Oggi, nel cyberspazio, i trend di ricerca sul web della parola “privacy” sono nettamente superiori a quella di “protezione dati personali”.
Se nel linguaggio comune, il termine privacy è utilizzato sia per far riferimento alla riservatezza di uno spazio fisico ed emotivo, che alla protezione dati delle persone fisiche, essa in realtà si riferisce all’esercizio di un “diritto di libertà” e quindi ad un concetto molto più nobile.
Anche il Garante della Protezione dei dati personali si è adattato, mantenendo, come identificativo in internet, la dizione di “Garante per la privacy” al fine di ottenere una migliore indicizzazione nei motori di ricerca.
Tuttavia, così facendo, ogni volta che usiamo la parola privacy per intendere protezione dati personali, alimentiamo la percezione da parte di imprenditori, liberi professionisti e dirigenti pubblici che il GDPR è una seccatura volta a complicare la vita dei singoli ed aggiungere ulteriori costi a chi vuol fare impresa o deve erogare servizi ai cittadini.
Questo atteggiamento, imputabile ad una tiepida accoglienza della materia proveniente dal vecchio e forse poco controllato approccio al DLgs. 196/2003 più noto come Codice privacy e prima ancora alla Legge 675/1996 è in realtà totalmente errato, perché ad oggi, molte aziende utilizzano i nostri dati, spesso a nostra insaputa, per trarre profitto a seguito della profilazione degli stessi e quindi dei nostri più intimi segreti.
Da questa errata interpretazione delle informazioni acquisite da utenti ed imprenditori in maniera più o meno effimera, ne discende un clima di superficialità che porta dal lato degli imprenditori a ritenere che gli adempimenti Privacy siano una seccatura che può essere risolta in un mero copia e incolla di documenti sfornati in serie per dimostrare di aver adempiuto, all’ennesima norma ostacolo del business, e dal lato degli utenti a ritenere che questi adempimenti constino in una lunga e tediosa sfilza di cose da leggere e documenti da flaggare per accedere all’ennesimo sito cinese che ci vende oggetti di lusso a bassissimo prezzo, invece di considerare che la Privacy è non solo un elemento distintivo dell’affidabilità aziendale verso i mercati di riferimento e quindi verso dipendenti, clienti, fornitori e collaboratori esterni ma anche una moderna concezione del diritto di libertà delle persone fisiche in un contesto prevalentemente digitale da sottoporre ad una attenta analisi dei rischi a prescindere dalle dimensioni organizzative.
Eppure, quando l’ex garante privacy e giurista Stefano Rodotà affermò che “noi siamo i nostri dati” ben rappresentò che il trattamento illecito dei dati personali corrisponde alla violazione di un diritto fondamentale della persona punibile con una sanzione amministrativa e penale.
Differenza tra privacy e protezione dei dati personali
I due concetti di Privacy e Protezione dei Dati, sebbene strettamente interconnessi tra loro, al punto che spesso sono considerati come sinonimi, sono in realtà fondamentalmente diversi.
Mentre il primo, la Privacy, (termine che oggi utilizziamo quando vogliamo rappresentare uno spazio personale che gli sconosciuti non possono oltrepassare) ha come obiettivo principale quello del diritto alla riservatezza delle informazioni personali e della propria vita privata, diventando quindi quindi uno strumento(un principio di diritto) volto a tutelare la sfera intima del singolo individuo con lo scopo di impedire che le nostre informazioni siano divulgate in assenza di specifica autorizzazione o a chiedere la non intromissione, da parte di soggetti terzi, nella sfera privata da parte di terzi.
Il secondo, la Protezione dei Dati Personali, invece, è un sistema di trattamento dei dati personali, che noi forniamo, e che identifica direttamente o indirettamente una persona.
Nella sua definizione oltre al principio di riservatezza, troviamo quello della disponibilità e dell’integrità dei dati personali.
La definizione di Privacy ha origine nel lontano 1890 e proviene da un idea giuridica nordamericana fondata sul “diritto ad essere lasciato solo”(to be let alone). Questa idea prende le mosse da due giovani avvocati di Boston che all’epoca stavano preparando una causa contro le indiscrezioni sulla vita matrimoniale della moglie di uno di loro che un giornale locale, la Evening Gazette, specializzata in pettegolezzi, fece trapelare in alcuni articoli.
