Le nuove norme in ambito privacy, in primis, il Regolamento Ue 2016/679[1], rappresentano un cambiamento essenziale: si passa infatti dalla tutela indiretta della persona alla tutela dei dati personali come bene giuridico autonomo.
L’evoluzione tecnologica ha portato ad una nuova frontiera della privacy che non può prescindere dall’analisi economica del diritto, vale a dire un’attenta valutazione delle norme giuridiche utilizzate per la tutela delle posizioni giuridiche soggettive[2].
I dati acquistano un valore in sé e vengono tutelati per ciò che sono a prescindere dalle persone cui si riferiscono: si parla quindi, di dati intesi non più come proiezione dell’individuo ma come vero e proprio bene giuridico degno di tutela e che merita di essere valorizzato.
Il concetto di data economy è pertanto traducibile in una nuova economia basata sulla conoscenza e sull’elaborazione delle informazioni. Il dato personale diventa sempre più materia prima, un fattore competitivo, in grado di favorire le aziende capaci di comprendere che non si discute solo di una serie di adempimenti da gestire ma di un processo organizzativo-aziendale che ha natura produttiva e non solo normativa.
Data economy e GDPR
In questo contesto il GDPR si impone come uno strumento giuridico necessario che incide profondamente nel contesto dell’economia basata sui dati. Lo fa ponendo fine alle numerose restrizioni di carattere giuridico o amministrativo che vincolavano l’intero mercato dell’Unione europea, attuando una libera circolazione dei dati che potrebbe determinare, già nel breve periodo, una crescita vertiginosa in termini di prodotto interno lordo dell’UE.
Si stabiliscono, infatti, standard elevati e uniformi in termini di protezione dei dati, i quali, aumentano la fiducia dei consumatori, vera base della nuova economia dei dati. La data economy, consiste proprio nell’assicurare che i dati personali di ogni persona siano adeguatamente protetti per aumentare la fiducia dei consumatori nei servizi online e nelle piattaforme di e-commerce in modo particolare.
La nuova normativa europea sulla privacy garantendo la definizione di un quadro unitario di norma valide in tutto il territorio dell’Unione europea, costituisce il presupposto necessario per gestire e aumentare le transazioni economiche tra chi gestisce grandi database.
La Cina e la privacy
L’Unione europea non è la sola ad aver avviato una regolamentazione di questo tipo: non da ultimo la Cina ha infatti attuato norme che prevedono più responsabilità per le piattaforme web in caso di violazione della privacy e della proprietà intellettuale. La nuova legge entrata in vigore il 1° gennaio 2019 regola e-commerce e tutela dei consumatori, in un mercato, quello delle vendite online, letteralmente esploso negli ultimi anni, ma caratterizzato da frodi e prevaricazioni degli operatori, mancato rispetto della privacy e contraffazione, che hanno aumentato le proteste da parte degli utenti e le diffidenze degli operatori economici esteri.
Aumentano, quindi, responsabilità e adempimenti per le piattaforme di e-commerce e i marketplace, come Alibaba, che sono ora ritenuti direttamente responsabili se i prodotti che vendono violino i diritti di proprietà intellettuale (quindi sono falsi o contraffatti) e non rispettino le norme di igiene e sicurezza, ma soprattutto, sono tenuti a garantire una corretta gestione dei dati personali, per evitare furti di dati e preservare la cybersecurity.
Con l’avvento delle reti 5G, che faciliteranno il monitoraggio e la velocità di trasmissione dei dati, si ritiene peraltro che alla Cina sarà chiesto un ulteriore sforzo in ambito privacy.
In tal senso, va sicuramente rivisto il sistema del Social Credit System introdotto dal governo cinese, per ora su base volontaria ma che dal 2020 potrebbe essere obbligatorio. Questo sistema, infatti, assegna un punteggio ai cittadini in base alle frequentazioni, ai contenuti pubblicati in rete e alle abitudini di acquisto, per valutare l’affidabilità dei cittadini. Una sorta di “vita a punti” che agevola i più virtuosi nell’accesso a molteplici servizi pubblici e privati.
Si dovrebbe, invece, stigmatizzare l’uso improprio dei dati personali e della privazione delle libertà individuali e, al contempo, ricercare un punto di equilibrio per tutelare la sicurezza della collettività. Sarebbe di fondamentale importanza che il valore del “right of privacy”[3] riuscisse ad affermarsi anche in ordinamenti in cui l’ideologia del controllo ha ridotto la persona ad un fascio di informazioni.
