a cura del Professor Avvocato Roberto De Vita, dell’Avvocato Antonio Laudisa e del Dottor Marco Della Bruna – La crescente (e almeno apparente) attenzione riservata negli ultimi anni alla privacy non è stata sufficiente per generare un interesse genuino nei confronti della protezione dei dati personali: la data protection viene ancora confusa o sovrapposta con la riservatezza in senso stretto e, in ogni caso, è tuttora sottovalutata o, perfino, ignorata.
Ogni giorno dichiariamo, infatti, di comprendere lunghe informative sul trattamento di dati personali (o, addirittura, prestiamo il consenso a che questo avvenga), senza interessarci di cosa accadrà concretamente a tutte quelle informazioni che, se non trattate correttamente, potrebbero un domani consentire a uno sconosciuto di effettuare degli acquisti con il nostro account Amazon o, addirittura, di svuotare il nostro conto corrente.
Per cogliere pienamente l’importanza della data protection è necessario, pertanto, analizzare anzitutto la fondamentale differenza che sussiste rispetto al semplice (e forse abusato) concetto di tutela della privacy. Il principale portatore di tale distinzione è il GDPR, che sintetizza ed evidenzia la necessaria compresenza dei due diritti (e dei relativi strumenti di tutela): tuttavia, nonostante l’approvazione del Regolamento sia avvenuta nel 2016, manca ancora un pieno recepimento delle sue implicazioni, sia da parte degli operatori che gestiscono i dati, sia da parte degli utenti che li cedono. Nella società digitale, infatti, non si può parlare di privacy senza avere ben chiaro cosa sia (e a cosa serva) la data protection.
Una importante distinzione. La diversità di tutela offerta dal diritto alla privacy e dal diritto alla protezione dei dati personali non consiste in un tecnicismo per pochi professionisti, ma richiede l’attenzione di chiunque viva, si relazioni e agisca nel mondo esterno, specialmente nell’attuale società digitale.
Ricorrendo a un esempio evocativo, per scongiurare il rischio di incendio in un edificio è sicuramente utile individuare e chiarire a tutti i comportamenti da tenere e quelli da evitare: per esempio tramite l’affissione dei cartelli che avvisino del pericolo di utilizzo di fiamme libere (privacy).
Tuttavia, ciò non può fermare le fiamme o, ancora, garantire la sicurezza di tutti qualora vi sia un principio di incendio: per questo sarà necessario dotarsi di piani di evacuazione, estintori, uscite di sicurezza (data protection).
In altre parole, il diritto alla privacy consente di rivendicare l’esclusiva disponibilità di informazioni più o meno sensibili che ci appartengono e, conseguentemente, di decidere se e quando condividerle; in altri termini, ci consente, innanzitutto, di escludere o limitare l’accesso al nostro patrimonio di dati e informazioni a soggetti terzi (l’equivalente dell’affissione di cartelli antincendio, oppure, del divieto di accesso a specifici luoghi dell’edificio, se non da parte di personale autorizzato).
Tuttavia, una volta che le informazioni vengono cedute a qualcun altro, la privacy (intesa come astratta garanzia del ricevente che quei dati non saranno, ad esempio, divulgati o ceduti a terzi) da sola non basta a proteggerci: non è sufficiente brandire i nostri cartelli antincendio (come le informative ricevute o le limitate autorizzazioni rilasciate) per essere sicuri che le fiamme non ci colpiranno.
Al contrario, le concrete modalità di salvaguardia e tutela delle informazioni da parte dei soggetti a cui le abbiamo cedute potranno scongiurare il rischio di divulgazione, distruzione, dispersione dei nostri dati: la data protection ci consente di conoscere con quali mezzi e con che prontezza si reagirà per scongiurare un potenziale incendio ed i relativi danni.
Fuor di metafora, la tutela della nostra sfera privata da intrusioni (e operazioni) illegittime o non autorizzate è importante tanto quanto la protezione di quei dati che, comunicati o ceduti volontariamente e/o legittimamente, necessitano di mezzi giuridici e tecnici perché la cessione informativa sia governata e, quindi, sicura.