Il concetto di Protezione dati Personali lo troviamo rappresentato per la prima volta nel 1909, a Parigi, da un giovane giurista francese, in un articolo di una rivista di diritto civile, poi diventato famoso, intitolato “Des Droits de la personnalité"(diritti della personalità).
Possiamo quindi vedere che: da un lato il concetto americano di privacy nasce da un'esigenza di sicurezza personale legata alla proprietà; dall’altro lato, a livello europeo il concetto della protezione dei dati personali proviene dal timore che una profilazione dell’individuo possa diventare, nelle mani sbagliate, potenzialmente discriminatoria.
Agli inizi del ‘900 il governo olandese istituì un registro anagrafico in cui venivano riportati i dati identificativi dei cittadini (nome, il numero di identificazione, i dati relativi all’ubicazione ed altri elementi caratteristici della loro identità economica, culturale o sociale, come confessioni religiose ed altre informazioni personali).
Il registro avrebbe facilitato il compito dell’amministrazione pubblica nell’erogazione dei servizi, facilitato l’affermazione del nuovo consociativismo olandese e riformato i rapporti tra le tante culture religiose e pertanto i cittadini lo accolsero con favore. Purtroppo però quando i nazisti invasero i Paesi Bassi e vennero in possesso del registro, ebbero vita facile nell’utilizzare le informazioni personali di milioni di cittadini olandesi per identificare, perseguitare ed assassinare molte persone a causa delle loro origini etniche, religiose e razziali.
Ciò che accadde dopo, ovvero l’invasione nazzista non poteva essere perevista è vero, ma ciò che accadde, ovvero il fatto che gli olandesi fornirono di loro inziativa i propri dati personali al loro governo di cui avevano fiducia, era di fatto una accurata profilazione sociale, gli si ritorse contro a seguito della Grande Guerra.
Altre popolazioni europee furono vittime di analoghi episodi da parte dei regimi comunisti ma con minore efficacia perché la profilazione non era già disponibile ma fu necessario raccogliere prima le informazioni sul campo.
Ciò che abbiamo appena visto, ha, come comun denominatore, la profilazione di persone per l’ origine razziale o etnica, l’opinione politica, le convinzioni religiose o filosofiche, l'appartenenza sindacale nonché per il trattamento di dati genetici, biometrici, relativi alla salute o alla vita sessuale o all’orientamento sessuale ed intesi ad identificare in modo univoco una persona fisica ed oggi viene citato nell’art. 9 e nel Considerando 51 del Regolamento Europeo 2016/679 relativo alla protezione dei dati personali e all’interno dell’art. 4 del GDPR secondo cui, si intende per profilazione “qualsiasi forma di trattamento automatizzato di dati personali consistente nell'utilizzo di tali dati personali per valutare determinati aspetti personali relativi a una persona fisica, in particolare per analizzare o prevedere aspetti riguardanti il rendimento professionale, la situazione economica, la salute, le preferenze personali, gli interessi, l'affidabilità, il comportamento, l'ubicazione o gli spostamenti di detta persona fisica”.
Questi avvenimenti storici, venuti alla ribalta solo anni dopo la fine del secondo conflitto globale, condussero gli Stati alla necessità di proteggere i dati personali ed i relativi trattamenti dall’ingerenza di un'autorità pubblica durante l’esercizio del diritto alla libertà individuale.
Con la Convenzione europea dei diritti dell’uomo firmata a Roma nel novembre del 1950 dai 12 stati all’epoca membri del Consiglio d’Europa si iniziò quindi a delineare il concetto di protezione dei dati personali sviluppatosi poi fino ai giorni nostri.
Si tratta quindi di due concetti diversi, provenienti da culture differenti.
Se quindi da un lato la privacy è stata costruita come un dispositivo “escludente” ovvero come uno strumento per allontanare lo sguardo indesiderato, la protezione dei dati personali dall’altro mette al centro la persona in riferimento ai suoi dati perché questi costituiscono un’identità.
