Finalmente, dopo una giornata impegnativa, la famiglia è riunita a cena in un momento rilassante. È in questo quadro conviviale che, spesso, squilla il telefono di casa e, alzando la cornetta, troviamo chi ci propone di acquistare qualcosa o di aderire a un’offerta.
Quando si verifica una situazione di questo tipo, pur sapendo che probabilmente sono stato io a dare il consenso al contatto, avverto l’invasività dell’approccio commerciale come una violazione della mia intimità famigliare, o meglio della mia privacy, concetto di cui oggi tanto si parla, ma che a volte appare più come un’incombenza impegnativa da rispettare, che la fonte di tutela di un proprio diritto.
Ma cos’è questa privacy? Quando è stato codificato il diritto alla riservatezza degli individui?
Ho trovato alcune possibili risposte a queste domande con l’approfondimento che trovate di seguito e che ho voluto condividere con Voi.
Le norme che oggi regolano la nostra vita hanno avuto un’evoluzione storica che si è spesso accompagnata al progresso sociale e soprattutto economico. Per fare un esempio, l’art. 2054 CC – che disciplina la circolazione di veicoli – al IV comma pone a carico del proprietario il danno causato da un difetto di costruzione o di manutenzione del suo mezzo. Il legislatore del 1942 non poteva gravare la nascente industria automobilistica (per non affossarla) degli oneri conseguenti a un difetto costruttivo. È solo in seguito, quando le condizioni economiche lo hanno permesso, che il difetto del prodotto è stato posto a carico al costruttore.
Analogamente, la riservatezza intesa come diritto dell’individuo era sconosciuta nell’età antica: altri erano i problemi e le necessità da affrontare. È con il disgregarsi dello stato feudale che si determina l’esigenza d’intimità da parte dei ranghi superiori. Prima, gli individui condividevano ogni aspetto della vita quotidiana in una complessa rete di relazioni. A un certo punto, grazie alla disponibilità economica, alcuni poterono differenziarsi e appagare il loro bisogno di riservatezza. In questo senso, il diritto alla riservatezza si presentò inizialmente come la realizzazione di un privilegio da parte di un gruppo elitario.
La codificazione del diritto alla riservatezza come diritto universale è dunque relativamente recente.
Convenzionalmente, si ritiene abbia origine dall’articolo “Right to privacy” scritto da due avvocati bostoniani – Samuel D. Warren e Louis D. Brandeis – e pubblicato il 15 dicembre 1890 sulla rivista giuridica Harvard Law Review, dove i due giuristi ipotizzarono per primi un diritto alla riservatezza degli individui ovvero “the right to be let alone”, ritenendo fosse giunto il momento di “riconoscere il valore giuridico della sensibilità umana”.
La novità di questo approccio fu che, per la prima volta, si ipotizzava un diritto “positivo” alla riservatezza, ovvero a proteggersi da qualsiasi ingerenza non voluta nella sfera personale dell’individuo. Questo diritto positivo si contrapponeva al criterio di protezione in precedenza declinato come ius excludendum alios, ovvero al divieto d’ingerenza nella sfera privata costruito secondo il concetto del diritto di proprietà, che si configura in negativo, come un recinto che impedisce ogni intrusione, per cui nessuno può turbare la manifestazione di dominio sulla cosa del proprietario.
L’esclusione degli altri dalla propria sfera personale, il diritto a “essere lasciati soli”, non prevedeva in questa formulazione un’estensione all’esterno, un diritto con un contenuto positivo: l’esercizio del controllo sulle informazioni che riguardano la propria persona, e la tutela delle stesse.
Questa visione ha allargato la platea dei soggetti interessati e, con un percorso evolutivo che non è ovviamente ancora terminato, il diritto alla riservatezza è divenuto un modo “per realizzare l’uguaglianza e non per custodire il privilegio”, come icasticamente ha puntualizzato Stefano Rodotà.
La normativa si è poi evoluta espandendo la tutela con effetti che oggi sono di grande rilevanza, sia per chi è “titolare” del trattamento dei dati, sia per coloro che sono “interessati” a tale trattamento.
Le ripercussioni per tutti noi sono impegnative e l’imminente entrata in vigore del Regolamento europeo 2016/679 (in seguito GDPR – General Data Protection Regulation) pone rilevanti interrogativi.
Non è questa la sede per analizzare nel dettaglio il contenuto del GDPR, che ha un’estensione codicistica; mi limito ad alcune considerazioni generali, che possono introdurre il neofita in una materia specialistica e di notevole complessità.
Comincio col dire che, come ogni Regolamento europeo, quello oggetto di analisi è un impianto normativo self – executing, ovvero è suscettibile di immediata applicazione nell’ordinamento Italiano: è l’Europa che scrive una legge direttamente applicabile nell’ordinamento dei singoli stati aderenti.
Per permettere a questi ultimi di adeguare la disciplina nazionale alla nuova legge, è stato previsto che il Regolamento, emanato il 27 aprile 2016, entrasse in vigore solo il 25 Maggio 2018. In tal modo, si intendeva dare agli Stati un tempo di due anni per predisporre l’aggiornamento della disciplina interna. Tempo che, come sappiamo, non è stato sfruttato dall’Italia, dato che lo schema del decreto legislativo che adegua il quadro normativo nazionale alle disposizioni del GDPR, è stato annunciato dal Consiglio dei ministri solo lo scorso 21 marzo 2018. Questo annunciato decreto prevede poi l’abrogazione del vigente Codice Privacy, in contrasto con l’indicazione della legge delega che prevede l’abrogazione delle sole disposizioni incompatibili “limitatamente a quanto necessario per dare attuazione alle disposizioni non direttamente applicabili contenute nel GDPR”.
