Appunti degli studenti per corsi ed esami del Prof. Restuccia Riccardo

La questione relativa alla privacy è stata legata, sin dall’origine, ai c.d. diritti della personalità e alle ricostruzioni teoriche e applicative riguardanti la persona; in considerazione di ciò, si può affermare che la normativa in materia di trattamento dei dati personali è diventata oggi, uno degli strumenti più importanti di tutela della persona. Per le regioni appena esposte, mediante la prima parte dell’elaborato si è cercato di esaminare, dapprima, i fondamenti che hanno permesso di far sì che la persona acquisisse rilevanza giuridica all’interno dell’ordinamento e, in secondo luogo, i concetti di riservatezza e privacy alla stregua dei dettami nazionali e comunitari in tema. Per lungo tempo, la Direttiva 95/46/CE del 24 Ottobre 1995 è stata il principale strumento giuridico dell’UE in ambito di protezione dei dati, allo scopo di armonizzare le disposizioni in materia e garantire un duplice interesse: il "libero flusso" dei dati - free flow of data - e la tutela dei diritti fondamentali dei cittadini comunitari. Con l’avvento del D. Lgs. 196/2003 poi il diritto alla riservatezza è divenuto un diritto differente rispetto a quello sulla protezione dei dati, poiché non riguarda unicamente informazioni sulla vita privata, ma più in generale, ricomprende ogni informazione, anche se non riservata, relativa a un individuo. Attraverso il suo testo il legislatore ha infatti teso lo sguardo verso il traffico dei dati, proponendosi come obiettivo quello di ottenere un generale bilanciamento di interessi tra i due soggetti principali del trattamento: il titolare – colui che ha interesse nel ricevere e nel trattare i dati degli individui, e l'interessato - colui che mette a disposizione del titolare i propri dati. Ma la vera novità, di recente introduzione, è il Regolamento dell’Unione Europea n. 2016/679 (meglio noto come GDPR), la cui materia è la protezione delle persone fisiche con riguardo al trattamento e alla libera circolazione dei dati personali di queste. Trattasi di una reazione alle continue minacce e provocazioni poste dagli sviluppi informatici-tecnologici e avvertite all’interno dell’intero territorio dell’Unione Europea. Oggetto, dunque del Regolamento è il dato personale ossia lo strumento giuridico mediante il quale i legislatori, sia nazionali che comunitari, garantiscono e proteggono l’insieme dei dati inerenti all’identità personale. La definizione viene resa dall’art. 4, paragrafo 1 n. 1 del Regolamento (UE) 2016/679, ai sensi del quale il dato personale è rappresentato da: “qualsiasi informazione riguardante una persona fisica identificata o identificabile […]” ove con il termine “identificazione” si intende la possibilità di scernere un soggetto da qualsiasi altro, mentre con “identificabile” la persona fisica che può essere identificata, direttamente o indirettamente, attraverso il riferimento ad altri elementi. A comporre la macro-categoria vi sono, dunque, oltre ai dati “identificativi” di cui sopra, i dati sensibili o particolari e i dati giudiziari. I primi, che nel nuovo Regolamento europeo assumono la qualità di “dati soggetti a trattamento speciale” sono rappresentati da tutte le informazioni idonee a rivelare l'origine razziale o etnica, le convinzioni religiose-filosofiche, le opinioni politiche, l'appartenenza sindacale, la vita e l’orientamento sessuale, di uno specifico individuo. L’art. 9, par. 1 GDRP inserisce nella nozione anche i dati biometrici, genetici e sulla salute. La norma stessa vieta il trattamento dei c.d. dati sensibili, ma vi è tutta una serie di esenzioni che ne consente il trattamento quali ad esempio il consenso esplicito dell’interessato per uno o più finalità determinate, il fine di esercitare o difendere un diritto in sede giudiziaria etc. In ultimo, i dati c.d. “giudiziari” sono atti a rivelare l’esistenza di provvedimenti penali soggetti a iscrizione nel casellario giudiziale (es. liberazione condizionale, misure alternative alla detenzione, provvedimenti di condanna definitivi), la qualità di indagato ovvero la qualità di imputato. Il trattamento di questo tipo di dati, ai sensi dell’art. 10 GDPR “deve avvenire soltanto sotto il controllo dell’autorità pubblica e se il trattamento è autorizzato dal diritto dell’Unione o degli Stati membri che preveda garanzie appropriate per i diritti e le libertà degli interessati. […]”. L’attività di videosorveglianza e le registrazioni fonografiche rientrano oggi tra le tematiche più salienti in relazione alla Privacy e alla protezione dei dati personali, considerata la natura potenzialmente invasiva dei mezzi utilizzati, oltre alla quantità di informazioni private che raccolgono e che, con estrema facilità, potrebbero quindi essere divulgate senza alcuna autorizzazione né consapevolezza da parte del soggetto interessato. Ma apparentemente in opposizione all’imprescindibile diritto alla Privacy, come non intromissione nella propria “sfera privata”, sussistono ed esistono diritti non meno importanti di questo, quali possono essere il diritto alla sicurezza, alla prevenzione dei reati e il diritto alla difesa, che trovano la loro garanzia anche nell’utilizzo degli strumenti appena sopra menzionati. Quale, tra i diritti che entrano in conflitto, ebbene, risulta essere più importante rispetto all’altro? In questo elaborato, ci occuperemo di rispondere al quesito appena posto, analizzando come le esigenze di libertà e riservatezza, siano state contemperate con le altre, or ora richiamate, facoltà. Da subito, probabilmente sfatando un convincimento comune, è possibile affermare che la registrazione di un colloquio, anche se avvenuta all’insaputa di uno o più interlocutori, non dà luogo a una lesione della privacy, né costituisce fattispecie di reato in quanto, seppure ignaro di essere registrato, il soggetto - o i soggetti – presente ha piena consapevolezza di parlare con un altro individuo. Invero, una conversazione intercorsa tra soggetti privati che si sia legittimamente e liberamente esaurita, di norma, viene acquisita in tutte le sue sfumatura dagli interlocutori e da chi vi ha manifestamente assistito, con l’effetto che ognuno dei partecipanti, attivi o passivi che siano, ne potrà eventualmente disporre legittimamente, anche a fini di prova nel processo, sia questo civile (ex art. 2712 cc) o penale (ex art. 234 c.p.p.). Non sarà dunque possibile invocare il diritto alla privacy al fine di sostenere l’illegittimità della prova documentale, in quanto la riservatezza e ogni sua sfumatura non operano qualora sia lo stesso titolare del diritto tutelato a rinunciarvi, come nel caso in cui si tenga conversazione con altri individui. La registrazione allora, diviene lo strumento attraverso il quale vengono fissate, su una memoria elettronica, le notizie che sono già “nostre” poiché udite e apprese dall’altro o dagli altri partecipanti alla conversazione. In sintesi, l’individuo privato, spontaneo autore della registrazione, deve fisicamente essere presente nel momento in cui la conversazione è oggetto di memorizzazione audio. Questi non può, dunque, limitarsi a lasciare in uno o più ambienti, un dispositivo di registrazione attivo, allontanandosi da questo/i; andandosene, infatti, si genererebbe negli altri l’illusione di essere liberi di esprimersi, con la contestuale presunzione di non essere sottoposti ad alcun tipo di controllo, giungendo a rivelare cose che altrimenti non avrebbero rivelato. Allo stesso modo, anche se il soggetto che registra è presente, e al fine di non ricadere nell’ipotesi di cui all’art. 615 bis del codice penale rubricato “Interferenze illecite nella vita privata”, la legge vieta la registrazione di un dialogo, avvenuta all’insaputa del soggetto interessato da questa, nei luoghi specificati al comma 1, dell’art. 614 del codice penale. Secondo questa norma, che disciplina il reato di violazione di domicilio, questo si concretizza quando un soggetto estraneo “si introduce nell’abitazione altrui, o in un altro luogo di privata dimora, o nelle appartenenze di essi, contro la volontà espressa o tacita di chi ha il diritto di escluderlo, ovvero vi si introduce clandestinamente o con l’inganno”. Se, come appena chiarito, è lecito registrare una conversazione, anche avvenuta telefonicamente – con tutti i limiti descritti in precedenza - non si può dire lo stesso circa