CIRCOLAZIONE DEI DATI PERSONALI E TUTELA DELLA DIGNITA' DELLA PERSONA

Abstract

La dottrina più recente è concorde nel ritenere che vi sia stato il passaggio da un right to privacy a un right to share, come dimostrato dal fatto che l’obiettivo primario del Regolamento 2016/679/UE, il c.d. GDPR, è rappresentato dalla libera circolazione dei dati. Questa rivoluzione, di cui occorre prendere atto, ha costituito il punto di avvio dell’indagine, con l’obiettivo di valutare come operi ad oggi il bilanciamento tra due esigenze contrapposte, ma parimenti rilevanti, ossia la tutela della dignità dell’interessato e la libera circolazione dei dati personali. Nel lavoro, dopo aver esaminato i rapporti tra privacy e Costituzione e la complessa evoluzione del sistema normativo, si è affrontata la questione relativa al valore economico dei dati personali, non potendo questi essere considerati esclusivamente quali attributi della personalità. Si può parlare di un vero e proprio “mercato” di dati personali, dal quale discendono numerosi rischi per la dignità dell’interessato, derivanti dalla logica di auto-rivelazione e di condivisione su cui si basa la c.d. data economy. Inquadrata la questione, si ricostruisce, in una prospettiva diacronica e al fine anche di valutare la possibilità di prevedere in futuro un Internet Bill of Rights, il concetto di “dato personale” nel sistema normativo nazionale ed europeo, anche con riferimento alle diverse tipologie di dato: se, infatti, le definizioni adottate negli anni sono sempre state caratterizzate da una forse eccessiva genericità, con il GDPR la prospettiva pare molto diversa, essendo state adottate nozioni più puntuali. A prescindere, poi, dalla qualificazione del dato personale come diritto di proprietà o diritto di proprietà intellettuale, e nonostante tesi contrarie lo abbiano collocato in un ordine superiore di valori stante la sua inerenza alla persona, non se ne può negare la patrimonialità e la conseguente, ma al contempo parziale, negoziabilità. Il terzo capitolo, dunque, affronta la questione relativa al sistema di protezione dell’interessato, partendo dall’istituto del consenso. Sebbene nel GDPR il consenso sia ben individuato nelle sue più importanti caratteristiche e ne sia stata evidenziata la funzione di strumento di equilibrio fra diritto all’autodeterminazione e libertà informativa, sembra perdere parte della sua effettività nell’applicazione pratica, tanto che potrebbe parlarsi di un consenso “forzato”; infatti, la cessione dei dati personali rappresenta, la maggior parte delle volte, il prezzo da pagare per poter accedere ai diversi settori del mercato. Per tale ragione, dopo aver esaminato le diverse teorie in merito alla natura di tale istituto, si è sposata la tesi del rapporto obbligatorio fra interessato e titolare del trattamento, da cui discenderebbe una responsabilità da contatto sociale. Il problema del consenso pare acuirsi, ma al contempo scolorirsi sotto il profilo dell’applicazione concreta, nell’ambito dei Big data; infatti, l’utilizzo di algoritmi predittivi e di tecniche come la Big data analytic rendono particolarmente elevati i rischi di distorsioni concorrenziali, prezzi personalizzati e forme di controllo sociale, anche in ragione dell’irrazionalità e inconsapevolezza che contraddistinguono l’agire dell’interessato, il quale può essere discriminato in virtù della dimensione collettiva tipica dei Big data. Proprio la prospettiva dei Big data, che non rientra nel perimetro dell’indagine che si è condotta, traccia con evidenza i limiti che si accompagnano alla regola generale del consenso, che diviene strumento necessario ma non sufficiente a salvaguardare l’interessato da rischi che si legano all’uso secondario dei dati. Ad esempio, nel caso di trattamento illecito, il problema si pone relativamente all’identificazione del responsabile e alla corretta qualificazione e quantificazione del danno risarcibile. Invero, pur potendosi configurare, in teoria, sia un danno morale sia patrimoniale, considerando il dato personale un bene economico, questo danno sembra configurarsi, gran parte delle volte, come un danno bagatellare. Dunque, sono state ricercate delle strade alternative: anzitutto, è stata effettuata una comparazione con il diritto all’immagine, in virtù della pluridimensionalità del danno, ed è stata altresì valutata l’applicabilità dei rimedi restitutori, ma entrambe le soluzioni non sembrano condurre a risultati soddisfacenti, in quanto si tratta di rimedi successivi, la cui onerosità penalizza il singolo. Una parziale soluzione può, invece, essere rinvenuta nel principio dell’accountability, ossia nella nuova ottica di gestione del rischio e responsabilizzazione del titolare del trattamento statuito dal GDPR, che prevede un sistema improntato su rimedi preventivi di natura eterogenea, come la privacy by design e by default, la valutazione d’impatto e i sistemi di certificazione e che attribuisce particolare rilevanza alla figura del Data Protection Officer. Il piano dell’indagine si sposta, dunque, dalla ricerca di tutele mirate a proteggere l’interessato ad una valutazione in termini di compliance e di gestione integrata del rischio d’impresa. Ma, anche in questo modo, non si valuta l’impatto sopra-individuale del trattamento. Resta, dunque, aperta un’ulteriore strada, che si è scelto di seguire in questo lavoro: considerare l’interessato alla stregua di un consumatore e, quindi, valutare l’efficienza della disciplina consumeristica a regolare gli aspetti più delicati della materia. Invero, i numerosi punti di contatto fra le due discipline, come l’importanza dell’aspetto informativo e la posizione differente in cui sono poste le parti del rapporto, inducono a ritenere applicabili taluni istituti, fra cui particolare rilevanza potrebbe assumere la class action, in quanto i rimedi di group privacy potrebbero garantire, in prospettiva, una tutela concreta e soprattutto più efficiente dell’interessato. Il punto di equilibrio tra le esigenze indicate sembra, dunque, essere quello di non arroccarsi su posizioni di resistenza a salvaguardia della dignità e che cerchino di fermare la condivisione dei dati, quanto di rafforzare gli strumenti individuali. Da un lato, in termini di responsabilità dell’impresa, con riferimento all’accountability e ai protocolli d’intesa con le Autorità; dall’altro lato, prevedendo strumenti di tutela privact più agili, ma altresì collettivi come la class action; e, ancora, rendendo consapevoli gli interessati del valore economico dei dati e dei rischi derivanti dal trattamento, basandosi sul consenso, ma ancor di più sulla “consapevolezza”, con un percorso già visto in materia di diritto dei consumi.