1. Le origini del diritto alla riservatezza delle informazioni personali

Fin dall’antichità le informazioni personali, che per il momento possiamo genericamente definire come quelle che riguardano un individuo, sono state oggetto, sotto qualche forma, di attività di raccolta e utilizzo da parte di altri individui, singolarmente considerati o all’interno di un’organizzazione. Tali attività, tuttavia, sono state a lungo pressoché ignorate dalle regole giuridiche.

In realtà, sebbene non vi siano state per secoli regole espressamente deputate a disciplinare, in via generale, la raccolta e/o l’utilizzo di informazioni personali, queste ultime potevano ritenersi comunque strumentali allo svolgimento di azioni rilevanti di carattere pubblico (ad esempio, i censimenti) o privato (ad esempio, la conclusione di contratti), a dimostrazione del fatto che il trattamento di informazioni personali ha sempre avuto un rilievo sociale e, seppur indirettamente, anche giuridico.

Il modo di considerare la comunicazione di informazioni riguardanti una persona cambia, a livello giuridico, per la prima volta intorno alla fine del XIX secolo, principalmente per due ordini di ragioni: il primo tecnologico, il secondo politico-sociale.

Innanzitutto, l’avvento dei mezzi di comunicazione di massa ha reso possibile un livello di diffusione delle informazioni prima del tutto inimmaginabile. Se si considera che hanno iniziato a ricevere una simile diffusione anche informazioni afferenti alla vita privata degli individui, tramite, ad esempio, i primi giornali sensazionalistici corredati di inserzioni fotografiche, ben si spiega come l’innovazione tecnologica sia stata determinante per l’affermazione di un interesse giuridico nei confronti di alcune informazioni personali, cioè quelle che si vogliono tenere riservate e, dunque, protette dalle interferenze esterne. D’altra parte, nel contesto sociale di fine Ottocento, i rischi ricondotti alle nuove tecnologie hanno rappresentato più che altro l’occasione per far emergere nitidamente quel desiderio di intimità che già si era formato con la transizione da una società feudale a una di stampo industriale (Rodotà 1995).

L’affacciarsi di un interesse alla riservatezza può considerarsi strettamente connaturato a un ordine giuridico borghese che intende difendere la sfera privata alla stregua di un bene su cui si esercita un diritto di proprietà. Invero, anche quando si è cercato di costruire un nuovo concetto – il right to privacy – autonomo, secondo le intenzioni dei suoi padri fondatori americani (Warren, Brandeis 1890), dal diritto di proprietà esercitabile sui beni materiali o immateriali, la componente individualistica-escludente era comunque ben rappresentata dalla celebre formula del «diritto di essere lasciati soli» (the right to be let alone).

La vicenda che presumibilmente spinse i due giuristi sopra evocati a prendere posizione, a favore del riconoscimento del nuovo diritto, è emblematica del contesto appena descritto: Samuel Warren, facoltoso avvocato ed esponente dell’alta borghesia di Boston, era indispettito dall’attenzione che la stampa locale era solita rivolgere a circostanze private della sua famiglia e desiderava, quindi, porre un freno a intrusioni giornalistiche di tal genere (cfr. Solove, Schwartz 2024). Si avvalse così dell’aiuto e dell’ingegno di Louis Brandeis – che successivamente sarebbe divenuto giudice della Corte Suprema degli Stati Uniti – per dimostrare come si dovesse configurare il diritto alla privacy e si potesse fornire ad esso tutela.

Parallelamente all’elaborazione statunitense del concetto di privacy, nell’Europa continentale – in particolar modo, in Germania – si andava affermando la teoria giuridica secondo cui ciascun individuo avrebbe un vero e proprio diritto alla tutela della personalità, quest’ultima composta da vari attributi quali, ad esempio, la vita, l’integrità fisica, il nome civile e commerciale, l’immagine. Ed è proprio all’interno di tale teoria che, negli anni a venire, i giuristi europei avrebbero accolto, pur con alcune differenze, la necessità di tutelare la riservatezza delle vicende riguardanti la sfera privata di una persona.