Si avverte infatti sempre più la necessità di mantenere un approccio che concili il rafforzamento della sicurezza con la salvaguardia dei diritti umani, inclusa la protezione dei dati personali e della privacy, garantendo ai cittadini un controllo migliore dei propri dati e assicurando che la loro vita privata continui a essere protetta nell’era digitale.
L’importanza e il valore del diritto alla riservatezza dei dati personali
Il diritto alla riservatezza deve essere considerato come uno dei diritti individuali da trattare alla pari degli altri diritti fondamentali della persona, in una sorta di bilanciamento con le altre esigenze di tutela che emergono via via in una società sempre più evoluta. La privacy viene considerata, nei suoi rapporti dinamici, come uno dei punti da osservare alla pari del diritto alla salute, alla sicurezza, al lavoro e all’informazione[4].
In questo contesto, il grande rivale della privacy è stato identificato nelle grandi imprese multinazionali, come soggetti in grado di violare sistematicamente la vita privata dei cittadini, così che le imprese sono state considerate le naturali destinatarie delle varie leggi sulla data protection.
Il singolo cittadino, consumatore, è racchiuso all’interno di numerose banche dati, capaci di raccogliere le singole personalità attraverso la definizione di preferenze e di propensioni all’acquisto.
La vera sfida della privacy come strumento giuridico sarà proprio quella di consentire alle persone di essere libere da pressioni del mondo esterno per affermare la propria personalità, così come auspicato dalla nostra Costituzione. La libertà di scegliere oggigiorno è compromessa dall’invasione della sfera intima del singolo, costantemente indotto ad assumere determinate decisioni sia in ambito commerciale sia in ambito sociale.
Ecco, quindi, che emerge il valore dei nostri dati personali, un valore inestimabile, perché condizione essenziale per la nostra libertà.
Dopo un’attenta analisi giuridico-economica, il fine deve essere quello di stabilire una serie di regole che consentano ad ogni singolo soggetto di determinare quale livello di riservatezza vuole attribuire alle informazioni che lo riguardano, la condizione, quindi, di un soggetto che può liberamente esprimere la sua personalità attraverso le sue scelte. Si potrebbe parlare di un’analisi costi/benefici, l’interessato dovrebbe poter decidere se limitare la diffusione dei suoi dati personali, così rinunciando all’opportunità di entrare in contatto con chi gli ha chiesto il consenso, oppure aumentare il livello di riservatezza della sua sfera personale.
Emerge, invece, una pericolosa tendenza alla mercificazione del consenso, si rischia in questo modo di compromettere l’effettiva tutela della privacy e il futuro del mercato digitale.
I colossi digitali che raccolgono dati per fini commerciali spesso sono portati ad abusare di tale consenso individuale, le informazioni personali diventano merce di scambio nei rapporti tra titolare e interessato, pertanto il consenso da solo non è sufficiente per garantire effettivamente la piena tutela della riservatezza. Un ruolo fondamentale perciò spetta alle autorità Garante per la protezione dei dati personali, per far si che le parti rispettino le regole fissate dal legislatore attraverso un’attenta attività di indagine e di prevenzione di possibili violazioni.
Privacy e dati personali alla luce dell’evoluzione del nuovo mercato globale
Un’ulteriore riflessione va fatta rispetto all’evoluzione del nuovo mercato globale. La molteplicità di norme e le differenze di approccio normativo rispetto al tema della privacy e della protezione dei dati personali rischia di generare una grande confusione. Bisogna favorire a livello globale un linguaggio condiviso grazie ad una crescente attenzione incrociata che possa conciliare le posizioni che emergono nelle varie aree continentali. Si garantirebbe, così, una visione armoniosa della data economy, in grado di incentivare la crescita di valore delle risorse e favorire lo sviluppo economico generale[5].
Una visione d’insieme sulla protezione dei dati è suggerita dalla Convenzione 108, il primo e attualmente unico strumento internazionale giuridicamente vincolante adottato in materia, con l’obiettivo primario di assicurare il rispetto dei diritti e delle libertà fondamentali, ed in particolare del diritto alla vita privata rispetto all’elaborazione automatizzata dei dati di carattere personale che la riguardano[6]. Tutti gli Stati membri dell’Unione europea hanno ratificato la Convenzione n. 108 e nel 2001 è stato adottato un Protocollo addizionale alla Convezione che disciplina i flussi transfrontalieri dei dati verso i paesi terzi e l’istituzione obbligatoria di autorità di controllo nazionale per garantire la protezione dei dati.