Non manca quindi chi ha osservato che il decreto legislativo ora proposto potrebbe incorrere in censura di incostituzionalità, dato che si discosta dai principi e criteri direttivi indicati nella legge delega.
Per questi rilevanti elementi d’incertezza, in attesa si chiarisca il quadro normativo, qualcuno già consiglia di sospendere qualsiasi adeguamento al GDPR, pur nella consapevolezza della cogenza, dal prossimo 25 Maggio, della nuova normativa che, tra i suoi pilastri, ha il principio di accountability o responsabilizzazione per cui sono i titolari del trattamento dati a dover dimostrare, in modo proattivo, di aver adottato tutte le misure affinché tale trattamento sia conforme al regolamento europeo in materia di privacy.
Chi esercita un’attività che lo rende “titolare” del trattamento dati s’interroga quindi sulle modalità e i criteri da adottare per adempiere ai nuovi obblighi.
Tra questi si parla molto di un’altra importante novità per l’Italia, ovvero della figura del Responsabile della Protezione dei Dati o RPD (l’acronimo inglese è DPO – Data Protection Officier).
Per comprendere quali siano gli indirizzi generali in relazione a questa nuova figura e avere un’indicazione sui criteri che ne rendono obbligatoria la nomina, consiglio di consultare, sul sito del Garante della Privacy, il file WP 243. Si tratta di un documento adottato il 13 dicembre 2016 e aggiornato il 5 aprile 2017 da parte del Gruppo di Lavoro Articolo 29 (Working Party article 29 o WP29). È, questo, un organo consultivo dell’UE, istituito in virtù dell’art.29 della direttiva 95/46/CE e costituito da un rappresentante delle autorità di protezione dei dati personali di ciascuno stato membro. Nel documento citato, il WP29 descrive dettagliatamente chi è, cosa fa e quando deve essere nominato il DPO, riportando anche casi esemplificativi.
Sintetizzo alcuni elementi di carattere generale: la nomina del DPO è obbligatoria se il trattamento è effettuato da un’autorità o da un organismo pubblico; se il trattamento consiste in un monitoraggio regolare e sistematico di interessi su larga scala; se consiste nel trattamento su larga scala di categorie particolari di dati o di dati relativi a condanne penali o reati.
Dunque, per calare l’astrattezza della norma nella realtà di uno studio peritale, è necessario definire quale sia l’attività principale e se questa si esplichi in trattamenti di dati che richiedono il monitoraggio regolare e sistematico di interessi su larga scala.
Per “attività principale”, si intendono le operazioni essenziali al raggiungimento degli obiettivi perseguiti: non rientra, ad esempio, in questo ambito il trattamento dei dati per la retribuzione del personale d’ufficio, essendo questa una funzione di supporto e non il fine dell’attività.
La seconda condizione è riferita al trattamento su larga scala; per definire cosa si intenda con tale accezione il WP29 ricorre a una serie di parametri – il numero di soggetti interessati, il volume dei dati e la loro tipologia, la durata e la portata geografica del trattamento – senza tuttavia indicare precisi riferimenti.
Per chiarire il concetto, l’organo consultivo ricorre, a degli esempi e indica che il trattamento dei dati dei pazienti di un ospedale è da intendere su larga scala, mentre non lo è il trattamento dati effettuato da un singolo professionista sanitario. Ancora, il trattamento dei dati dei clienti di una compagnia assicurativa rientra nel criterio di larga scala, mentre è escluso il trattamento dei dati personali relativi a condanne penali e reati effettuato dallo studio di un singolo avvocato.
Infine, l’ulteriore condizione che rende obbligatoria la nomina del DPO è che il titolare effettui un trattamento “regolare e sistematico”. Il GDPR, anche in questo caso, non dà una definizione del concetto di “regolare e sistematico”. Ancora una volta, è il documento WP29 a dare una chiave d’interpretazione: è tale sicuramente ogni attività che si esplica con il tracciamento e la profilazione su Iternet. Non si tratta però di un concetto riferito esclusivamente all’ambiente on line; comprende ad esempio anche il “tracciamento dell’ubicazione, da parte di app su dispositivi mobili” (si pensi alla videoperizia geolocalizzata) così come la “profilazione e scoring per la finalità di valutazione del rischio.”
In conclusione, visti i cambiamenti che già stanno interessando l’attività professionale dei periti e quelli che si profilano all’orizzonte, la nomina di un DPO – che può essere anche una figura interna all’ufficio – è sicuramente la scelta migliore. Tale nomina può essere effettuata anche su base volontaria: troveranno comunque applicazione tutti i requisiti previsti dal GDPR per questa figura che, tuttavia, rimane un consulente del Titolare del trattamento a cui direttamente competono gli obblighi e la responsabilità di dare attuazione alla nuova normativa privacy.
Si tratta di obblighi non ancora chiaramente definiti ma a cui – pur in un quadro normativo incerto – siamo vincolati in una situazione che lascia ai cittadini l’incombenza di sopperire alle lacune e alle dicotomie della legge.
Da parte mia, riflettendo su questo problema, ho già adottato il primo provvedimento: all’ora di cena stacco il telefono…!