In merito il comma 3 dell’art. 8 della Carta dei Diritti fondamentali dell’unione Europea, prevede che in Europa, a differenza degli Stati Uniti il modello privacy, può contare sulla presenza di apposite Autorità indipendenti di controllo che ricoprono il ruolo di Garanti del rispetto della disciplina, relativa alla protezione dei dati personali.
Le motivazioni della mancata presenza di specifiche autorità indipendenti nel modello americano trovano una giustificazione nelle idee liberiste americane che hanno portato il legislatore a riporre una straordinaria fiducia nella autoregolamentazione.
Cosa costituisce violazione della privacy
La violazione della privacy è un reato che può essere commesso in diversi ambiti, come in casa, a scuola o a lavoro che può comportare delle sanzioni sia civili che penali o amministrative, e che può creare un danno anche d'immagine.
È facile, infatti, fare un uso errato dei dati sensibili che, oramai, si trovano ovunque e che, in caso di furto, potrebbero essere davvero pericolosi per un'azienda sia di grandi sia di piccole dimensioni.
Il Codice per la privacy, prevede all’articolo 82 letto in combinato disposto con l’art. 2050 c.c. che, al fine di tutelare i soggetti che subiscono una violazione dei dati personali, “chiunque cagioni un danno agli altri per effetto del trattamento dei dati personali deve risarcire coloro che hanno subito il danno”.
Ciò significa che venga citata in un eventuale giudizio anche l'azienda colpita dal data breach, sopratutto se questa non ha adottato gli strumenti necessari per riuscire a proteggere i dati personali dei dipendenti e degli utenti finali.
Saranno, quindi, responsabili del danno e quindi del suo risarcimento sia chi utilizza i dati in modo fraudolento, sia coloro che non li hanno protetti in modo adeguato, incorrendo inoltre in ulteriori sanzioni accessorie.
Il codice della privacy
La prima legge italiana sulla protezione dei dati personali nasce nel 1996 (n° 675), nota come “legge sulla privacy”, ha istituito la figura del garante per la privacy (autorità indipendente dal potere esecutivo), per assicurare la tutela dei diritti, delle libertà fondamentali ed il rispetto della dignità nel trattamento dei dati personali.
Questa norma che inizialmente riconosceva per la prima volta il diritto di chiunque alla riservatezza ed alla tutela dei propri dati personali, e fissava le “misure minime” di sicurezza necessarie per poter effettuare trattamenti di dati personali (Stabilite poi nel DPR 318/99) è stata,poi, ulteriormente chiarita e definita dai provvedimenti del Garante.
in seguito, nel 2003 la vecchia legge 675/96 è stata sostituita dal nuovo “testo unico” approvato a Giugno che riorganizza la materia.
Dal 1° Gennaio 2004, infatti, è entrato in vigore il D. Lgs. N° 196 del 30 Giugno 2003, denominato “Codice in materia di protezione dei dati personali”, che sostituisce e integra tutta la precedente legislazione in materia (la più nota è la Legge 675/96). Introducendo nuovi principi di tutela e riservatezza dei dati, il Codice si pone come utile strumento per la protezione e salvaguardia degli stessi.
A seguito dell’approvazione del Regolamento UE n.679 del 2016 il Governo italiano, con il d.lgs. n.101 del 2018 ha provveduto ad adeguare il “Codice in materia di protezione dei dati personali”.
Il legislatore, al posto di abrogare il testo unico d.lgs. n.196 del 30 giugno 2003, ha preferito riformarlo introducendo nella disciplina già vigente alcune novità che permettono di attuare i principi ispiratori della nuova disciplina europea.
Infatti, il Regolamento si basa sul principio di accountability e sui principi della privacy by design e della privacy by default.
ACCOUNTABILITY:
In base al principio della accountability i titolari del trattamento hanno l’obbligo di valutare i dati in loro possesso ed il loro valore, al fine di approntare le misure tecniche ed organizzative che ritengono adeguate per tutelarli.
In altri termini, i titolari del trattamento dei dati devono auto responsabilizzarsi effettuando una corretta analisi dei rischi connessi al trattamento dei dati e implementare le misure di sicurezza adeguate.
PRIVACY BY DESIGN:
Il principio della privacy by design, invece, tende a garantire la protezione dei dati fin dalla fase di ideazione e progettazione di un trattamento o di un sistema e, quindi, obbliga il titolare ad adottare comportamenti che consentano di prevenire possibili problematiche.
