La riservatezza e le nuove realtà telematiche

I dati personali, in questi ultimi anni, sono divenuti oggetto di grande attenzione da parte di diversi soggetti della società dell’informazione, pubblici e privati. Le informazioni personali, sapientemente processate, sono in grado di rivelare bisogni, orientamenti politici e necessità di ogni genere e prontamente il mercato o la politica, sulla base di esse, si organizzano al fine di trarne profitto ed utilità, anche cedendo a terze parti i dati così selezionati.
Prima di inoltrarci nel percorso della negoziabilità dei dati personali, pare utile soffermarsi più diffusamente sulla nozione di «dato personale» e sul consenso.
Il dato personale è elemento di rappresentazione della identificazione o individualità della persona fisica (informazione). La definizione, per quanto parziale, esprime un contenuto molto esteso, capace di conoscere ogni dettaglio della esistenza di una persona, dal suo concepimento alla sua morte ed anche oltre, alle vicende cioè del post mortem.
Si comprende pertanto, sin da subito, il valore del dato personale, il quale coglie un dato aspetto della vita di una persona, contribuendo a rappresentarla e descriverla. Un numero identificativo, un indirizzo, una tessera sanitaria, un curriculum, una dichiarazione reddituale o più semplicemente un abbonamento o una tessera bibliotecaria: sono «fotografie» che parlano di noi, delle nostre preferenze, delle scelte e dei bisogni correlati.
Il dato personale è sempre esistito ma dal momento in cui esso va ad alimentare un data base entra a far parte di una comunità dall’estensione inimmaginabile ed inizia a circolare liberamente.
Pare opportuno domandarsi, allora, in che modo un dato personale possa «entrare» all’interno di un data base. Talvolta accade per necessità (ad esempio il ricovero in una struttura sanitaria), più spesso per ragioni commerciali (ad esempio l’acquisto di un telefonino, che obbliga il fornitore ad identificare l’acquirente), e sovente – nel tempo attuale – in seguito a una richiesta di registrazione come condizione per fruire di servizi digitali «gratuiti».
In qualunque modo avvenga il trasferimento dei nostri dati personali verso una piattaforma informatica, il risultato è lo stesso: i nostri dati entrano in «circolazione» nella rete globale, protetti dalle leggi nel tempo vigenti.
Tali leggi, diverse in ciascun Paese, alla luce delle Carte dei diritti umani e delle Risoluzioni dell’Onu, dovrebbero prevedere il consenso dell’interessato nel momento in cui vengono trattati da terzi i dati personali, con le sole eccezioni previste per pubblico interesse.
L’istituto del «consenso dell’interessato» è stato una conquista di civiltà inserito nelle Carte dei diritti fondamentali, laddove si pensi che il diritto di riservatezza era estraneo agli ordinamenti giuridici fino alla prima metà del secolo scorso. I diritti della personalità ed i diritti umani erano strenuamente custoditi e dispensati dal Principe ed in seguito dalle leggi fondamentali degli Stati. Tra questi non vi era il diritto di riservatezza perché lo Stato poteva sempre accedere ai fatti della persona.
Finora in dottrina, per il consenso al trattamento dei dati personali, è prevalso lo «schema autorizzativo» comportante la disponibilità per l’interessato della pienezza dei poteri (diritto soggettivo assoluto), primo fra tutti il diritto di revoca con efficacia ex nunc.
A tale diritto si accompagnano il diritto di rettifica, di cancellazione, di opposizione, di limitazione, di integrazione, di portabilità dei dati con obbligo del titolare del trattamento di adottare «tempestivamente» le misure ragionevoli per informare altri titolari del trattamento che stanno trattando i dati, compreso «qualsiasi link, copia o riproduzione», di procedere alla loro cancellazione.
Sì fatti diritti trovano il limite soltanto in altri diritti costituzionali: libertà di espressione, diritto di informazione, obbligo legale, pubblico interesse (cfr. artt. 16, 17 Regolamento).
Invero, in dottrina si dibatte sulla natura e sui contenuti del consenso dell’interessato al trattamento. V’è chi sostiene che detto consenso sia «sì manifestazione di volontà dell’interessato, ma non nel senso che questi trasferisce ad altri un potere che fa capo a sé medesimo, ma nel senso che questi, con il proprio assenso all’altrui attività di trattamento, rimuove un ostacolo o un limite al potere o alla facoltà che l’ordinamento già accorda al titolare del trattamento, in funzione del perseguimento di propri interessi, lecitamente perseguiti». Questa impostazione richiama la «formula riassuntiva» con la quale parte della dottrina identifica i diritti connessi al trattamento dei dati personali.
Come si nota, tale affermazione pone in netto (forse drammatico) conflitto due volontà che costituiscono entrambe esercizio di diritti: l’attività di trattamento, in capo al titolare, e la disponibilità dei dati personali, in capo all’interessato.
Quest’ultima volontà viene posta però in una posizione quasi subalterna, confinata nel ruolo di esecutrice di una fattispecie già completa in tutti i suoi elementi ed a cui viene assegnato il ruolo di «rimozione di ostacolo o limite», laddove l’ostacolo ed il limite altro non è che una «spunta» (sollecitata) su un banner già definito.
Il «consenso» previsto e regolato dal Regolamento e da tutta la normativa europea in materia di protezione di dati personali è apparso però secondo una luce diversa. In particolare, va sempre crescendo nel dibattito dottrinale una «concezione patrimoniale del dato personale», assente nel recente passato, che spinge a configurare un nuovo schema per il consenso, lo «schema obbligatorio», compatibile con una «commercializzazione» del dato personale.