In Italia, in assenza per lungo tempo di norme espressamente dedicate alla materia, è stata la giurisprudenza a ricondurre il diritto alla riservatezza nell’alveo dei diritti della personalità, riuscendo a superare l’obiezione secondo cui gli interessi che possono assurgere al rango di tali diritti necessiterebbero di una tipizzazione legislativa. Invero, tra gli anni ’50 e ’70 del secolo scorso, la Corte di Cassazione ha affrontato il tema in diverse occasioni: inizialmente, negando del tutto l’esistenza di un diritto alla riservatezza nel nostro ordinamento (Cass. 22 dicembre 1956, n. 4487); successivamente, affermando che, pur in mancanza di un esplicito diritto alla riservatezza, la divulgazione di notizie relative alla vita privata altrui possa costituire un illecito (Cass. 20 aprile 1963, n. 990); infine, riconoscendo nella riservatezza un diritto pienamente autonomo e meritevole di tutela dalle ingerenze di altri soggetti (Cass. 27 maggio 1975, n. 2129). I casi che hanno dato origine alle sentenze appena richiamate riguardano tutti la diffusione di vicende relative alla sfera privata di alcuni personaggi noti dell’epoca (il tenore Enrico Caruso; l’amante di Benito Mussolini, Claretta Petacci; la regina iraniana Soraya Esfandiyari Bakhtiyari), attraverso mezzi di comunicazione di massa di diverso tipo (nel primo caso, un film; nel secondo e nel terzo caso, un periodico).

Le fattispecie prese come riferimento del potenziale vulnus rimangono, quindi, sostanzialmente le stesse di quelle che, decenni prima, sollecitavano l’iniziativa d’oltreoceano di Warren e Brandeis: fattispecie in cui la riservatezza – elevata al rango di diritto della personalità – si contrappone principalmente alla libertà di informazione ed espressione esercitata attraverso i mass media, con l’evidente esigenza di operare un delicato bilanciamento di interessi onde evitare di sacrificare indiscriminatamente una fondamentale area di libertà come quella appena menzionata, essenziale per una società democratica.

Ebbene, l’affermarsi del diritto alla riservatezza (sul quale, v. più approfonditamente infra cap. Le fonti, § 5.1) certamente incide sul fenomeno della raccolta e dell’utilizzo di informazioni personali; tuttavia, occorre osservare che tale diritto, per un verso, copre parzialmente il nostro campo d’indagine e, per un altro, potrebbe eccederlo. Infatti, traducendosi la riservatezza nel diritto di proteggere la propria sfera privata da forme di intromissione esterna non desiderata, essa riguarda – nel suo contenuto sostanzialmente escludente – le sole informazioni personali rispetto a cui un individuo vuole mantenere un riserbo. D’altronde, l’interesse giuridicamente protetto non vale solo contro l’ingerenza altrui che si manifesta nel trattamento di informazioni sul proprio conto, ma si attesta contro qualunque tipo di ingerenza che leda la propria sfera privata al di là di un effettivo trattamento di informazioni personali (ad esempio, la richiesta continua e importuna di rivelare informazioni che non si è disposti a concedere).

Sebbene quest’accezione di riservatezza abbia subito nel tempo un’evoluzione o, per meglio dire, sia stata affiancata da altri interessi cui l’ordinamento ha deciso di attribuire maggiore rilevanza, non può negarsi che essa continui a rappresentare uno degli interessi sottesi alla materia che si sta affrontando. In altri termini, pur non costituendo più il nucleo centrale della disciplina sul trattamento di informazioni personali, non può considerarsi un interesse del tutto recessivo, almeno là dove le informazioni trattate richiedano una protezione particolare.

2. Dalla riservatezza al controllo dei dati personali: l’evoluzione delle tecnologie e del diritto

Fino ad ora ci si è riferiti genericamente alle informazioni concernenti un individuo, che – come si è visto – costituiscono da sempre oggetto di varie forme di trattamento (per le definizioni normative di «dati personali», «persona interessata» e «trattamento», v. infra cap. Le definizioni fondamentali, §§ 1-3). I mass media hanno indubbiamente facilitato la loro diffusione, ampliando in modo esponenziale la platea di destinatari di un messaggio comunicativo contenente informazioni personali, e di conseguenza hanno palesato i rischi insiti in una simile attività.

Tuttavia, il vero punto di svolta è rappresentato dall’avvento delle procedure automatizzate con cui i primi computer – per lo più in mano pubblica – hanno iniziato a elaborare informazioni, divenute ormai dati. Con le tecnologie informatiche, infatti, i dati personali si moltiplicano a tal punto che la questione da risolvere non attiene più soltanto alla diffusione di informazioni che ci riguardano presso soggetti che non vorremmo le possedessero, ma attiene – prima ancora – alla mancata conoscenza di chi tratta simili informazioni e di quali risultano nella sua disponibilità.