PRIVACY BY DEFAULT:
Il principio della privacy by default, infine, obbliga il titolare a predisporre preliminarmente il trattamento in modo tale che esso abbia ad oggetto solo i dati personali strettamente necessari e sufficienti, e duri solo il tempo utile per raggiungere le finalità previste.
Il codice della privacy stabilisce, quindi, norme relative alla protezione delle persone fisiche con riguardo al trattamento dei dati personali, nonché norme relative alla libera circolazione di tali dati. Esso protegge i diritti e le libertà fondamentali delle persone fisiche.
IL CODICE E’ DIVISO IN TRE PARTI:
- la prima è dedicata alle disposizioni generali, riordinate in modo tale da trattare tutti gli adempimenti e le regole del trattamento con riferimento ai settori pubblico e privato;
- la seconda è la parte speciale e reca “Disposizioni specifiche per i trattamenti necessari per adempiere ad un obbligo legale o per l’esecuzione di un compito di interesse pubblico o connesso all’esercizio di pubblici poteri nonché disposizioni per i trattamenti di cui al capo IX del regolamento” ed è dedicata, come detto a specifici settori;
- la terza affronta la materia delle tutele amministrative e giurisdizionali con il consolidamento delle sanzioni amministrative e penali e con le disposizioni relative all’Ufficio del Garante.
Le sanzioni per la violazione della privacy
La violazione della privacy, dunque, integra un reato che viene commesso nel momento in cui si utilizzano in modo illecito (senza il consenso dell’avente diritto) i suoi dati personali.
Il reato si configura anche quando:
- viene notificato il falso al Garante per la privacy;
- non si adottano le misure necessaria per tutelare i dati sensibili;
- non vengono rispettati i provvedimenti stabiliti dal Garante per la privacy.
Le sanzioni previste dal Codice per la privacy, al Titolo III del codice ed agli articoli 161 e seguenti, sono:
- la reclusione da 6 mesi a 3 anni nel caso di trattamento illecito dei dati personali al fine di trarre un profitto o di recare danno ad un soggetto terzo;
- la reclusione da 6 mesi a 3 anni per chi dichiara o attesta il falso, anche attraverso la produzione di documenti falsi che vengono esibiti dinanzi al Garante per la privacy;
- la reclusione da 3 mesi a 2 anni per il mancato rispetto dei provvedimenti del Garante per la privacy;
- l’arresto fino a 2 anni o l’ammenda da 10.000 a 50.000 euro nel caso in cui non vengano messe in atto le misure di sicurezza per la protezione della privacy. In quest’ultima ipotesi si hanno a disposizione 6 mesi di tempo di prescrizione per mettersi in regola. Se entro tale termine il reo risulta adempiente, pagherà esclusivamente un quarto della somma massima prevista dal reato, che, pertanto, sarà estinto.
Il Gdpr
Il Gdpr, acronimo di General data protection regulation, è il regolamento Ue n. 2016/679 in materia di privacy e diritto all’oblio. Lo stesso, composto da 99 articoli, è un regolamento in vigore in tutti i paesi dell’Unione europea i quali sono obbligati ad un adeguamento della normativa interna in caso di conflitto.
L’obiettivo principale del Gdpr è quello di dare una direttiva uniforme riguardante il trattamento dei dati e il diritto ad essere in pieno possesso delle informazioni che riguardano la propria persona.
Le principali questioni affrontate e regolamentate sono:
- il diritto ad avere delle informazioni più chiare per il consenso del trattamento dei dati personali;
- il diritto all’oblio che tutela il diritto di ogni singolo individuo ad "essere dimenticati" e quindi non indicizzati nei motori di ricerca per fatti che, in passato, furono oggetto di cronaca. Il diritto all’oblio evoca un concetto di identità personale dinamico, nel senso di essere ricordati per ciò che si è diventati e non solo per ciò che si è stati. Ciò comporta il diritto all’aggiornamento della notizia, il diritto alla deindicizzazione, il diritto alla cancellazione dall’archivio sorgente, il diritto alla cancellazione anche dai database che hanno ripubblicato la notizia, nonché il diritto di anonimizzazione del dato;
- il limite al trattamento automatizzato con il quale vengono definiti i limiti alla divulgazione automatica dei dati e delle informazioni senza il consenso dell’avente diritto;
- il trasferimento dati. Sono stabiliti, infatti,diversi criteri per il trasferimento dei dati, sia permettendo la condivisione sia prevedendo anche l’estensione delle norme alle aziende con sede al di fuori dell’Ue, se riferite a soggetti presenti in Europa;
- le sanzioni che possono arrivare fino a 20 milioni o al 4% dei ricavi annui dell’azienda.