Ogni individuo, infatti, dispone di informazioni che appartengono alla propria sfera privata, dall’indirizzo di casa fino al numero della carta di credito, da non condividere con chiunque, al fine di tutelarsi contro un’eccessiva e potenzialmente pericolosa esposizione. Alcune di queste informazioni, pur difese dal diritto alla privacy, possono e devono essere utilizzate da chi le possiede per compiere numerosi gesti quotidiani: per acquistare un prodotto online, ad esempio, è necessario comunicare un metodo di pagamento e un indirizzo di spedizione. Di conseguenza, la tutela non si può esaurire nella firma di un’informativa: il soggetto che riceve i dati non ne può garantire il corretto utilizzo solo tramite l’impegno a usarli ai fini esclusivi del servizio che svolge. Al contrario, quest’ultimo deve garantirne (in concreto) la modalità e le regole di detenzione, trasferimento e conservazione.
Con l’avvento del Regolamento (UE) 2016/679 (GDPR) nel 2016 e la sua entrata in vigore nel 2018, è stata consacrata l’importanza che deve rivestire la protezione del dato acquisito e trattato, più che la semplice esclusione dell’estraneo dall’accesso alle informazioni: il GDPR ha tracciato la strada da seguire, sancendo la forte interdipendenza tra i due ambiti di protezione, in astratto e in concreto, parimenti necessari.
La data protection, come delineata in tale Regolamento, è ben più adatta della privacy in senso stretto a tutelare il modo in cui oggi utilizziamo le informazioni che ci riguardano. Da un lato stabilisce quali siano in astratto le garanzie necessarie perché sia accettabile la comunicazione dei propri dati, dall’altro individua i mezzi giuridici e tecnici idonei per proteggere i dati in concreto.
Infatti, non è più sufficiente parlare di tutela della privacy senza prendere in considerazione la protezione procedurale, fisica e tecnica dei dati, che affidiamo a soggetti che possono essere non attrezzati per tutelarci o, banalmente, non averne interesse.
Tramite la reale ed effettiva data protection, gli individui sono “protetti” tanto dai grandi player del mercato globale (che hanno a disposizione grandi masse di dati), quanto da piccole imprese e professionisti, che espongano i dati dei loro clienti a dispersioni o danneggiamenti.
Tuttavia, nonostante le più piccole attività quotidiane che implicano la cessione dei dati siano in grado di mettere a repentaglio la sicurezza degli interessati, i comportamenti individuali degli utenti non dimostrano di tenerne conto.
Ad esempio, uno studio di Google [1], evidenzia come molte persone utilizzino come password per i propri account informazioni personali, le stesse spesso fornite per potersi registrare a numerosi servizi. Da una semplice data di nascita, quindi, potrebbe essere ottenuto un codice fiscale più facilmente, o un accesso all’indirizzo e-mail comunicato alla propria banca.
A fronte della delicatezza dell’utilizzo dei propri dati o della gestione dei dati altrui, non sembra che sia avvenuto un rilevante adeguamento nei comportamenti quotidiani degli utenti dall’approvazione del GDPR ad oggi. Ancora più preoccupante è il comportamento dei titolari del trattamento dei dati, che mostrano troppo spesso di sottovalutare o ignorare la propria responsabilità in tema di data protection.
L’Ordinamento unitario. Dal punto di vista strettamente normativo, è necessario fare riferimento ai principi e alle norme dell’Unione europea per cogliere la distinzione tra privacy e data protection. Infatti, la protezione della privacy, per quanto ci riguarda più da vicino, si è evoluta ed ha raggiunto una maturità disciplinare nell’alveo della normativa comune dell’Unione, adattandosi sulla base delle esigenze mutevoli di tutela degli interessati.
La prima distinzione tra i due concetti può essere rinvenuta nella Carta dei diritti fondamentali dell’Unione europea. Gli articoli 7 e 8, infatti, distinguono tra il “Rispetto per la vita privata e familiare” da un lato e la “Protezione dei dati personali” dall’altra [2].