Segnatamente, è stato notato che la normativa europea in materia, quando tratta del consenso, tiene conto, tra l’altro, dell’asimmetria informativa e di poteri esistente tra l’interessato e il titolare del trattamento.
Dinnanzi alla «proposta» di trattamento dei propri dati personali, da parte del titolare o di un suo rappresentante, «l’accettazione» da parte dell’interessato deve essere «libera, specifica, informata, inequivocabile» (considerando n. 32 Regolamento).
Da quest’angolo visuale sono stati osservati anche i requisiti di forma. Difatti il Regolamento stabilisce che è «opportuno prevedere una dichiarazione di consenso predisposta dal titolare del trattamento in una forma comprensibile e facilmente accessibile, che usi un linguaggio semplice e chiaro e non contenga clausole abusive». E sempre nella medesima prospettiva è stato osservato il considerando n. 42 del Regolamento, secondo cui il consenso «non dovrebbe essere considerato liberamente prestato se l'interessato non è in grado di operare una scelta autenticamente libera o è nell'impossibilità di rifiutare o revocare il consenso senza subire pregiudizio». A riguardo il Regolamento fa espresso riferimento alla Direttiva n. 93/13/CEE del Consiglio del 5 aprile 1993, concernente le clausole abusive nei contratti stipulati con i consumatori.
Tutte queste previsioni, dunque, sono apparse in grado di giustificare una differente lettura del consenso, secondo la categoria del negozio.
I caratteri del consenso espressi dal Regolamento sono tuttavia inequivocabilmente quelli correlati alla piena titolarità di diritti della persona che non sono mai stati (né avrebbero potuto essere) ceduti a chicchessia. Ciò nonostante, nel corso di questi ultimi anni i dati personali, come si accennava, sono diventati una merce di scambio a causa del loro valore, divenuto sempre più consistente sul mercato. I dati personali costituiscono la materia principale di ogni indagine di mercato, al fine di impostare qualunque business plan; essi comunicano i bisogni che l’impresa sarà chiamata ad attivare. Anche le Autorità pubbliche sono interessate a tali indagini per individuare e programmare i servizi pubblici essenziali.
Cosicché le imprese hanno cominciato ad offrire servizi digitali, in cambio del consenso al trattamento dei dati personali dell’utente o del contraente.
Gli utenti «forniscono» alle imprese un servizio (i loro dati personali) e da queste vengono remunerate con dei servizi digitali.
Apparentemente il ruolo delle parti nel rapporto negoziale sembra capovolgersi: l’acquirente diventa offerente e viceversa.
Occorre pertanto approfondire tale rapporto per coglierne tutte le implicazioni giuridiche.
La dottrina che sostiene l’ammissibilità dello «scambio di dati personali» nei contratti di fornitura di servizi digitali, dichiara apertamente che «nella circolazione onerosa dei dati personali, il principio della forza di legge del contratto cede il passo all'esigenza di mantenere in capo al soggetto il potere di autodeterminarsi in relazione agli attributi della propria personalità».
Altra dottrina, difforme, rileva invece che: «Affermando la natura aquiliana dei danni derivanti dal trattamento si afferma altresì, implicitamente, che la disponibilità del dato non si basa su di un atto negoziale avente ad oggetto il bene-informazione, bensì, secondo la costruzione tradizionale, su un atto unilaterale di tipo autorizzativo. Vi sarebbe altresì una «terza via», oltre l’alternativa netta fra consenso avente effetto traslativo, o costitutivo, e consenso avente natura meramente autorizzativa; si tratta, in particolare, di una prospettiva ispirata ad una concezione «procedimentale» del consenso.
Le situazioni patrimoniali, nelle considerazioni esposte, sembrano voler prevalere sui diritti della persona, tenuto conto comunque che già il diritto europeo tutela il mercato interno (e l’impresa) in ogni modo. Una concezione «proprietaria» sembra sin qui emergere nel trattamento riservato ai diritti della persona.
Sorge quindi la necessità di un bilanciamento di interessi fra le parti nella ricerca di regole reciprocamente vantaggiose, certamente utili per il rafforzamento della fiducia nel mercato comune europeo e per l’affermarsi di pratiche commerciali corrette nel commercio globale, forse oggi troppo spesso, affidate alla sola «lex mercatoria».
Il principio di autodeterminazione informativa, espressione dell’autonomia privata e dei diritti della persona, trova da sempre nel nostro ordinamento il limite dell’«ordine pubblico», clausola generale che racchiude i principi ed i valori irrinunciabili su cui l’ordinamento stesso si regge ed è costruito. Per comprendere entro quali limiti l’interessato può fare valere i propri diritti occorre pertanto, sinteticamente, richiamare la categoria del diritto soggettivo, «costituito da un potere, attribuito alla volontà del soggetto e garantito dall’ordinamento giuridico, per conseguire il soddisfacimento dei propri interessi. Gli elementi costitutivi sono pertanto due: interesse e volontà». Tale definizione sarebbe insufficiente se non completata dalla necessaria considerazione che:
«La tutela della persona richiede però non soltanto una funzione negativa di protezione e repressione nei confronti di terzi, ma una funzione attiva di promozione del soggetto perché a «tali fini appare strumentale il diritto soggettivo».
Il trattamento dei dati personali rientra certamente nella nozione di diritto soggettivo in quanto attua e realizza lo sviluppo della persona. Se è vero che lo “scambio” di dati personali può essere necessario per realizzare i più svariati interessi, è altrettanto vero che l’interessato debba essere talvolta protetto da illecite ed «accattivanti» ingerenze che lo stesso soggetto non è in grado di percepire.
Il valore e la promozione della persona umana emergono costantemente nella Costituzione e pertanto non si potrà prescindere da una interpretazione assiologica, costituzionalmente orientata, del GDPR.