Il cambiamento qualitativo e quantitativo nel trattamento delle informazioni personali generato dall’automatizzazione dei processi di raccolta ed elaborazione di dati inevitabilmente si riflette sul concetto di privacy. Non a caso, uno studio pioneristico di fine anni ’60 non la definisce più come il diritto di essere lasciati soli, bensì come il diritto di ciascuno di controllare l’uso che altri fanno delle informazioni che lo riguardano (Westin 1967).

Negli anni ’70, alcuni Paesi europei introducono le prime discipline appositamente dedicate al trattamento dei dati personali. In realtà, le primissime norme sono contenute nelle leggi regionali di due Land tedeschi, l’Assia e la Baviera, e a seguire intervengono le leggi nazionali di Stati come la Svezia (1973), la Repubblica federale tedesca (1977), la Francia, la Norvegia, la Danimarca, l’Austria (1978) e il Lussemburgo (1979). Inoltre, il 28 giugno 1981 viene adottato a Strasburgo il primo trattato internazionale in materia: la Convenzione del Consiglio d’Europa sulla protezione delle persone rispetto al trattamento automatizzato di dati a carattere personale (Convenzione n. 108/1981).

Il principale tratto comune di queste novità normative è l’attribuzione al soggetto interessato, le cui informazioni vengono trattate da altri, di un diritto di accesso ai dati personali oggetto di trattamento. L’accesso, infatti, è considerato uno strumento essenziale per poter esercitare un controllo effettivo sull’uso che viene fatto dei dati che ci riguardano. Solo accedendo a essi, è possibile richiedere, ad esempio, una rettifica delle informazioni sul proprio conto che altri trattano. Inoltre, valorizzando il diritto di accesso ai dati personali, si riconosce implicitamente che il trattamento di tali dati non dev’essere necessariamente ostacolato, purché sia controllabile e rispettoso di alcuni principi che riducono i rischi a esso connessi, come, ad esempio, i principi circa la qualità e la sicurezza dei dati trattati, già previsti dalla Convenzione di Strasburgo (Convenzione sulla protezione delle persone rispetto al trattamento automatizzato di dati a carattere personale, 1981).

La raccolta e l’elaborazione di grandi moli di dati iniziano a essere viste come un’opportunità per rendere più efficienti i processi decisionali sia a livello imprenditoriale, che nell’ambito dei programmi di politica sociale portati avanti dalle autorità pubbliche. Se, dunque, il trattamento di dati personali tramite le tecnologie informatiche può assecondare efficacemente il legittimo perseguimento di interessi sociali ed economici, lo strumento di tutela dei soggetti interessati non può più risolversi nell’innalzamento di una stabile barriera a protezione della propria sfera di riservatezza individuale. Infatti, se la riservatezza della sfera privata rimane un interesse tutelato dall’ordinamento, questo non sempre prevale di fronte ad altri interessi di vari soggetti al trattamento dei dati (es. trattamento dei dati personali per ragioni di interesse pubblico o sulla base di legittimi interessi).

Da un lato, il passaggio dallo Stato liberale allo Stato sociale ha, in parte, depotenziato la garanzia di uno spazio di intimità privata reclamato dalla classe borghese, vista l’esigenza di raccogliere notevoli informazioni sulla popolazione per una migliore erogazione dei servizi pubblici; dall’altro, la transizione a un capitalismo post-industriale ha reso l’informazione sulla clientela un fattore fondamentale per lo svolgimento di vari servizi, su tutti quelli di natura finanziaria (ad esempio, servizi bancari e assicurativi).