la divulgazione del suo contenuto. Invero, assunto un file audio, è sancito il divieto di farlo ascoltare a terzi estranei e non presenti, sia che si tratti di destinatari in numero determinato (rivelazione) sia, tanto più, che si tratti di un numero indeterminato di questi (diffusione). La memorizzazione fonica del colloquio non può nemmeno, dunque, essere oggetto di pubblicazione su siti internet, social network o applicazioni in genere; tuttavia, se effettuata conformemente alla legge, la registrazione fonografica potrà legittimamente essere divulgata, solo in presenza, alternativamente, di determinati presupposti e segnatamente: quando vi sia il consenso di tutti gli interessati ovvero qualora avvenga con il fine di difendere un diritto, proprio o altrui, in ambito processuale o presso una qualsiasi autorità preposta alla tutela dei diritti del cittadino. Secondo recenti orientamenti giurisprudenziali, la punibilità, infine, rimane esclusa anche nel caso in cui la diffusione corrisponda a un'obiettiva esigenza di cronaca. La disciplina generale, analizzata sino a questo momento, è stata accolta espressamente anche in ambito giuslavoristico. Forse per la sua natura maggiormente irruenta e per la sua tendenza ad irrompere, senza avvisi, nella vita privata dei cittadini, la videosorveglianza, sia essa ad uso privato ovvero ad uso pubblico, è subordinata a direttive ben più circoscritte, volte, in particolare, a tutelare la privacy e le libertà fondamentali degli individui. Alla luce di quanto disposto dal Regolamento europeo si può affermare che le semplici immagini che riproducono gli individui non sono classificabili, di per sé, come dati particolari ai sensi dell’art. 9 GDPR, ma identificabili come meri dati personali, poiché, anche se riguardanti il volto, non rientrano nel concetto di dato biometrico, tutelato dallo stesso articolo. Ciò premesso, occorre però aprire una breve parentesi, giacché spesso alcune immagini sono di fatto idonee a rivelare uno o più elementi di diversificazione che qualificano come sensibile un dato personale pertanto, vale la pena di affermare che le immagini possono essere identificate in “dati potenzialmente sensibili”; verrà considerata sensibile, a titolo esemplificativo, l’immagine di un individuo che indossa un particolare copricapo dalla quale si desume l’orientamento religioso. Anche l’immagine del volto (o come richiamata dal GDPR, “l’immagine facciale”) oggi, sulla base della sempre più penetrante evoluzione tecnologica delle telecamere face detection, è suscettibile di divenire dato sensibile: ciò qualora sia oggetto di un determinato trattamento tecnico, attraverso cui vengono rilevati una serie di parametri biometrici, che lo trasforma in un mezzo con il quale è possibile identificare automaticamente, ma soprattutto univocamente, una persona. Tenuto dunque conto che i normali impianti di videosorveglianza, non possono cancellare quei tratti distintivi che rendono sensibili le immagini, se ne deduce che, anche se non tutte le immagini si profilano quali dati sensibili, in ogni caso, installare telecamere significa attuare tutte le misure minime di sicurezza attese per il trattamento elettronico dei dati sensibili, dal momento che le videoriprese sono potenzialmente idonee a rivelare aspetti discriminanti di un soggetto. In tal senso è andata una recente disposizione del Garante (parere n. DREP/AC/113990 del 7 Marzo 2017) nella quale vengono fornite precise indicazioni in materia di videosorveglianza, determinando alcuni obblighi diretti a coloro che utilizzano questo tipo di impianti. Il citato provvedimento stabilisce che, l’installazione di sistemi di videosorveglianza presso la propria abitazione, non prevede alcuna autorizzazione da parte della polizia o del proprio condominio, purché le telecamere non riprendano spazi comuni ovvero luoghi di passaggio pubblico. Dunque, nell’utilizzo degli strumenti volti a inquadrare spazi interni o esterni, con o senza registrazione delle immagini, il trattamento, ai sensi del provvedimento n. DREP/AC/113990, deve essere eseguito con modalità tali da delimitare l’angolo della visuale allo spazio effettivamente da proteggere e “comunque