal 25 maggio 2018, entra nel solco della normativa che vuole dotare l'Unione di uno strumento volto al progresso economico e sociale, al rafforzamento e alla convergenza delle economie nel mercato interno e al benessere delle persone fisiche.

Si legge tra i considerando che il diritto alla protezione dei dati va considerato alla luce della sua funzione sociale e deve essere contemperato con altri diritti fondamentali alla luce del principio di proporzionalità.

Il dato di fatto è l'aumento dei flussi transfrontalieri dei dati personali, in quanto la tecnologia ha trasformato l'economia e le relazioni sociali e dovrebbe facilitare ancora di più la libera circolazione dei dati personali, garantendo al tempo stesso un elevato livello di protezionedei dati, creando un clima di fiducia che consentirà lo sviluppo dell'economia digitale in tutto il mercato interno.

La direttiva 95/46/CE non aveva impedito né la frammentazione dell'applicazione della protezione dei dati personali nel territorio dell'Unione, né tantomeno aveva eliminato l'incertezza giuridica o la percezione, largamente diffusa nel pubblico, che in particolare le operazioni online comportassero rischi per la protezione delle persone fisiche. Inoltre, trattandosi di Direttiva, la compresenza di diversi livelli di protezione dei diritti e delle libertà delle persone fisiche, in particolare del diritto alla protezione dei dati personali, con riguardo al trattamento di tali dati nei vari Stati membri, avrebbe potuto ostacolare la libera circolazione di tali dati sensibili all'interno dell'Unione, con differenze che avrebbero potuto ostacolare la concorrenza.

Nel nuovo Reg. (UE) 2016/679, nel considerando n. 85, vengono esemplificati i danni potenziali causati da una violazione dei dati personali, quali ad esempio, perdita del controllo dei dati personali, discriminazione, furto o usurpazione d'identità, perdite finanziarie, decifratura non autorizzata della pseudonimizzazione, pregiudizio della reputazione, perdita di riservatezza dei dati personali protetti da segreto professionale o qualsiasi altro danno economico o sociale significativo per la persona fisica interessata.

Nell'ambito dell'analisi del rischio, inoltre, sempre nei considerando del Regolamento, si legge che si dovrebbe utilizzare una valutazione oggettiva mediante cui si stabilisce, se i trattamenti di dati comportano un rischio o un rischio elevato.

La probabilità e la gravità del rischio per i diritti e le libertà dell'interessato dovrebbero essere determinate con riguardo alla natura, all'ambito di applicazione, al contesto e alle finalità del trattamento.

Per quanto attiene in particolare l'attività giurisdizionale, il Regolamento si sofferma al considerando n. 20 con la seguente riflessione: «(20) Sebbene il presente regolamento si applichi, tra l'altro, anche alle attività delle autorità giurisdizionali e di altre autorità giudiziarie,il diritto dell'Unione o degli Stati membri potrebbe specificare le operazioni e le procedure di trattamento relativamente al trattamento dei dati personali effettuato da autorità giurisdizionali e da altre autorità giudiziarie. Non è opportuno che rientri nella competenza delle autorità di controllo il trattamento di dati personali effettuato dalle autorità giurisdizionali nell'adempimento delle loro funzioni giurisdizionali, compreso il processo decisionale», proseguendo nell'affermare che:

«Si dovrebbe poter affidare il controllo su tali trattamenti di dati ad organismi specifici all'interno del sistema giudiziario dello Stato membro, che dovrebbero in particolare assicurare la conformità alle norme del presente regolamento, rafforzare la consapevolezza della magistratura con riguardo agli obblighi che alla stessa derivano dal presente regolamento ed esaminare i reclami in relazione a tali operazioni di trattamento dei dati».

Come indicato, il Regolamento sarà direttamente applicabile dal 25 maggio 2018.

Nel Quadro di valutazione EU sulla Giustizia Europea per l'anno 2015 stilato dalla Commissione dell'Unione Europea (The 2016 EU justice scoreboard) è stata presa in considerazione anche l'anonimizzazione delle sentenze.

Si riporta qui di seguito il grafico pubblicato a seguito della raccolta dei dati.

