Quando si parla di “privacy” si fa normalmente riferimento al diritto fondamentale, riconosciuto a ciascun individuo, di controllare l’uso e la circolazione dei propri dati personali.
Nel corso degli anni la circolazione dei dati personali ha assunto un ruolo e un’importanza centrali non solo a livello sociale, ma anche dal punto di vista economico, tanto per gli Stati quanto per i privati. Abbiamo infatti assistito al passaggio da una concezione originaria di privacy, risalente addirittura alla fine dell’Ottocento, intesa come “diritto ad essere lasciati soli” a quella moderna di diritto all’autodeterminazione informativa, secondo la quale ciascuna persona deve, o almeno dovrebbe, essere in grado di controllare il flusso di informazioni che la riguardano, direttamente o indirettamente.
Parallelamente ai massicci flussi di dati personali è quindi emersa, con sempre maggiore intensità, la necessità di riconoscere un valore altrettanto forte ai diritti delle persone fisiche coinvolte: si è così delineato il diritto di ciascuna persona fisica di pretendere che i propri dati personali siano trattati nel rispetto dei loro diritti fondamentali e che sia loro assicurato l’accesso ad una serie di diritti funzionali ad un trattamento dei dati sicuro e garantito.
L’importanza di offrire una valida tutela alla privacy si riflette nelle numerose e complesse fonti normative, sia nazionali sia comunitarie, oggetto di continui sviluppi ed integrazioni, in particolare alla luce dell’incessante progresso tecnologico e delle rilevanti conseguenze che esso ha sulle forme di protezione di tale diritto.
A livello comunitario, il valore che il diritto alla protezione dei dati ha ormai ottenuto emerge chiaramente, in primo luogo, da due delle norme fondamentali dell’Unione Europea, il Trattato sul Funzionamento dell’UE (art. 16) e la Carta dei diritti fondamentali dell’UE (art. 8), nelle quali viene affermato che “Ogni persona ha diritto alla protezione dei dati di carattere personale che la riguardano”.
È naturale quindi che il GDPR, come altre numerose disposizioni nazionali ed internazionali, tra cui lo stesso Codice Privacy italiano (d.lgs. 196/2003), abbia fatto proprio questo principio e riconosca la protezione dei dati personale quale diritto fondamentale dell’individuo.
Un ruolo centrale finora è stato rivestito proprio dal Decreto legislativo 30 giugno 2003, n. 196 (Codice in materia di protezione dei dati personali o, più semplicemente, Codice della Privacy), con il quale è stato consacrato dalla legislazione nazionale il diritto alla protezione dei dati personali. Il Codice si preoccupava di offrire una tutela, per quanto possibile, completa, e presenta quindi una struttura normativa assai complessa, corredata da diversi allegati (fra cui il Disciplinare tecnico in materia di misure minime di sicurezza), e ulteriormente integrata dalle disposizioni contenute nei codici di deontologia e buona condotta, dalle pronunce e dai pareri del Garante.
D’altra parte, la reale protezione dei dati personali, pur trovando una guida sicura nel Codice della Privacy e nelle pronunce del Garante, ha sempre richiesto una particolare cautela nella pratica, poiché le fattispecie che finiscono per rientrare nel suo campo di applicazione sono numerosissime e la tutela del diritto alla privacy deve essere sempre bilanciata con la tutela riservata agli altri diritti. Di conseguenza, per aversi un’applicazione concreta della disciplina in oggetto e, così, una protezione efficace del diritto alla privacy, è indispensabile fare stretto riferimento al caso concreto da tutelare.
Nello spirito complessivo del Regolamento europeo il diritto alla protezione dei dati personali ha assunto un significato ancora più profondo: il GDPR nasce proprio con lo scopo di facilitare e rendere più sicura la circolazione dei dati, enfatizzando e ponendo quale fulcro di tutta la disciplina la tutela dei diritti degli interessati comunque coinvolti nelle attività di trattamento dei dati personali.
Il Regolamento infatti si fonda sull’idea che il trattamento dei dati debba essere rivolto “al servizio dell’uomo” (come affermato nel Considerando n. 4) in un’ottica di tutela globale e complessiva. Da questo assunto discende che il diritto alla protezione dei dati non è un diritto assoluto, ma un diritto che viene riconosciuto per la sua funzione sociale e cha va, pertanto, contemperato con gli altri diritti fondamentali dell’uomo di volta in volta rilevanti e prevalenti, come, ad esempio, il diritto alla libertà di espressione o il diritto al rispetto della vita privata e familiare.
Il Garante, in uno dei primi interventi esplicativi sul GDPR, ha affermato che “la protezione dei dati è un diritto di libertà”, riconosciuto e garantito dall’ordinamento. Questa definizione comporta che il diritto alla protezione dei dati personali sia ufficialmente qualificato, a livello nazionale ed europeo, quale diritto civile, di carattere non patrimoniale, che spetta a tutti gli individuo, e che rientra tra i diritti storicamente definiti come “libertà negative”, in quanto per il loro effettivo godimento richiedono necessariamente un’astensione da parte dello Stato e degli altri individui. Si pensi, ad esempio, al diritto alla libertà personale: tale diritto fondamentale può avere piena realizzazione soltanto laddove e fintanto che altri soggetti non interferiscano, riducendo o pregiudicandone l’esplicazione, ed agiscano nel rispetto della libertà personale altrui. Uguale ragionamento va, quindi, fatto anche nei confronti del diritto alla protezione dei dati personali: è necessario astenersi da comportamenti che ledano o impediscano il corretto esercizio del diritto alla privacy e, qualora particolari situazioni di “interferenza” non siano già previste dalla legge, sarà necessario procedere ad un bilanciamento dei diversi diritti rilevanti nel caso di specie al fine di individuare la soluzione concreta per contemperare gli interessi in gioco.