limitato ai soli spazi di propria esclusiva […] escludendo ogni forma di ripresa, anche senza registrazioni di immagini, relativa ad aree comuni […] ovvero ad ambiti antistanti l’abitazione di altri condomini”. L’utilizzo di apparecchiature, inoltre, è subordinato alla presenza di determinate circostanze che ne giustifichino l’installazione quali la protezione degli individui ovvero della proprietà. Particolare rilievo assume anche il Provvedimento in materia di videosorveglianza del Garante, datato 8 Aprile 2010 la cui ratio è volta a conciliare le libertà dei cittadini, i quali devono poter frequentare luoghi e spazi pubblici senza per questo incorrere in ingerenze eccessive nella loro privacy, con le esigenze di sicurezza. Affinché ciò sia possibile è necessario, afferma il Garante, che l’attività di videosorveglianza rispetti i requisiti di liceità, necessità, proporzionalità e finalità, da considerare unitamente ad altri adempimenti pratici. Primo fra tutti quello dell’informativa, in virtù della quale, il Garante impone che gli interessati siano sempre informati di stare per accedere in una zona videosorvegliata; ciò anche nei casi di eventi e occasioni di spettacoli pubblici. A tal fine, appare opportuno utilizzare il cartello di informativa breve, purché sia idoneo a individuare il titolare del trattamento e le finalità perseguite; questo dovrà essere ben visibile in qualsiasi condizione di illuminazione, collocato prima del raggio d’azione della videocamera, con possibilità di installarlo anche nelle immediate vicinanze; un avviso che informa in ritardo o poco visibile, non mette i passanti nelle condizioni di decidere se prestare il proprio consenso oppure negarlo, in altre parole, se farsi riprendere dalle telecamere oppure evitarle. In tal senso è andata la disciplina del c.d. Jobs Act, il quale ha modificato, riscrivendolo, l’art. 4 dello Statuto dei lavoratori che proibiva categoricamente l’utilizzo di impianti audiovisivi o simili, al fine di controllare a distanza l’attività del lavoratore. L’installazione di sistemi di videosorveglianza dunque, è ammessa a condizione che ricorrano esigenze di carattere difensivo quali la sicurezza sul lavoro e la tutela del patrimonio aziendale ovvero esigenze organizzative e produttive. Ad ogni modo, prima dell’installazione (non solo prima dell’attivazione) è tassativa la presenza di un accordo sindacale o, in assenza, di una autorizzazione amministrativa concessa, in linea di massima, dalla Direzione territoriale del lavoro. Viene da ultimo specificato che le informazioni raccolte mediante gli strumenti di controllo e di lavoro, possono essere utilizzate per sole finalità correlate al rapporto di lavoro (ivi comprese quelle disciplinari), previa completa ed esaustiva informativa al lavoratore circa l’uso degli strumenti e l’effettuazione dei controlli. In deroga a quanto sino ad ora detto, l’obbligo di informativa agli interessati può venire meno qualora i dati personali siano trattati da enti stabiliti dalla legge, per finalità di tutela dell´ordine e della sicurezza pubblica, prevenzione, accertamento o repressione dei reati. Ma prima ancora che possano essere attivati i sistemi di videosorveglianza, prima dunque, di procedere al trattamento dei dati, l’art. 35 del GDPR impone l’obbligo di effettuare preventivamente una valutazione dell’impatto dei trattamenti previsti sulla protezione dei dati personali. Tale onere insorge ogniqualvolta un trattamento possa comportare un rischio elevato per i diritti e le libertà delle persone interessate ed è destinata al titolare del trattamento dei dati, il quale, previa consultazione con il responsabile della protezione dei dati (se designato) deve redigere la D.P.I.A. - Data Protection Impact Assessment – ossia un documento di valutazione degli eventuali rischi potenzialmente derivanti dal trattamento dei dati che si intende eseguire. Nel processo di edificazione del “sistema tutela privacy” è allora, di fondamentale importanza, la fase di analisi dei rischi che incombono sui dati. È proprio sulla base di tale valutazione che andranno poi adottate tutte le opportune misure di sicurezza onde evitare il temuto data breach. Con questa espressione si intende una violazione di sicurezza che “comporta - accidentalmente o in modo illecito - la distruzione, la perdita, la modifica, la divulgazione non autorizzata o l’accesso ai dati personali trasmessi, conservati o comunque trattati.”