Oggi il diritto della protezione dei dati personali è diventato un vero e proprio settore del Diritto, con autonomia scientifica ed ambiti operativi definiti e chiari.
Dal right to privacy e dal right to be alone, la cui collocazione originaria era incerta non solo a livello di grado di tutela, ma anche di ambito di riferimento (proprietà o persona?), si è passati, negli Stati Uniti, al diritto alla riservatezza a livello costituzionale, seppur per via interpretativa.
Il diritto della protezione dei dati personali
A livello europeo, al contrario, abbiamo assistito all’emergere, nella seconda metà del ‘900 e nei primi anni 2000, ad una tutela sempre più ampia della riservatezza e del dato personale, che ha portato alla codificazione di una serie di diritti e ad un fascio di obblighi e strumenti di tutela correlati ai diritti stessi.
In ambito nazionale i diritti rientranti nel novero della privacy e della riservatezza trovano, come vedremo a breve, varie coperture, non unitarie e spesso strumentali rispetto alla tutela di altri beni giuridici, protetti direttamente dalla Carta.
A livello di diritto dell’Unione europea, invece, il diritto alla riservatezza ed alla protezione dei dati personali è stato riconosciuto e tutelato a livello sostanzialmente costituzionale dall’articolo 8 CEDU prima e dall’articolo 8 della Carta di Nizza poi, per vedere, nell’articolo 16 TFUE, la definitiva “consacrazione” del diritto alla protezione dei dati personali, con espressa competenza attribuita all’Unione.
Per quanto spazio venga lasciato al legislatore nazionale, quindi, sono gli organi dell’Unione (Parlamento, Consiglio e Commissione) a normare il settore, attraverso lo strumento più diretto – il regolamento – o quello più finalizzato a sancire i principi guida – ossia la direttiva.
La tendenza, ormai è di utilizzare direttamente il regolamento, visto che, come si vedrà successivamente, la direttiva ha “fallito” l’obiettivo di armonizzare e tutelare adeguatamente il diritto alla protezione dei dati personali sul territorio dell’Unione.
Non è un caso, infatti, se i servizi digitali ed i mercati digitali sono stati normati direttamente tramite regolamento e che altrettanto avverrà per quanto riguarda l’aggiornamento della direttiva ePrivacy ed in materia di intelligenza artificiale.
Perché la data protection è un diritto con piena autonomia
Lo stato dell’arte, quindi, indica che la materia della data protection, declinata sia sotto il profilo soggettivo di tutela del singolo, sia sotto il profilo di sistema, in materia di regolamentazione dei mercati, consti di un corpus normativo a sé stante e costituisca, a tutti gli effetti, un “Diritto”, ossia una branca della scienza giuridica con piena autonomia scientifica e con un’auspicabile dignità didattica.
Secondo autorevolissima dottrina, che si condivide, infatti, “Per diritto si intende un’area (o zona, settore o ramo) dell’ordinamento giuridico dello Stato, ossia della normazione positiva, identificabile per l’oggetto, rappresentato dalla materia trattata, e per i principi che esprime. Ogni area, dunque, costituisce storicamente un corpo di norme retto da princìpi propri, gerarchicamente ordinati, riferibili ad un vasto numero di ipotesi normative. Mancando tali princìpi, che danno unità sistematica al settore, si è alla presenza di una mera disciplina giuridica, ossia di una serie di norme giuridiche che regolano una materia, come puro fatto “topografico”, senza assumere la dignità sistematica di corpo di normazione o di “diritto”. Le aree costituenti i vari diritti, non sono tuttavia separate da esatti confini, i quali segnino la fine dell’una e l’inizio dell’altra; esse, invece, sono collegate tra loro, poiché la normazione positiva (l’ordinamento) costituisce un sistema unitario”( A. Antonini, Corso di diritto dei trasporti, Milano, 2004, pagg. 28-29).
Non solo: il diritto alla protezione dei dati personali, oggi, “copre” anche i settori dei servizi e dei mercati digitali, perché non c’è modo di scindere strutturalmente la tutela del soggetto nel servizio o nel mercato online dalla tutela dei suoi dati personali.
Piaccia o meno, l’ambiente digitale è un enorme territorio, in cui ciascuno ha il proprio domicilio (spesso denominato “dominio”), potenzialmente aperto alle più disparate intrusioni, finalizzate, per lo più, ad ottenere quante più informazioni possibili su ognuno di noi, per fini commerciali o politici.
Senza dati personali non esisterebbero i mercati digitali
I servizi ed i mercati digitali, quindi, sono letteralmente un nuovo territorio di esplicazione dei diritti della persona, primo fra tutti, proprio per la specificità del contesto e del mezzo attraverso cui i diritti della persona si esplicano, il diritto alla protezione dei dati personali.
Altro elemento, quasi paradossale, di cui tenere conto: senza dati personali da analizzare non ci sarebbero servizi o mercati digitali – o quasi.
In realtà non ci sarebbero proprio: l’ID utente è a tutti gli effetti un dato personale, senza il trattamento del quale il titolare non può erogare il servizio online, ad esempio.
È poi molto difficile scindere tra diritto alla protezione dei dati personali ed utilizzo dei social networkconforme alla normativa vigente, ossia il DSA.
Questo perché un profilo social è l’equivalente di una finestra alla quale ci si sporge per parlare apertamente con chi si incontra: il problema è che chi si incontra lo decide la piattaforma, sulla base dei dati che raccoglie su ogni utente.
Non solo.
La piattaforma ha “potere di vita e di morte” su ogni profilo che gestisce: può cancellare un soggetto – e, magari, tutti i dati che questo ha immagazzinato in anni -; può sospenderne l’attività per un periodo; può ridurlo al silenzio mediante il sistema delle preferenze o raccomandazioni.
Dal novembre 2022, inoltre, la piattaforma deve rendere conto – non solo di fatto, ma anche di diritto – alla Commissione europea per quanto riguarda alcuni tipi di contenuto, che ha l’obbligo giuridico di contrastare, cancellandoli tout court o rendendoli sostanzialmente “invisibili” ad altri utenti.
Il tutto grazie alla gestione dei dati personali che sono alla base dell’impiego del social network stesso.
Anche il diritto di informazione ed all’informazione, in uno col diritto di libertà di manifestazione del pensiero, è “coinvolto” in questo meccanismo: la connessione tra dato personale e pensiero manifestato – o modalità di manifestazione dello stesso – può determinare la cancellazione o la limitazione del profilo social con conseguente perdita o blocco di dati che sono, a tutti gli effetti, personali.
E ancora: la profilazione, mezzo impiegato per tracciare le abitudini di un utente a fini commerciali, viene in alcuni casi proposta come alternativa – lecita, per ora – al pagamento di servizi che non sono gratuiti, come ad esempio l’accesso a quotidiani ed articoli giornalistici, perché i dati dell’utente hanno un valore economico intrinseco.
Conclusioni
Per quanto, nel nostro ordinamento, non sia possibile cedere a titolo oneroso una parte del corpo umano (mentre si può “donare”), è possibile effettuare una permuta economicamente valutabile tra dati personali e contenuti a pagamento.
Il diritto della protezione dei dati personali e dei servizi e dei mercati digitali è esattamente questo: l’interconnessione necessaria e necessitata tra le discipline della data protection e quella dei settori più marcatamente “economici” dell’ambiente online.