Cionondimeno, il trattamento di dati personali resta tutt’altro che privo di insidie, le quali, a ben vedere, non riguardano solo la sicurezza dei sistemi informatici, per la loro esposizione, ad esempio, a eventuali furti di dati. I principali rischi riguardano, infatti, i possibili abusi derivanti dall’esercizio del nuovo potere informatico profondamente pervasivo: disporre di molte informazioni personali consente, invero, di profilare gli individui, discriminandoli in base a diversi fattori e attribuisce a chi tratta i dati un potere conoscitivo spesse volte molto rilevante (Zuboff 2019). Di conseguenza, se tali fattori discriminanti finiscono per essere gli aspetti che maggiormente segnano l’identità degli individui, è evidente che gli esiti possano essere distopici e preoccupanti, limitando la stessa libertà di esprimersi e di scegliere. In questo quadro, può facilmente spiegarsi come mai la prima norma dell’ordinamento italiano a tutela dei dati personali si ritrovi nello Statuto dei lavoratori, il cui art. 8 – tuttora vigente – stabilisce che «è fatto divieto al datore di lavoro, ai fini dell’assunzione, come nel corso dello svolgimento del rapporto di lavoro, di effettuare indagini, anche a mezzo di terzi, sulle opinioni politiche, religiose o sindacali del lavoratore, nonché su fatti non rilevanti ai fini della valutazione dell’attitudine professionale del lavoratore».

Una chiave di lettura della materia di cui ci si sta occupando è costituita proprio dal potere che inevitabilmente si forma in capo a chi detiene grandi quantità di dati, vista la capacità di manipolazione che da essi può discendere. Al di là dell’imposizione di divieti, come quello appena citato, volti a delimitare delle zone impenetrabili per le attività di raccolta di dati, è lo strumento dell’accesso – sopra menzionato – a farsi carico, nella prima stagione normativa, del compito di assicurare un controllo di tale potere. Tuttavia, nonostante le speranze riposte nel diritto di accesso ai dati, ben presto ci si è accorti che si trattava di un dispositivo poco utilizzato e soprattutto incapace di affrontare, da solo, le nuove sfide poste dall’aumento considerevole dei soggetti che trattano dati personali con mezzi automatizzati, non più circoscritti – a partire dagli anni ’90, per la diffusione dei personal computer – ai titolari di grandi banche dati.

Il controllo individuale dell’interessato sui dati che lo riguardano, che nel frattempo si è andato configurando come diritto all’autodeterminazione informativa (secondo la celebre formula utilizzata dalla Corte costituzionale tedesca, il Bundesverfassungsgericht, in una famosa pronuncia del 1983), richiedeva di essere corredato da un ben più articolato sistema di regole, passante per la previsione di obblighi più definiti in capo al titolare del trattamento e rimedi più efficaci in capo al soggetto interessato (v. infra capp. La disciplina dell’attività di trattamento e I diritti dell’interessato).

A ciò si aggiunga che, negli stessi anni, la circolazione dei dati personali diveniva, in ambito europeo, sempre di più una componente fondamentale per garantire non solo – com’è evidente – la libera circolazione delle persone all’interno dello spazio comunitario, ma anche – seppur indirettamente – la libera circolazione di merci, servizi e capitali. Infatti, le relazioni commerciali spesso implicano un trattamento di dati personali; pertanto, le regole sul flusso di tali dati dovevano essere armonizzate per favorire la creazione di un mercato unico, al centro dell’agenda politica dell’allora Comunità europea (oggi Unione europea).

Le nuove istanze hanno sollecitato l’adozione del primo intervento organico a livello comunitario, la direttiva 95/46/Ce (c.d. «Direttiva madre»), la quale ha reso evidente come il trattamento dei dati personali costituisca un campo regolatorio in cui gravitano svariati interessi. La protezione dei dati personali rappresenta indubbiamente il principale obiettivo della disciplina, ma, oltre alla presenza di obiettivi concorrenti (la libera circolazione di tali dati nel mercato e, più in generale, in contesti sociali), è il combinarsi di situazioni giuridiche soggettive a esercizio individuale, da un lato, e di poteri pubblici esercitati da un’autorità indipendente con funzioni di controllo (v. infra cap. La regolamentazione e la tutela amministrativa), dall’altro, che dà l’idea della sempre maggiore distanza che separa la nuova privacy da quella degli albori, improntata esclusivamente sulla dimensione individualistica. La direttiva in questione, infatti, ha obbligato gli Stati membri della Comunità europea a istituire un’autorità nazionale che sorvegli sull’applicazione delle nuove regole. Molti Stati europei, in realtà, già contemplavano nel loro ordinamento simili autorità; non così l’Italia, che solo a partire dal 1997 ha visto operare il Garante per la protezione dei dati personali, istituito dalla prima legge contenente norme sulla tutela delle persone rispetto al trattamento dei dati (l. n. 675/1996).