. Tale violazione può compromettere, in maniera permanente, la riservatezza, l’integrità ovvero la disponibilità di dati personali. E’ ancora una volta il Garante ad intervenire in merito con il provvedimento del 30 luglio 2019, n. 157, che introduce il nuovo modello ufficiale riportante le informazioni minime obbligatorie per notificare la violazione dei dati personali ai sensi dell’art. 33 del GDPR ove è previsto che l’onere di avviso incomba sul titolare del trattamento ovvero sul responsabile del trattamento nei confronti del titolare qualora venga a conoscenza di un’eventuale violazione. Il titolare del trattamento dovrà destinare la notifica al Garante, senza ingiustificato ritardo e, possibilmente, entro 72 ore dal momento in cui ne è venuto a conoscenza. Occorre evidenziare che in determinati casi, contestualmente alla notifica all’Autorità, il titolare del trattamento è obbligato a comunicare la violazione anche agli interessati. Invero, l’art. 34, par. 1, stabilisce che “Quando la violazione dei dati personali è suscettibile di presentare un rischio elevato per i diritti e le libertà delle persone fisiche, il titolare del trattamento comunica la violazione all’interessato senza ingiustificato ritardo”. In merito alla tutela civilistica azionabile nel caso italiano, dinnanzi alla magistratura nazionale civile, la lettura combinata degli art. 79 e 82 del GDPR e del Considerando 146, mostra come l’impostazione del quadro risarcitorio del GDPR conferma quella già in vigore con il Codice per la protezione dei dati personali. Più specificamente il trattamento dei dati personali è qualificabile, sotto il profilo civilistico, come attività pericolosa, ai sensi dell’articolo 2050 c.c. laddove si stabilisce che “Chiunque cagiona danno ad altri nello svolgimento di un'attività pericolosa, per sua natura o per la natura dei mezzi adoperati, è tenuto al risarcimento, se non prova di avere adottato tutte le misure idonee a evitare il danno”. Pertanto, titolare o responsabile che cagionino un danno per effetto del trattamento di dati personali sono tenuti al risarcimento, se non provano di avere previsto e messo in atto tutte le misure idonee al fine di evitare il danno. L’onere della prova viene invertito e non è, dunque necessario per il danneggiato, dimostrare il dolo o la colpa nella condotta di colui o coloro che hanno cagionato il danno, bensì sarà il convenuto a dover dimostrare di aver adottato tutte le misure idonee atte ad evitarlo. Secondo parte della giurisprudenza, si tratterebbe di una vera e propria ipotesi di responsabilità oggettiva, essendo sufficiente che l’interessato/danneggiato dimostri il fatto della lesione, il danno e il nesso di causalità, e tenuto inoltre conto che, il soggetto chiamato a rispondere del danno cagionato, potrà liberarsi solo escludendo tale nesso causale. L’interessato per giungere a una piena ed effettiva soddisfazione circa il danno subito per effetto di un trattamento illecito, dunque, potrà rivolgere la propria pretesa risarcitoria a uno solo dei soggetti del trattamento coinvolti (titolari o responsabili che siano), senza doversi preoccupare di capire prima chi sia effettivamente, tra questi, il colpevole e in quale misura. E in entrambi i casi, potrà farlo, per l’intero ammontare del danno. Ma se il regime di responsabilità solidale ex art. 1292 c.c., per l’ammontare totale del danno, è alla base della disciplina che regola i rapporti tra titolare/responsabile e interessati, nei rapporti interni le disposizioni si muovono nel senso della responsabilità pro quota. Ne deriva che il titolare o responsabile del trattamento che abbia risarcito il soggetto interessato per l’ammontare totale del danno, potrà esercitare azione di regresso nei confronti degli altri titolari o responsabili coinvolti nello stesso trattamento, qualora sostenga che vi sia stata una responsabilità concorrente o esclusiva di questi altri, nel cagionare il danno.