La vita privata e familiare, come ivi descritta, rappresenta il concetto di privacy come normalmente lo intendiamo e come è stato elaborato, in particolare, dalla dottrina statunitense: il diritto ad essere lasciati soli, un diritto negativo da opporre contro le interferenze altrui [3].
Diversamente, la protezione dei dati personali configura un diritto positivo che attiene ai processi di trattamento, accesso e sicurezza degli stessi. Ciò che si deve tenere presente, tuttavia, è che il dibattito sulla privacy odierna riguarda quasi sempre il trattamento di dati personali come definiti dalle normative europee e da ciò si genera la confusione. Infatti, vi possono essere individuate differenti definizioni di privacy e data protection, a seconda del contesto culturale e ordinamentale [4].
La giurisprudenza della Corte di Giustizia dell’Unione europea e della Corte EDU ha contribuito a delineare con più precisione i due concetti, cercando di portare maggiore chiarezza in un panorama normativo che, prima del GDPR, non permetteva una facile distinzione.
Il rispetto della vita privata di cui all’articolo 7 della Carta viene interpretato dalle Corti come “riferito ad ogni informazione relativa ad una persona fisica identificata o identificabile” [5], a patto che si tratti di informazioni che incidono sulla vita privata dell’individuo [6].
Tuttavia, non tutti i dati considerati meritevoli di tutela rientrano nelle informazioni previste dall’articolo 7, dalla vita privata fino alle comunicazioni. È la definizione di dato personale contenuta nel GDPR a permetterci di comprendere ulteriormente come l’ambito di applicazione dell’articolo 8 della Carta sia differente. Infatti, quest’ultimo fa riferimento alla protezione dei dati personali che riguardano la persona, senza distinguerne la natura, mentre l’articolo 4 del GDPR definisce come dato personale «qualsiasi informazione riguardante una persona fisica identificata o identificabile («interessato»); si considera identificabile la persona fisica che può essere identificata, direttamente o indirettamente, con particolare riferimento a un identificativo come il nome, un numero di identificazione, dati relativi all’ubicazione, un identificativo online o a uno o più elementi caratteristici della sua identità fisica, fisiologica, genetica, psichica, economica, culturale o sociale».
Ad esempio, l’articolo 9 del GDPR [7] ha previsto un generale divieto di trattamento di categorie particolari di dati, poiché portatori di informazioni “sensibili” sull’interessato, appartenenti alla sua sfera privata, riguardanti la sua identità, il suo pensiero o la sua appartenenza.
Questo genere di divieto è posto a presidio della privacy come delineata dalla tradizione e dall’ordinamento europeo. Il medesimo articolo, tuttavia, prevede la possibilità che per diverse necessità, i dati possano o debbano essere trattati comunque, anche se appartengono a tali categorie. In quest’ultimo caso siamo di fronte all’ambito di intervento della protezione dei dati personali.
Infatti, nonostante il trattamento dei dati relativi alla salute rientri nel divieto, in caso di ricovero in ospedale è necessario che vengano acquisite le informazioni cliniche sul paziente. Su queste ultime interviene la data protection, garantendo l’individuo tramite il corretto trattamento e la tutela dei suoi dati.
Il dato “personale”. Un’altra differenza da tenere presente nell’esame dell’ambito di applicazione riguarda la scelta del legislatore europeo di concentrarsi sulla protezione dei dati delle persone fisiche, escludendo le persone giuridiche.
In passato, la Corte di Giustizia ha evidenziato anche che la differenza di trattamento riservata alle persone giuridiche è giustificata dalla minore gravità di una potenziale lesione del diritto alla protezione dei dati personali nei loro confronti, poiché queste «sono già soggette a un obbligo più gravoso di pubblicazione dei dati che le riguardano» [8].
Allo stesso modo, anche la Corte EDU ha osservato che le limitazioni alla protezione dei dati ex art. 8 della Carta sono valutabili con un più ampio margine di tolleranza quando si tratti di persone giuridiche, rispetto ai casi che riguardano persone fisiche [9].