Grafico 26: disposizioni per la pubblicazione online delle sentenze di tutti i gradi di giudizio* cause civili/commerciali e amministrative (fonte: Commissione europea)

* Per ciascun grado di giudizio (primo, secondo e terzo) possono essere assegnati due punti se sono contemplate le cause civili/commerciali e amministrative. Se è contemplata una sola categoria (cioè solo civile/commerciale o amministrativa) è assegnato soltanto un punto per grado di giudizio. In alcuni Stati membri (IE, MT, EE), i giudici decidono dell'anonimato delle sentenze. IE: sono rese anonime le sentenze riguardanti il diritto di famiglia e l'assistenza dei minori, così come determinati procedimenti di altra natura per cui l'anonimato è previsto per legge. MT: sono rese anonime tutte le cause in materia di famiglia. DE: nella maggior parte degli Stati federali è pubblicata online una selezione di sentenze, in alcuni è prevista un'identificazione delle sentenze con parole chiave, mentre presso la Corte costituzionale federale, la Corte amministrativa federale e la Corte federale del lavoro è in atto il sistema dell'ECLI (l'identificatore europeo della giurisprudenza). IT: le sentenze di primo e secondo grado nelle cause civili/commerciali sono accessibili online solo per le parti interessate. RO: la consultazione pubblica online delle sentenze è stata introdotta nel dicembre 2015 e le decisioni vengono caricate gradualmente, risalendo sino al 2007.

Anche il Gruppo Europa dell'Osservatorio sulla Giustizia civile del Tribunale di Milano, nell'anno 2016, ha condotto un'indagine a livello europeo per verificare il comportamento delle altre Autorità giurisdizionali, con un'analisi complessa, di cui si indica di seguito un'estrema sintesi, per quanto attiene gratuità e pubblicità della banca data di raccolta delle sentenze civili e l'anonimizzazione dei dati.

Per procedere ad un'analisi per quanto riguarda il contesto italiano, occorre analizzare tutto il sistema processuale nel suo complesso, senza considerare il solo l'elemento finale, avulso dal contesto generale.

Ed in questo senso le parole del Primo Presidente della Cassazione, Dott. Giovanni Canzio, alla cerimonia di apertura dell'anno giudiziario, risultano emblematiche: «Orbene, se - com'è noto - la forza del “precedente” è inversamente proporzionale al numero dei precedenti formati in ordine all'analoga questione, va rimarcato, ancora una volta, che il divario quantitativo dei ricorsi trattati e decisi dalla Corte italiana rispetto alle Corti Supreme di ogni altro Paese europeo ha assunto (s)proporzioni strabilianti, vorrei dire mostruose, sì da rendere incomparabile la nostra esperienza giudiziaria con quella delle altre Corti».

«Non ci si deve poi stupire se la qualità della giurisdizione di legittimità rischia di scadere, com'è reso palese dal moltiplicarsi dei contrasti interni e dalla scarsa incidenza, sul flusso dei ricorsi, dei pur significativi principi di diritto affermati dalla Corte.» «La Cassazione non riesce a esercitare efficacemente la funzione nomofilattica, a costruire “isole di ordine” (M. TARUFFO) o di uniformità, sufficientemente solide e idonee a dissipare il “disordine entropico” del mondo reale dell'esperienza giuridica e ad assicurare alla complessità del sistema una pur limitata e provvisoria stabilità».

«Orbene, se tutti gli sforzi compiuti negli ultimi anni, obiettivamente significativi e imponenti, non si sono tuttavia rivelati decisivi, che fare per contrastare il progressivo slittamento di una Corte “del precedente” verso il più modesto ruolo di “Corte di revisione o di terza istanza”, non funzionale all'interesse generale della collettività nell'ottica del principio di uguaglianza?».

E questa sembra la domanda essenziale da porre in concorrenza e bilanciamento con il principio della tutela dei dati personali.

La necessità di creare precedenti chiari e decifrabili, nelle loro infinite sfumature, risulta indispensabile.

Il “caso italiano”, così patologico, per la quantità di processi pendenti, vive di sfumature; principi generici ed astratti, avulsi dal caso di specie (che si vuole il più particolareggiato possibile), probabilmente non appagherebbero la richiesta di giustizia del singolo.

Parlare di “Privacy by Design” è necessario e indispensabile, ma nell'asse cartesiano sussistono due variabili: i costi e i tempi di attuazione. Peraltro, la struttura processuale va analizzata nel suo complesso e non solo nella parte finale della sentenza, ove peraltro il rimedio è già previsto, essendo prevista ex lege una tutela a garanzia della riservatezza dei dati su richiesta del singolo (art. 52 d.lgs. n.196/2003).

Lo stesso art. 25 del Reg. EU 2016/679, che alcuni invocano quale manifesto della Privacy by Design e by default, dal titolo «Protezione dei dati fin dalla progettazione e protezione per impostazione predefinita» esordisce contestualizzando il principio e inserendo proprio all'inizio dell'articolo, dei distinguo (comma 1, «Tenendo conto dello stato dell'arte e dei costi di attuazione, nonché della natura, dell'ambito di applicazione, del contesto e delle finalità del trattamento..»); su questo terreno si aprirà il dibattito, consci, però, che la discussione non riguarderà solo il bilanciamento di rilevanti principi quali la prevedibilità delle decisioni e la tutela della riservatezza, ma assurgerà ad un piano ancora più alto, quello della funzione della giurisdizione.