Il recepimento nazionale della direttiva comunitaria ha costituito un passaggio di grande importanza non solo per i motivi appena citati, ma anche per l’opera di sistematizzazione degli interessi, che si stavano via via addensando attorno a un fenomeno – il trattamento dei dati personali – che finiva per ricomprendere fattispecie molto diverse. Invero, solo a titolo esemplificativo, un ‘trattamento’ può consistere tanto nell’archiviazione di informazioni personali in banche dati, quanto nell’utilizzo di dati semplici, non strutturati in archivi, ma riguardanti comunque persone fisiche, così come nella diffusione, tramite qualunque tipo di mass media, di fatti o rappresentazioni riferibili pur sempre a singoli individui. Con riguardo a quest’ultima fattispecie, ci si accorge, inoltre, che il trattamento di dati personali è il terreno d’elezione in cui può prendere forma quel diritto all’identità personale, riconosciuto a metà degli anni ’80 dalla Suprema Corte (Cass. 22 giugno 1985, n. 3769), che tutela l’interesse di ciascuna persona di essere rappresentata, nella vita di relazione, in modo corrispondente alla propria personalità, ossia in un modo che raffiguri senza alterazioni il proprio patrimonio intellettuale, politico, sociale, religioso, ideologico, professionale, ecc.

Tale diritto, infatti, distinto da quello alla riservatezza, ma anche dai ben più risalenti diritti all’onore e alla reputazione, è stato tradizionalmente invocato rispetto a situazioni riconducibili all’ampia nozione di trattamento di dati personali, quali, ad esempio, l’impiego di sosia di persone note a fini pubblicitari o l’attribuzione a una persona di una posizione politica diversa da quella sostenuta. D’altronde, in una società in cui circolano sempre più informazioni e l’esposizione mediatica, almeno per alcuni soggetti, risulta frequente, diventa fondamentale tutelare la corretta rappresentazione dell’immagine sociale delle persone coinvolte. Non solo: l’affermazione del diritto all’identità personale (sul quale, v. per ulteriori dettagli infra cap. Le fonti, § 5.2) si spiega soprattutto all’interno di una società pluralistica in cui sia possibile per gli individui manifestare ciò che si è, senza subire interferenze esterne distorsive della propria personalità. In questo scenario, la riservatezza e l’identità personale possono considerarsi dei dispositivi complementari nel garantire il pieno esercizio dell’autonomia individuale, al netto di pressioni conformistiche provenienti da poteri pubblici o privati (Pino 2010).

Anche in questa nuova versione della privacy, strumentale alla costruzione della propria sfera esistenziale e, dunque, strettamente connessa all’attuazione dei valori personalistici sanciti nella Carta costituzionale (Marini 2006), continua a restare presente l’elemento del controllo individuale, declinato in un’ottica di autodeterminazione.

Occorre comunque chiarire che, sebbene la violazione del diritto all’identità personale spesso si riconduca a trattamenti illeciti di dati personali, il rispetto delle scelte esistenziali può travalicare l’ambito di cui ci si sta occupando. Ciò dimostra ancora una volta come le regole sul trattamento dei dati personali rappresentino un’area dell’ordinamento in cui si intersecano diverse posizioni giuridiche, la maggior parte delle quali, tuttavia, non attengono esclusivamente all’ambito in esame, pur caratterizzandolo in modo significativo.

Delle situazioni giuridiche che vengono in gioco, però, ve n’è una che nasce e si esercita necessariamente in relazione a un trattamento dei dati personali: è il diritto alla protezione degli stessi, assurto – come si vedrà (v. infra cap. Le fonti, § 4.1) – a diritto fondamentale nella Carta dei diritti fondamentali dell’Unione europea. Infatti, l’art. 8 CDFUE sancisce tout court il diritto alla protezione dei dati personali. L ’incidenza del trattamento – e dunque della raccolta, dell’uso e della circolazione – dei dati personali sulla persona è al cuore di tale norma, che stabilisce i principi e i limiti del trattamento, sancisce il diritto di accesso e rettifica dell’interessato e prevede come necessaria l’istituzione di un’autorità indipendente (v. infra, cap. Le fonti). Il diritto alla protezione dei dati personali di cui all’art. 8 CDFUE è stato letto da parte della dottrina come posto a tutela di interessi, fra cui la correttezza del trattamento, la non discriminazione e i principi di finalità e di qualità dei dati, diversi da quelli protetti attraverso il diritto alla riservatezza,(De Hert, Gutwirth, 2009). Dunque, il diritto alla protezione dei dati è da leggere in chiave relazionale ed è da interpretare come norma che impone di considerare lo squilibrio di potere, in primis conoscitivo, fra chi tratta i dati e chi è descritto attraverso tali dati. In ogni caso, al pari dei suoi antecedenti, anche il diritto alla protezione dei dati personali viene ritenuto capace di individuare un’ulteriore dimensione della personalità, assunta a elemento unificante attraverso il prisma della tutela della dignità umana (Rodotà 2004).