Da qui, si può dedurre che la Corte accetti la possibilità di applicare gli articoli 7 e 8 della Carta anche alle persone giuridiche, nonostante la formulazione della disposizione sembri fare riferimento a persone fisiche (“ogni persona”) [10].
Negli Stati Uniti, dove l’approccio alla materia non è stato unitario come in Unione europea, ma rimesso a singoli atti legislativi federali e statali, è possibile ritrovare, tuttavia, una simile rilevanza attribuita al dato “personale”.
Ad esempio, il California Consumer Privacy Act, entrato in vigore di recente, ha lo scopo di consentire ai consumatori una maggiore tutela delle proprie informazioni personali raccolte dalle imprese. La protezione offerta è simile a quella del GDPR, nella misura in cui individua per esclusione l’ambito di applicazione alle informazioni relative a consumatori identificati o identificabili, direttamente o indirettamente [11].
Per quanto il sistema statunitense sia differente da quello europeo, gli effetti della regolamentazione della protezione dei dati personali in uno dei più grandi mercati mondiali non possono non avere ricadute a livello mondiale, nei confronti di tutte le imprese che intendono portarvi la propria attività. Di conseguenza, anche gli Stati Uniti e le aziende di diritto statunitense sono stati fortemente colpiti dall’elaborazione europea dell’ampio diritto alla protezione dei dati personali [12].
La maggiore estensione ed importanza assunta da quest’ultimo può essere ben evidenziata dall’evoluzione normativa avvenuta rispetto alla direttiva 95/46/CE [13]. Infatti, quest’ultima individuava la propria finalità nella «tutela dei diritti e delle libertà fondamentali delle persone fisiche e particolarmente del diritto alla vita privata, con riguardo al trattamento dei dati personali». Al contrario, il GDPR, che ha sostituito la citata direttiva, individua un oggetto ed una finalità ben più ampi, in conformità con la maggiore tutela cui tende: «Il presente regolamento protegge i diritti e le libertà fondamentali delle persone fisiche, in particolare il diritto alla protezione dei dati personali».
L’attenzione alla tutela del dato personale, idoneo a rivelare informazioni sugli individui, ha assunto un’importanza e una delicatezza maggiore rispetto alla mera tutela della vita privata. La data protection, infatti, presenta un carattere di strumento di tutela collettiva, oltre che individuale. La possibilità di immagazzinare dati con sistemi automatizzati, in grandi quantità, genera la capacità di ottenere dalle informazioni ricavate un grande potere, di carattere politico o economico.
A dimostrazione di tale importanza vi è l’esplicita menzione all’interno del Trattato sul Funzionamento dell’Unione europea, che all’articolo 16 stabilisce che «Ogni persona ha diritto alla protezione dei dati di carattere personale che la riguardano».
La preoccupazione nei confronti della tutela delle persone fisiche, tuttavia, è ulteriormente giustificata dall’esposizione costante a cui si è precedentemente fatto riferimento. La continua e a volte inconsapevole cessione di dati necessitava di un intervento di carattere normativo, tuttavia non autonomamente sufficiente: manca una consapevolezza comune che si traduca in comportamenti di autotutela e di verifica del corretto affidamento delle informazioni.
La risposta alle esigenze quotidiane. La distinzione tra privacy e data protection, come delineata, assume quindi rilevanza non solo per i tecnici della materia, ma anche e soprattutto per le persone che, nella loro quotidianità, diventano diretti interessati di trattamenti di dati personali.
Infatti, non è superfluo ricordarlo, chiunque oggi abbia accesso ad un dispositivo mobile produce dati personali che, se verranno trattati correttamente, secondo quanto previsto dalla normativa unitaria, vedranno applicata una garanzia notevolmente maggiore rispetto a quella che potrebbe essere offerta dal diritto alla privacy tradizionalmente inteso.