La violazione della privacy nel mondo dell’informazione
Come già accennato, la violazione della privacy può avvenire in diversi ambiti e tra questi non è escluso il mondo dell’informazione.
In questi casi, il reato può configurarsi quando i media utilizzano le informazioni di qualcuno in modo improprio, o quando rendono pubblici dati che, al contrario, andrebbero tutelati.
Questo è il motivo per cui quando si pubblicano immagini di minori la loro identità, per dovrebbe essere tenuta nascosta mediante l’apposizione sul loro volto di pixel.
Per evitare, dunque, che nell’ambito dell’informazione si possano commettere errori di tale genere, il Garante della privacy ha predisposto che “la divulgazione di dati in grado di consentire una identificazione, sia globale che locale, cioè limitata ad un piccolo centro o paese nel quale il minore realmente dimora, è da ritenersi comunque illecita”. I soggetti che possono essere puniti sono non solo il giornalista che ha divulgato i dati, ma anche il direttore responsabile della testata per cui lavora.
Al contrario, non si commette una violazione della privacy quando le immagini pubblicate sono state scattate in un luogo pubblico e non ledono la dignità di nessuno o sono state prodotte con il consenso del soggetto ritratto.
Inoltre, non si possono divulgare i nomi ed i volti di:
- vittime di violenza sessuale;
- membri delle forze dell’ordine o dell’autorità giudiziaria;
- familiari delle persone che sono state coinvolte in un fatto di cronaca.
Privacy su internet
Internet è senza dubbio il luogo dove, al giorno d’oggi, il reato di violazione della privacy viene perpetrato con maggior frequenza.
Nella specie, la violazione può consistere in:
- diffusione illecita di dati personali;
- violazione, sottrazione, soppressione o diffusione di posta elettronica altrui;
- installazione di apparecchiature con quali intercettare i dati di qualcuno in modo abusivo;
- accesso non autorizzato a un sito;
- spionaggio informatico;
- frode informatica.
Per quanto attiene alla frode informatica, in particolare, si tratta di un reato disciplinato dall’articolo 640 ter del codice penale e per il quale si può essere condannati alla pena della reclusione da 6 mesi a 3 anni e alla multa da 516 euro a 1.032 euro. La reclusione va da 1 a 5 anni e la multa da 309 a 1.549 euro se il reato viene commesso abusando della propria qualifica di operatore di sistema.
Come difendersi e ottenere il risarcimento
Nel caso in cui si subisca un danno relativo al trattamento illecito dei propri dati personali, anche qualora non sia di particolare gravità, si ha diritto ad un risarcimento.
Il danno, ovviamente, in base ai principi generali, deve essere provato e l’onere della prova incombe sul soggetto danneggiato.
La Corte di Cassazione ha stabilito, a tal proposito, che il risarcimento del danno non patrimoniale derivante dalla violazione della privacy “non si sottrae ad un accertamento da parte del giudice – da compiersi con riferimento alla concretezza della vicenda – destinato ad investire i profili della gravità della lesione inferta e della serietà del danno da essa derivante”.
In un’altra pronuncia è stato stabilito che il danno non patrimoniale sussiste quando “l’individualità della persona offesa o di cui sono stati resi pubblici dati sensibili non ne postula l’esplicita indicazione del nominativo, essendo sufficiente che essa possa venire individuata anche per esclusione in via deduttiva, tra una categoria di persone, a nulla rilevando che in concreto tale individuazione avvenga nell’ambito di un ristretto numero di persone”.
Sul punto si è espressa anche l’Unione europea, affermando che chiunque subisca un danno per la violazione della privacy ha diritto ad ottenere il risarcimento del pregiudizio subito dal responsabile del trattamento.