L’elaborazione che si è venuta formando negli anni successivi al recepimento nazionale della direttiva 95/46, in merito agli interessi sottesi al trattamento dei dati personali, restituisce dunque un quadro fortemente incentrato sulla tutela della persona alla luce dei rischi ampiamente riconosciuti alle attività di trattamento (rischi per giunta amplificati dall’avvento di Internet, che ha frantumato ulteriormente le informazioni che riguardano individui, disperdendole e moltiplicandole nella rete). In altri termini, le regole sul trattamento dei dati personali sono state inquadrate in una dimensione essenzialmente non patrimoniale, in quanto di tale natura sono gli interessi – tutelati – ascrivibili agli interessati.

D’altronde, i principali casi giunti dinanzi agli organi giudicanti hanno sostanzialmente confermato l’incidenza della normativa in materia di dati personali sugli aspetti finora evocati: la violazione della disciplina è stata contestata in relazione, ad esempio, all’archiviazione sul web di notizie di cronaca non più attuali (Cass. 5 aprile 2012, n. 5525), allo ‘spionaggio’ privato tramite intercettazioni telefoniche (Cass. civ. 28 giugno 2018, n. 17036), alla prolungata conservazione dei dati concernenti indagini di polizia giudiziaria presso il Centro di elaborazione dei dati, c.d. C.E.D., del Dipartimento di pubblica sicurezza del Ministero dell’Interno (Cass. 29 agosto 2018, n. 21362), con quest’ultimo caso che fa riflettere anche sul rapporto notoriamente delicato tra esigenze di sicurezza pubblica e istanze di riservatezza dei dati.

Sebbene un tale inquadramento della materia al di fuori del diritto patrimoniale si giustifichi in ragione dell’attenzione rivolta alla tutela della persona, saldata dal richiamo alla categoria tradizionale dei diritti della personalità e a quella più recente dei diritti fondamentali di respiro costituzionale, non può passare inosservato che la rimozione del filtro nazionale nel recepimento della disciplina europea, avvenuta con l’adozione del Reg. UE 2016/679 (General Data Protection Regulation, d’ora in avanti: GDPR) (v. infra cap. Le fonti, § 4.2), abbia in parte ridimensionato l’assetto di interessi sopra descritto. Invero, nel GDPR, applicabile senza la necessità di una normativa nazionale di attuazione, (ri)emerge chiaramente – in termini ancora più netti rispetto alla direttiva 95/46 – l’obiettivo di disciplinare il trattamento dei dati personali non solo per proteggere i diritti e le libertà fondamentali delle persone fisiche, ma anche per non ostacolare la libera circolazione dei dati personali nell’Unione europea.

L’interesse sociale, compreso quello di carattere economico, che sospinge l’attività di trattamento dei dati personali riceve, quindi, espressa tutela, al punto che rischia di diventare parziale una lettura che attribuisca alle regole in questione una connotazione esclusivamente personalistica (Ricciuto 2018).

In fondo, l’aspetto da sottolineare è che i dispositivi di controllo, individuali o istituzionali – che possono essere attivati in relazione a un trattamento di dati personali, e che rappresentano una componente fondamentale per la tutela della persona nella sua proiezione difensiva (diritto alla riservatezza), costruttiva (diritto all’identità personale) e relazionale (diritto alla non discriminazione, diritto alla protezione dei dati) – certamente caratterizzano in modo preminente la disciplina sul trattamento dei dati, ma, ciononostante, non ricoprono tutti gli interessi sottostanti.

