0
0
In pratica, un’impresa giapponese che pubblicizza con un sito web rivolto a cittadini Europei gite turistiche con guide locali in Giappone deve trattare i dati degli utenti del sito conformemente alle norme del GDPR. Analogamente, un’impresa statunitense che posiziona cookies di tracciamento (“tracking cookies”) sui computer di persone che si trovano nell’UE è soggetta alle norme del GDPR. Un’impresa cinese che consente ai clienti europei di scaricare un’app contapassi e acquisisce informazioni sugli spostamenti di queste persone deve osservare le norme del GDPR.
Il GDPR mira a garantire una tutela dei dati personali adeguata al grado di sviluppo delle moderne tecnologie e, a tal fine, impone obblighi stringenti a coloro che trattano qualsiasi genere di informazione relativa a persone fisiche per scopi professionali o imprenditoriali o anche per finalità di ricerca. È importante sottolineare che la tutela non è circoscritta alle informazioni che attengono alla sfera intima e privata di un individuo: sono protette pure le informazioni sull’attività lavorativa o sulle relazioni sociali. La tutela non viene meno neppure ove si tratti di dati personali divenuti di pubblico dominio.
Inoltre, si considera “dato personale” ai sensi del GDPR non solo quell’informazione che consente di risalire all’identità della persona a cui si riferisce (come il nome, il codice fiscale o il numero della carta d’identità o dell’assicurazione sanitaria), ma anche un dato che, combinato con altri disponibili presso chi lo tratta o presso soggetti terzi, sia indirettamente riconducibile alla persona o comunque consenta di distinguere quest’ultima dalle altre. Ecco perché uno pseudonimo, una data di nascita, un indirizzo IP, un marcatore temporaneo (cookie), il codice assegnato ad un paziente in una sperimentazione clinica… costituiscono dati personali.
Il Regolamento riconosce che alcuni dati sono particolarmente “sensibili” e necessitano di una tutela rafforzata. Si tratta dei dati inerenti all’origine razziale o etnica, alla salute, alle opinioni politiche e sindacali, alle convinzioni religiose e filosofiche o all’orientamento sessuale, nonché dei dati genetici e biometrici. Addirittura, è stabilito che, di norma, questi dati non possano essere trattati, se non con il consenso dell’interessato o in presenza di determinati presupposti definiti dal Regolamento.
Il controllo sul rispetto delle norme del GDPR è affidato, oltre che alle autorità giudiziarie, ad autorità indipendenti presenti negli Stati membri dell’Unione, che possono applicare sanzioni pecuniarie elevatissime («fino a 10 000 000 EUR, o per le imprese, fino al 2% del fatturato mondiale totale annuo dell’esercizio precedente»). In Italia vi è il Garante per la protezione dei dati personali.
Ci sarebbe molto altro da dire sul GDPR, ma questa sintesi dovrebbe far capire perché esso sia, a buon diritto, ritenuto uno degli strumenti giuridici di tutela dei dati personali più avanzati al mondo, al punto da essere fonte d’ispirazione per i legislatori di vari Paesi extra-UE (come il Brasile, l’India e la California).
Del resto, la combinazione dell’ampio ambito di applicazione del GDPR e la rilevanza strategica che riveste il mercato unico europeo per gli operatori economici ovunque nel mondo costringe tali operatori a conformarsi allo standard di tutela delineato dal GDPR. In tal modo, l’UE sta diffondendo a livello globale la salvaguardia dei diritti delle persone per quanto attiene al trattamento dei loro dati personali.
Quindi, benché il diritto alla tutela dei dati personali fosse tutelato nell’UE da decenni (grazie, dapprima, alla Corte di giustizia dell’UE e poi anche alla Carta dei diritti fondamentali), il GDPR ha segnato indubbiamente un progresso in questo ambito.
Eppure, a volte, tendiamo a vedere le informative sulla privacy e i moduli di rilascio al trattamento dei dati personali come le ennesime “scartoffie” incomprensibili che ci viene chiesto di firmare per avere un servizio. Oppure ci sembra assurdo dover chiedere a qualcuno l’autorizzazione a trattare i suoi dati personali, che, magari, lui stesso ha “postato” su qualche social media una sua foto o un suo video o ci ha trasmesso un messaggio vocale. E quante volte ci diciamo che tutto quel che facciamo per strada è ripreso da telecamere posizionate da chissacchì e che possiamo essere inconsapevolmente immortalati dai tanti sconosciuti che fanno un “selfie”. Insomma, ci sembra che sia ridicolo parlare di tutela dei dati personali, visto che, volenti o nolenti, ci scambiamo ogni giorno dati personali con innumerevoli persone che ci siano note o meno. Dov’è la “privacy”?!
Eppure, a ben vedere, alcuni episodi di cronaca che si sono succeduti negli ultimi anni ci hanno fatto realizzare (almeno sul momento) che la violazione dei dati personali può compromettere irrimediabilmente la dignità di una persona o precluderle di esercitare liberamente il diritto di voto.
