Sono passati ormai vent’anni dall’entrata in vigore in Italia della prima normativa a tutela dei dati personali, e da allora sia la complessità della regolamentazione sia la consapevolezza della collettività sui relativi temi è molto cresciuta, andando di pari passo con il progresso tecnologico vorticoso.
Oggi parliamo correntemente di “diritto alla protezione dei dati personali”, ma molto spesso senza soffermarci sul reale contenuto di questo concetto.
È importante considerare che la codifica normativa di un diritto traduce sul piano dell’affermazione giuridica quella che, prima di diventare principio, è un’esigenza concreta manifestata dalla collettività, che scaturisce dal contesto socio – economico, politico e culturale.
Sino alla prima metà degli anni ’90 il dato personale aveva valore essenzialmente in quanto informazione legata alla sfera intima della persona, e protetto dal “diritto alla riservatezza”.
Nel contesto attuale – in cui la raccolta, l’elaborazione e lo scambio di dati personali sono diventati attività quotidiane, funzionali e indispensabili alla gestione ordinaria dell’attività di qualsiasi impresa, le occasioni e le finalità di trattamento si sono moltiplicate esponenzialmente e la crescita di servizi sempre più mirati necessita di disporre di informazioni sempre più analitiche – assume invece rilevanza preponderante il valore del dato personale quale componente del patrimonio informativo circolante nella società dell’informazione, con la conseguenza che la disponibilità di dati personali ha assunto un rilevante valore economico.
Per la tutela di questo valore assunto dall’informazione personale, il sistema normativo attuale ha dovuto superare il riferimento al tradizionale “diritto alla riservatezza”, riconoscendo un diritto nuovo e autonomo: quello alla “protezione dei dati personali”.
Questo nuovo diritto non è puramente difensivo, ma ha introdotto un vero e proprio potere di disposizione sui proprî dati, sostenuto dallo strumento costituito dal consenso informato e fondato sull’affermazione della prevalenza dei valori fondamentali per l’autonomia della persona: la dignità e l’uguaglianza in primo luogo.
Ma la normativa attuale non è più sufficiente.
La rapida espansione, negli ultimi anni, dell’affermazione delle nuove tecnologie nel mercato e presso le pubbliche amministrazioni (cloud computing, tecniche biometriche, uso delle tecnologie delle radiofrequenze (Rfid) per la creazione di oggetti “intelligenti”: “IoT”, trattamento di dati genetici, geolocalizzazione, sviluppo dell’e-government…) ha dato ulteriore incentivo alla creazione di nuovi modelli di utilizzo delle informazioni che per le loro caratteristiche inducono sempre maggiori rischi di perdita del controllo sui proprî dati da parte dell’individuo, tanto sotto il moderno profilo della effettiva gestione quanto sotto quello difensivo.
Insomma, l’evoluzione tecnologica è irrinunciabile, essendo diventata l’asse portante dello sviluppo socio-economico su un piano globale, ma di conseguenza la richiesta sociale di protezione e di controllo sulle informazioni personali degli individui è altissima.
È quindi diventato necessario un aggiornamento della normativa, che però, come ha insegnato l’esperienza attuale di continua rincorsa normativa dell’evoluzione tecnologica, deve assumere una prospettiva di efficacia duratura.
Ciò può essere realizzato in un unico modo: avendo come obiettivo lo “sviluppo sostenibile” delle dinamiche tecnologiche, che nel mercato e nella società attuali deve essere basato su un equilibrio virtuoso tra l’espansione economica e le garanzie di controllo dei propri dati per tutte le persone fisiche.
È in quest’ottica che dobbiamo leggere il GDPR, che si presenta come un sistema di norme:
- non più limitate ai singoli Stati, per quanto uniformi, ma globali, uniformi nell’effettiva applicazione,
- che valorizzano tutte le moderne sfaccettature del dato personale quale:
- oggetto di trattamento
- componente del patrimonio informativo circolante
- portatore di valore economico
- portatore di valore morale, rivalutato nell’ottica della proiezione sociale, anche on line, della persona,
- che riconoscono l’esigenza dell’interessato di detenere il potere di gestione, oltre che di protezione, dei propri dati, considerati in tutta la loro complessa essenza.
Per garantire un’efficacia duratura di questo sistema, è stato individuato lo strumento flessibile costituito dall’interazione tra diritti fondamentali: il GDPR proclama il diritto della persona umana alla protezione dei dati personali quale diritto fondamentale“considerato alla luce della sua funzione sociale” (considerando 3-bis) e questo interagisce con tutti gli altri diritti fondamentali riconosciuti dalle norme europee – tra cui la libertà di espressione e di informazione e la libertà d’impresa (ma anche la dignità umana, libertà e uguaglianza) – in un continuo bilanciamento regolato dal criterio diproporzionalità.
Sull’armatura costituita dal bilanciamento delle libertà fondamentali, il Regolamento tesse poi una rete di principi e definizioni di riferimento in materia di trattamento di dati personali:
- quelli tradizionali: liceità, trasparenza, pertinenza e non eccedenza del trattamento, esattezza dei dati trattati
- e quelli codificati per la prima volta: semplificazione, effettività della tutela, data protection by design e by default.
È importantissimo considerare che questa struttura di base, usando come riferimento le dinamiche d’interazione tra diritti fondamentali, e dunque tra principi generalissimi, nella sua applicazione non è limitata dalla necessità di essere sempre conforme a norme testuali a rischio di rapida obsolescenza: in tale modo viene a costituire una griglia, dinamica e flessibile, capace di adattarsi ai mutamenti tecnologici senza perdere efficacia.
Nel contenitore dinamico così definito, gli organismi comunitari, gli Stati membri e le Autorità di controllo nazionali assumono un ruolo integrativo, collaborando per la progressiva definizione di regole di dettaglio.
Il meccanismo così individuato è volto ad assicurare il mantenimento costante nel tempo dell’”adeguatezza” della protezione dei dati personali, in sintonia – invece che in contrapposizione – con il progresso tecnologico, prezioso volano dello sviluppo economico.