3. Controllo e governance dei dati in un vortice di interessi

Per comprendere appieno quanto emerso nella parte conclusiva del precedente paragrafo, occorre soffermarsi ancora una volta sulle innovazioni tecnologiche e su come esse condizionano la prospettiva da cui si guarda a un fenomeno. Invero, se già le tecnologie informatiche avevano consentito di trasformare l’informazione in dati, permettendo alle imprese di utilizzare questi ultimi come risorsa economica per migliorare la propria attività (cfr. Camardi 1998), è nell’ambito dei servizi digitali – diffusisi, prima, con l’accesso in massa a Internet e, dopo, con l’utilizzo costante di smartphones e altri smart devices – che i dati personali vengono visti definitivamente come qualcos’altro da un insieme di segni che possono concorrere alla definizione della sfera individuale.

Il più delle volte, infatti, il rilascio di dati personali, per lo più di dati comportamentali, è il mezzo attraverso cui gli utenti godono dei servizi digitali offerti da imprese all’interno di infrastrutture che si è soliti definire «piattaforme» (cfr. Perlingieri 2014; Resta, Zeno-Zencovich 2018): basti pensare ai servizi di social network, ai servizi di condivisione e visualizzazione di contenuti multimediali o ai servizi di archiviazione di dati su cloud, la cui fruizione da parte degli utenti avviene frequentemente senza il pagamento di un corrispettivo pecuniario. Tali utenti si qualificano soprattutto come consumatori, con la conseguenza di dover tutelare – oltre ai loro dati – anche l’interesse di tali soggetti ad assumere scelte economiche consapevoli e a ottenere prestazioni contrattuali soddisfacenti (v. infra cap. Le intersezioni fra disciplina in materia di dati personali e diritto dei consumatori).

Non solo: gli algoritmi, spesso di intelligenza artificiale (v. la postfazione La base giuridica dell’AI Act ex art. 114 Tfue: l’intelligenza artificiale tra mercato e persona), utilizzati nell’ambito di molti servizi digitali funzionano grazie all’elaborazione di grandi quantità di dati, e più dati riescono a processare, migliori sono i risultati che forniscono; di conseguenza, i dati acquisiscono sempre di più un grande valore, anche per allenare i sistemi di intelligenza artificiale (v. ad esempio l’art. 10 del Reg. UE 2024/1689, AI ACT). Nell’era dei Big Data, il ruolo dei dati è spesso paragonato a quello svolto dal petrolio per l’economia industriale (da qui la nota espressione data is the new oil).

Si è giunti in una fase in cui tutto viene ‘datificato’: in particolare, moltissimi oggetti sono connessi a una rete telematica (c.d. Internet of things) e generano dati che riguardano elementi dell’ambiente circostante grazie a sensori incorporati negli oggetti stessi.

In un simile contesto, definire quali dati sono personali e quali non lo sono diventa sempre più ambiguo, ma soprattutto il processo di valorizzazione in atto riguarda tanto gli uni quanto gli altri (v. cap. Le definizioni fondamentali, par. 1). Il conflitto di interessi che si profila non è più soltanto tra l’interesse alla circolazione e l’interesse alla protezione dei dati personali, potendo adesso riguardare la stessa appropriazione del valore generato dai dati, personali e non. Ciò non toglie che, anche rispetto a questo secondo conflitto di interessi, il carattere personale dei dati possa giustificare un sistema di regole almeno in parte diverso da quello applicabile ai dati che non presentano tale carattere.

In termini più generali, rimane centrale la questione del potere detenuto da chi possiede una grande mole di dati: non più solo come meccanismo in grado di intaccare la personalità degli individui (che comunque sono sottoposti a ulteriori rischi di discriminazione algoritmica), ma anche come mezzo che rischia, da un lato, di alterare il mercato accentrando a dismisura il valore generato dai dati nelle mani di pochi operatori e, dall’altro, di trasformare persino gli equilibri tra poteri pubblici e privati a causa della pervasità di questi ultimi nel mondo digitale (cfr. Pollicino 2023; Stanzione (a cura di) 2022). I tentativi per affrontare le nuove problematiche possono volgere in varie direzioni. Finora, una delle principali iniziative, sul piano giuseconomico, è stata condotta in Germania dall’autorità nazionale garante della concorrenza (il Bundeskartellamt), che ha contestato a Facebook, oggi Meta Platforms, un abuso di posizione dominante in riferimento a determinate pratiche di raccolta e utilizzo dei dati degli utenti iscritti al social network (cfr. Pardolesi, Van den Bergh, Weber 2020).