Con la lucidità di pensiero che lo distingueva, il professor Stefano Rodotà ha evidenziato che la tutela dei dati personali è essenziale per il rispetto della dignità umana e per preservare la democrazia vari anni fa, quando ancora altri eminenti giuristi consideravano il diritto alla protezione dei dati personali un inutile duplicato del diritto alla riservatezza, che era già tutelato dalla nostra Costituzione.
Negli anni Novanta del secolo scorso, il professor Rodotà invocava un “habeas data” che garantisse l’inviolabilità del “corpo elettronico” degli individui – risultante dalle informazioni su di essi che vengono trattate, collegate e fatte circolare nella cosiddetta realtà virtuale – così come l’“habeas corpus”, sancito dalla Magna Charta Libertatum, ha consentito la salvaguardia della libertà personale.
In effetti, la mole di informazioni che “viaggiano” sulla rete Internet è tale che ciascuno di noi ha anche una dimensione virtuale, che merita lo stesso livello di tutela che è assicurato alla nostra persona fisica. Anche se può sembrarci oltraggioso, è un fatto che noi siamo (anche) le nostre informazioni e, quindi, il rispetto della nostra dignità dipende da come queste informazioni sono trattate quotidianamente dai molteplici individui, operatori economici e autorità pubbliche che ne vengono in possesso grazie alle moderne tecnologie e forme di comunicazione.
Al tempo stesso, il professor Rodotà ha messo in luce un altro importante risvolto della tutela dei dati personali. Egli segnalava che “il futuro delle nostre organizzazioni sociali sarà fortemente condizionato, da una parte, dal modo in cui verranno impiegate le diverse e sempre più sofisticate tecnologie di controllo e, dall’altra, dalla qualità dei dati raccolti, tra i quali spiccano per delicatezza quelli genetici e, più in generale, quelli biometrici”.
Il controllo massiccio e sistematico delle autorità governative, spesso indicato come strumento necessario per assicurare l’ordine pubblico e la sicurezza, di fatto ci rende tutti meno liberi. Può andarci bene, può essere un prezzo che riteniamo giusto pagare affinché chi delinque sia assicurato alla giustizia. Ma ridimensiona la garanzia dell’“habeas data” e, quindi, la nostra libertà personale.
Non a caso la Corte di giustizia, con una celebre sentenza del 2015, ha posto un freno ai trasferimenti di dati personali dall’Unione europea agli Stati Uniti perché “una normativa [quale quella statunitense] che consente alle autorità pubbliche di accedere in maniera generalizzata al contenuto delle comunicazioni elettroniche pregiudic[a] il contenuto essenziale del diritto fondamentale al rispetto della vita privata”.
Dalla tutela dei dati dipende altresì l’uguaglianza. Se un potenziale datore di lavoro venisse a sapere dalla nostra assicurazione contro la malattia che ci siamo sottoposti a delle cure per una malattia cronica, chi sceglierebbe tra noi e quei candidati che, pur avendo la nostra stessa preparazione, non hanno ricevuto quelle cure? Ecco che subiremmo una discriminazione. E che dire se dei medici potessero condividere, senza il nostro consenso, del materiale biologico, che ci è stato prelevato in ospedale per un trattamento sanitario, con un nuovo Josef Mengele intenzionato ad usarlo per sviluppare teorie pericolose, che ne sarebbe di una delle più grandi conquiste della storia costituzionale: l’uguaglianza di tutti gli individui indipendentemente dalla loro origine etnica?
E poi c’è la democrazia: le libere elezioni e il voto che scaturisce dall’autonomo giudizio di ciascun elettore. Lo scandalo “Cambridge Analytica” ci ha svelato che, attraverso sofisticati algoritmi, possiamo essere vittime inconsapevoli di manipolazioni messe in atto, sui vari social media, da chi vuole “estorcere” il nostro consenso, anziché meritarselo.
E val la pena concludere tornando sull’obiezione che spesso si muove a chi invoca la tutela dei propri dati personali: dov’è la “privacy”? Cioè, a che pro tutelarla se tanto la abbiamo tutti persa, a volte per nostra stessa scelta.
Beh, il diritto alla tutela dei dati personali non viene meno solo perché diamo a qualcuno i nostri dati che li userà per renderci un servizio. Anzi, esso presuppone che i nostri dati circolino e siano condivisi con soggetti terzi e, proprio in questi casi, ci dà un importante potere: quello di scegliere quali dati fornire, a chi, a quali scopi, con quali modalità, a quali condizioni, per quanto tempo e solo in presenza di certe garanzie. Il diritto che il GDPR mira a rafforzare si concreta nell’autodeterminazione informativa, nella nostra capacità di mantenere perennemente il controllo sui nostri dati affinché sia tutelata la nostra libertà personale anche nella realtà fluida del mondo virtuale.
Quindi, c’è senz’altro da rallegrarsi dello standard di tutela dei dati personali raggiunto nell’Unione europea e auspicare che continui il suo influsso positivo sugli altri Paesi nel mondo.