Per quanto possano essere tutelate le informazioni che ci riguardano nell’ambito della nostra intimità, la realtà odierna mette maggiormente a repentaglio le informazioni cedute in ogni momento della quotidianità e a cui spesso viene attribuita dagli interessati una minore rilevanza, dalla sottoscrizione di una tessera fedeltà fino alla scelta di un capo d’abbigliamento in un negozio online. Questa carenza di consapevolezza concreta è evidenziata da quello che è stato definito il cosiddetto «paradosso della privacy» [14].
Nonostante in numerose indagini condotte nel tempo le persone si siano dimostrate preoccupate dal tema della protezione dei propri dati, i comportamenti quotidiani hanno evidenziato una superficialità nettamente contrastante con tali dichiarazioni.
Ad esempio, un’indagine condotta dalla Commissione europea ha evidenziato come il 71% degli intervistati sia consapevole che la cessione dei dati personali sia oggi indispensabile per accedere a determinati servizi, mentre il 57% ritiene che tale cessione rappresenti per sé una questione di grande rilevanza. Nonostante ciò, solo un quinto degli intervistati dichiara di essere consapevole del modo in cui i propri dati vengono trattati o legge le informative privacy che gli vengono fornite [15].
Allo stesso tempo, un’indagine più recente ha rivelato che il 62% degli intervistati ritiene di avere un controllo parziale o inesistente sui propri dati e dichiara di essere preoccupato per tale situazione [16], ma al tempo stesso solo il 20% del medesimo campione sa quale sia l’autorità responsabile della protezione dei dati personali nel proprio Paese [17].
Il problema si manifesta in modo particolarmente evidente quando il trattamento venga effettuato da soggetti meno attrezzati, dalla piccola impresa al singolo professionista. Rischia, infatti, di diventare inutile la diffidente attenzione nei confronti di colossi dell’e-commerce, che sono comunque meglio strutturati per adempiere agli obblighi normativi, se poi in altri contesti affidiamo i nostri dati a soggetti che li conservano su dispositivi non protetti o utilizzati in modo promiscuo, o ancora peggio li caricano su dei cloud la cui password è il nome del loro figlio [18].
La potenziale dispersione di dati, derivante dalla loro cattiva conservazione, si concretizza nel rischio di accessi abusivi alle informazioni più delicate dei singoli, esposti a furti di identità e a pericolose intrusioni sui propri account personali. In verità, da un punto di vista collettivo, c’è il pericolo che possano avvenire raccolte di dati abusive, finalizzate a conoscere gli orientamenti delle persone per influenzarne le scelte economiche o perfino politiche e di voto [19].
Il processo di normazione della data protection deve essere seguito anche da una “normalizzazione” della stessa, ovvero da una maggiore consapevolezza in chi invoca la privacy, ma in realtà ha bisogno della data protection.
Investire sulla sensibilizzazione degli individui titolari di questo diritto è un passo necessario per scongiurare il rischio che gli interessati facciano oggi un uso irresponsabile dei propri dati, concedendosi involontariamente a degli abusi, le cui conseguenze negative potrebbero apparire palesi solo quando il danno sarà difficile da riparare.
[1] F. Van Hallen, “The 10 Worst Password Ideas, as Revealed by Google”, https://www.techlicious.com/blog/the-10-worst-password-ideas-as-revealed-by-google/, 7 agosto 2013.
[2] Articolo 7 – Rispetto della vita privata e della vita familiare
Ogni persona ha diritto al rispetto della propria vita privata e familiare, del proprio domicilio e delle proprie comunicazioni.
Articolo 8 – Protezione dei dati di carattere personale
- Ogni persona ha diritto alla protezione dei dati di carattere personale che la riguardano.
- Tali dati devono essere trattati secondo il principio di lealtà, per finalità determinate e in base al consenso della persona interessata o a un altro fondamento legittimo previsto dalla legge. Ogni persona ha il diritto di accedere ai dati raccolti che la riguardano e di ottenerne la rettifica.
- Il rispetto di tali regole è soggetto al controllo di un’autorità indipendente.
[3] Dall’elaborazione embrionale di Thomas Cooley, poi sviluppata in seguito da Samuel Warren e Louis Brandeis: “the right to one’s person may be said to be a right of complete immunity: to be let alone” (T.C. Cooley, A Treatise on the Law of Torts or the Wrongs which Arise Independent of Contract, Callaghan & Company, Chicago, IL, 1888, p. 29.