Non mancano, comunque, interventi sul piano regolatorio che provano a farsi carico del difficile contemperamento di interessi con riguardo alla condivisione dei dati, per garantire una più ampia distribuzione del valore che gli stessi possono generare. In particolare, come si vedrà più avanti (v. infra cap. La disciplina dei diversi rapporti che riguardano i dati personali, §§ 7 e 8), il legislatore europeo, attraverso l’introduzione di nuove discipline dirette a governare i flussi di dati, si prefigge l’obiettivo di favorire tale condivisione sia nei rapporti fra soggetti privati, sia nei rapporti fra privati ed enti pubblici. Invero, oltre a un problema di giustizia distributiva sullo sfruttamento economico dei dati, si pone anche la questione della loro maggiore valorizzazione per finalità di carattere sociale: si pensi all’utilizzo dei dati per fini di ricerca scientifica o nell’ambito dei servizi sanitari o delle politiche di smart city.

L’architettura regolatoria che concerne il trattamento dei dati personali si estende, in tal modo, su più articolazioni normative, proprio perché – come si è cercato fin qui di dimostrare – sono molteplici gli interessi che vengono coinvolti nelle diverse attività di trattamento. In ogni caso, non tutte le fonti che intervengono sulla materia sono da porre sullo stesso livello, come si dirà nel prossimo capitolo.

Riferimenti bibliografici

Camardi, Carmela. 1998. “Mercato delle informazioni e privacy: riflessioni generali sulla L. n. 675/1996.” Europa e diritto privato 4: 1049-73.

De Hert, Paul, GutwIrth. 2009. “Serge Data protection in the case law of Strasbourg and Luxemburg: Constitutionalisation in Action.” In GutwIrth, Serge, Poullet, Yves, De Hert, Paul, de Terwangne, Cécile, Nouwt Sjaak (a cura di). Reinventing Data Protection? Springer.

Finocchiaro, Giusella. 2012. Privacy e protezione dei dati personali. Disciplina e strumenti operativi. Bologna: Zanichelli.

Marini, Giovanni. 2006. “La giuridificazione della persona. Ideologie e tecniche nei diritti della personalità.” Rivista di diritto civile 1: 359 ss.

Pardolesi, Roberto, Van den Bergh Roger e Franziska Weber. 2020. “Facebook e i peccati da «Konditionenmissbrauch».” in Mercato Concorrenza Regole, Società 3: 507-37.

Perlingieri, Carolina. 2014. Profili civilistici dei social networks. Napoli: Edizioni Scientifiche Italiane.

Pino, Giorgio. 2010. “L’identità personale.” In Stefano Rodotà e Mariachiara Tallacchini (a cura di). Ambito e fonti del biodiritto, vol. I: Trattato di biodiritto, 297-321. Milano: Giuffrè.

Pollicino, Oreste. 2023. “Potere digitale.” In Marta Cartabia e Marco Ruotolo. Potere e Costituzione. Enciclopedia del diritto. I tematici, 410-46. Milano: Giuffrè.

Resta, Giorgio, e Vincenzo Zeno-Zencovich. 2018. “Volontà e consenso nella fruizione dei servizi in rete.” Rivista trimestrale di diritto e procedura civile: 411-40.

Ricciuto, Vincenzo. 2018. “La patrimonializzazione dei dati personali. Contratto e mercato nella ricostruzione del fenomeno.” Il diritto dell’informazione e dell’informatica 34: 689-726.

Rodotà, Stefano. 1995. Tecnologie e diritti. Bologna: Il Mulino.

Rodotà, Stefano. 2004. “Tra diritti fondamentali ed elasticità della normativa: il nuovo codice della privacy.” Europa e diritto privato 1: 1-12.

Stanzione, Pasquale (a cura di). 2022. I ‘poteri privati’ delle piattaforme e le nuove frontiere della privacy. Torino: Giappichelli.

Solove, Daniel J. e Paul M. Schwartz. 2024. Information Privacy Law. Burlington: Aspen.

Warren, Samuel D., e Louis D. Brandeis. 1890. “The Right to Privacy.” Harvard Law Review 4, 5: 193-200.

Westin, Alan D. 1967. Privacy and Freedom. New York: Atheneum.

Zuboff, Shoshana. 2019. Il capitalismo della sorveglianza. Luiss: Roma.