In conclusione, secondo un’ottica armonizzatrice della materia, va detto che dopo un lungo iter iniziato nel 2011 è stato portato a termine dal Comitato dei ministri del Consiglio d’Europa, il processo di modernizzazione della Convenzione 108 del Consiglio d’Europa.
La modernizzazione della Convenzione 108 risponde alle molte sfide intervenute negli anni delle nuove tecnologie, assicurando la tenuta dei principi della Convenzione e rafforzandone i meccanismi per la sua effettiva implementazione.
Il Protocollo garantisce standard elevati in una cornice normativa flessibile che facilita la loro adozione da parte di un ampio numero di Paesi, inclusi quelli che non fanno parte del Consiglio d’Europa. Costituisce, inoltre, un ponte tra i diversi approcci regionali, incluso il Regolamento Ue 2016/679 che colloca l’adesione da parte di Paesi terzi alla Convenzione 108 tra i criteri da considerare nella valutazione di adeguatezza di tali Paesi nel contesto dei trasferimenti dei dati extra Ue.
Il Protocollo, da ultimo, rafforza i compiti delle Autorità di protezione dei dati e del Comitato della Convezione, quest’ultimo chiamato a svolgere un importante ruolo nella valutazione dell’effettivo rispetto dei principi della Convenzione che deve essere assicurato dai Paesi che ne fanno parte.
L’auspicio è che si riesca a diffondere la cultura della riservatezza e del rispetto a livello globale senza tuttavia poter prescindere da una valutazione economica del diritto: in altre parole, bisognerà trovare il giusto equilibrio tra esigenze dell’individuo e del mercato.
Bibliografia e note
BALDASSARRE A., Diritti della persona e valori costituzionali, Giappichelli, 1997.
BARRACO E., SITZIA A., Potere di controllo e privacy. Lavoro, riservatezza e nuove tecnologie, Milano, Wolters Kluwer 2016.
BOLOGNINI L., PELINO E., BISTOLFI C., Il Regolamento privacy europeo, Commentario alla nuova disciplina sulla protezione dei dati personali, 2016.
BUTTARELLI G., Banche dati e tutela della riservatezza. La privacy nella società dell’informatica, Milano, 1997.
DE PRETIS A., Il Patrioct Act e le libertà digitali, in Diritto informazione e informatica, 2007.
LATTANZI R., Diritto alla protezione dei dati di carattere personale: appunti di viaggio, in Quaderni Europei, 2014.
MAGLIO M., Manuale di diritto alla protezione dei dati personali, 2017.
PIZZETTI F., Privacy e il diritto europeo alla protezione dei dati personali, 2016.
ROSSI E., Il diritto alla Privacy nel quadro giuridico europeo ed internazionale alla luce delle recenti vicende sulla sorveglianza di massa, in Diritto Comunitario e degli scambi internazionali, 2014.
SOFFIENTINI M., Privacy. Protezione e trattamento dei dati, Ipsoa, 2016.
WARREN S.D., BRANDEIS L.D., The right to privacy, in Harvard law review, 1890.
[1] Regolamento generale sulla protezione dei dati o GDPR, acronimo di General Data Protection Regulation.
[2] R.H. COASE, Impresa, mercato, diritto, Bologna, 1996.
[3] Il termine “Right of privacy” è apparso per la prima volta già nel dicembre del 1980, in un articolo pubblicato sulla Harvard Law Review e scritto da due avvocati bostoniani, Samuel D. Warren e Louis D. Brandeis. L.D. BRANDEIS E S. WARREN, The Right of Privacy, in Harvard law Review, 4, 1980, p. 192,220.
[4] The Spirit of Community. Rights, Responsibility and the Communitarian Agenda, New York, 1993.
[5] Sbaglia in questo senso chi pensa che le norme siano solo adempimenti e sanzioni. Il riordino delle regole tende anche una mano al settore. La moderna concezione del diritto alla riservatezza attraverso un’analisi economica del diritto può consentire di rendere più efficienti le norme giuridiche utilizzate per la tutela delle posizioni giuridiche soggettive, da ciò deriverebbe un sicuro vantaggio anche per le grandi imprese operanti nel settore.
[6] CDE, Manuale sul diritto europeo in materia di protezione dei dati personali.