[4] Ad esempio, alcuni delineano la privacy come definizione dei soggetti autorizzati a trattare i dati, mentre la data protection come la protezione nei confronti di accessi non autorizzati (S. Shelke, in Data Privacy Vs. Data Protection: Understanding The Distinction In Defending Your Data, Expert Panel, Forbes Technology Council, 19 dicembre 2018).
[5] CJEU, Joined Cases Volker und Markus Schecke (C–92/09) and Eifert (C–93/09), [2010] ECR I-11063, par. 52.
[6] J. Kokott, C. Sobotta, “The distinction between privacy and data protection in the jurisprudence of the CJEU and the ECtHR”, International Data Privacy Law, Volume 3, Issue 4, novembre 2013, pp. 222–228,
[7] Cfr. GDPR, Art. 9: 1. È vietato trattare dati personali che rivelino l’origine razziale o etnica, le opinioni politiche, le convinzioni religiose o filosofiche, o l’appartenenza sindacale, nonché trattare dati genetici, dati biometrici intesi a identificare in modo univoco una persona fisica, dati relativi alla salute o alla vita sessuale o all’orientamento sessuale della persona. (…)
[8] CJEU, Joined Cases Volker und Markus Schecke (C–92/09) and Eifert (C–93/09), [2010] ECR I-11063, par. 87.
[9] ECtHR, Bernh Larsen Holding AS and others v Norway App no 24117/08 (14 marzo 2013), par. 159.
[10] Inoltre, nella versione in inglese della Carta, l’art. 7 utilizza la formulazione “his or her private life”, mentre l’art. 8 parla di “personal data concerning him or her”.
[11] California Consumer Privacy Act of 2018, 1798,140, http://leginfo.legislature.ca.gov/faces/codes_displayText.xhtml?division=3.&part=4.&lawCode=CIV&title=1.81.5.
[12] Nel 2018, ad esempio, anno di entrata in vigore del GDPR, numerose aziende statunitensi hanno chiuso i propri rami di attività in Unione europea per la difficoltà di adeguamento alla nuova e stringente regolamentazione. Cfr, I. Kottasova, “These companies are getting killed by GDPR”, CNN Money, Londra, 11 maggio 2018 https://money.cnn.com/2018/05/11/technology/gdpr-tech-companies-losers/index.html.
Inoltre, la Corte di Giustizia dell’Unione europea ha più volte dichiarato inadeguate le tutele offerte dal sistema statunitense rispetto a quelle europee. Cfr. A. Laudisa, M. Della Bruna, “Facebook e l’(in)adeguatezza della data protection USA”, 28 luglio 2020, https://www.devita.law/facebook-e-linadeguatezza-della-data-protection-usa/.
[13] Direttiva 95/46/CE del Parlamento Europeo e del Consiglio del 24 ottobre 1995 relativa alla tutela delle persone fisiche con riguardo al trattamento dei dati personali, nonché alla libera circolazione di tali dati, c.d. “Direttiva madre”.
[14] “Do People Know About Privacy and Data Protection Strategies? Towards the “Online Privacy Literacy Scale””, in “Reforming European Data Protection Law”, Springer Netherlands, gennaio 2015, pp.333-365.
[15] Commissione europea, Special Eurobarometer 431, Data Protection, Report, giugno 2015.
[16] Tale dato è calato del 5% dal 2015 al 2019.
[17] Commissione europea, Special Eurobarometer 487a, The General Data Protection Regulation, Report, giugno 2019.,
[18] https://press.avast.com/83-of-americans-are-using-weak-passwords.
[19] L’esempio più famoso di tale pericolo rimane il caso Cambridge Analytica, che vide l’utilizzo abusivo di informazioni riguardanti 50 milioni di utenti di Facebook per orientare la campagna elettorale di Donald Trump. Per approfondire: https://www.theguardian.com/news/series/cambridge-analytica-files.