IL DIRITTO ALL’AUTODETERMINAZIONE INFORMATIVA: GENESI STORICA DI UN DIRITTO FONDAMENTALE
DELL’ “HOMO TECNOLOGICUS”

1. Dal right to privacy al diritto all’autode-terminazione informativa

Il diritto al rispetto della vita privata trova una delle sue prime concretizzazioni concettuali nell’ordinamento giuridico statunitense, celato dietro le rivoluzionarie intuizioni di due studiosi: Warren e Brandeis [1] . L’esigenza di proteggere l’elemento psicologico e relazionale della persona, oltre a quello fisico, fu avvertita come pressante non appena le tecniche fotografiche vennero perfezionate al punto da essere percepite come invasive e potenzialmente pericolose per la propria immagine privata e pubblica. La riduzione dell’individuo ad un’immagine impressa su un pezzo di carta riproducibile in numerose copie fedeli all’originale e circolabili senza possibilità alcuna di controllo da parte del soggetto in esso riprodotto, creò nell’immaginario sensazioni e timori molto simili a quelli che si avvertono nei confronti della nuove tecnologie tese, per loro intima essenza, a catturare un numero enorme di informazioni, testi o immagini, elaborarle e renderle disponibili sulla base di una semplice richiesta. La similitudine è data dal fatto che attraverso le nuove tecnologie della gestione delle informazioni un complesso di dati di rilevanza personale fornito o catturato, in un determinato momento e per un determinato fine, riesce a raffigurare e delineare il profilo di un individuo, fissandolo e cristallizzandolo nello spazio e nel tempo come in una fotografia e in modo avulso dalle condizioni originarie, di cui quei dati o quelle particolari informazioni costituivano espressione.Ritornando alle origini della privacy, la questione non fu affrontata utilizzando i classici canoni dello ius escludendi del diritto di proprietà o con il ricorso al concetto del pericolo per l’onore o la reputazione del soggetto coinvolto, ma venne in rilievo qualcosa di più intimo e profondo: la personalità dell’individuo, sintesi di elementi fisici e, ancor di più, di complessi ed imperscrutabili aspetti psicologici.
Gli operatori del diritto, teorici e pratici, si sentirono chiamati in causa da un fenomeno che appariva così pericolosamente invasivo della sfera personale, perché consapevoli di non poter concretamente ed efficacemente reagire con gli ordinari strumenti giuridici a loro disposizione, sia da un punto di vista della prevenzione che di quello della repressione, agli eventuali abusi compiuti attraverso l’uso delle nuove tecnologie.
Partendo dalla consapevolezza di dover solcare nuove strade, la Corte Suprema statunitense elaborò così una cospicua giurisprudenza mettendo in evidenza, scolpendone le varie sfaccettature, i numerosi aspetti in cui si concretizzava la brillante intuizione degli Autori precedentemente citati [2] . Le due facce della medaglia su cui si mossero giudici e studiosi, scivolando da un caso all’altro, erano costituite:
- dall’esigenza di erigere un muro, un confine invalicabile, a protezione del singolo e delle sue informazioni personali che non potesse essere oltrepassato senza il consenso esplicito del singolo individuo (Aspetto Passivo);
- la libertà di poter compiere scelte personali ed intime in piena autonomia e senza il pericolo di essere influenzato dalle critiche o dalla disapprovazione dell’ambiente circostante (Aspetto Attivo).
In Europa le cose andarono in modo diverso; tranne che per qualche rara eccezione, infatti, gli Stati del Vecchio continente non elaborarono un istituto analogo alla privacy statunitense. La frammentarietà divenne la caratteristica principale di una cultura giuridica disposta ad affrontare i problemi che questa materia poneva con intensità crescente, sempre solo come enigmi da risolvere non seguendo una logica d’insieme e curandosi esclusivamente di trovare, talvolta slabbrando le fattispecie normative, una soluzione utile solo per il singolo caso, piuttosto che cercando di costruire archetipi generali da cui trarre in modo deduttivo la soluzione del caso concreto. La fine di questa frammentarietà si può simbolicamente far risalire all’art. 8 della Convenzione europea per i diritti dell’uomo e delle libertà fondamentali [3] (d’ora in poi CEDU) e all’interpretazione che di esso ha fatto la Corte di Strasburgo: « 1. Ogni persona ha il diritto al rispetto della vita privata e familiare, del suo domicilio e della sua corrispondenza. 2. Non può esservi ingerenza della pubblica autorità nell’esercizio di tale diritto se non in quanto tale ingerenza sia prevista dalla legge e in quanto costituisca una misura che, in una società democratica,  è necessaria per la sicurezza nazionale, l’ordine pubblico, il benessere economico del Paese, la prevenzione dei reati, la protezione della salute o della morale, o la protezione dei diritti e delle libertà altrui.». La Corte di Strasburgo, sulla falsa riga tracciata dalla Corte Suprema statunitense, costruì con la sua giurisprudenza due binari su cui far scorrere la disciplina del diritto alla riservatezza: il primo attento a punire l’abuso delle informazioni personali tese a creare un profilo dell’utente al fine di evitare situazioni potenzialmente pericolose; il secondo, più ampio e difficilmente rinchiudibile nell’angusto limite di una definizione, teso a porre delle garanzie affinché ogni individuo fosse schermato dal pericolo di “sguardi indiscreti” limitativi della propria autonomia. L’importanza della CEDU e la forza argomentativa della giurisprudenza della Corte di Strasburgo vennero sottolineate dalle ripercussioni che queste provocarono sulle strutture normative dei singoli Stati europei e su quelle comunitarie.
Questa “bomba di profondità”, filtrando e scorrendo lentamente attraverso le acque di ordinamenti giuridici frutto di secolari sedimentazioni culturali, raggiunse la mente dei popoli europei collocandosi accanto ad istituti giuridici di antica tradizione; infine, dopo essersi ritagliata una propria identità, inevitabilmente scoppiò creando delle onde d’urto che difficilmente vennero contenute dai tradizionali  strumenti giuridici. Nel diritto comunitario, in origine, non era presente una scacchiera di diritti umani riconosciuti all’interno degli statuti istitutivi [4] . Sarà la Corte di Giustizia della Comunità europea con un’imponente opera giurisprudenziale a riconoscere, in un primo tempo, i diritti fondamentali della persona inserendoli all’interno di quei principi che essa stessa aveva il compito di garantire [5] . Le premesse  logiche di queste pronunce si ritrovano in quella giurisprudenza della Corte di Strasburgo precedentemente indicata e nelle tradizioni costituzionali degli Stati membri più sensibili al problema della tutela e della promozione dei diritti fondamentali [6] . Tali basi costituiranno l’ ”humus” idoneo a far germogliare i diritti dell’uomo nella coscienza europea e condurranno, successivamente, alla redazione dell’art. 6 TUE e alla solenne proclamazione della Carta dei diritti fondamentali dell’Unione europea nel Consiglio europeo svoltosi il 7 dicembre 2000 a Nizza. Per questo motivo appare necessario premettere ad ogni discorso in tema di diritto alla riservatezza e di tutela dei dati personali, sia a livello nazionale che internazionale, le conclusioni raggiunte in sede di interpretazione giurisprudenziale della CEDU. La Corte europea per i diritti dell’uomo è stata investita più volte del problema della violazione della “vita privata” ex art. 8 CEDU in relazione a presunti abusi dell’utilizzazione di informazioni personali. Come si evince dalla lettura della norma, l’ambito di operatività dell’articolo predetto non appare limitata a determinate e specifiche ipotesi; tuttavia, « non ci sembra però essere priva di limiti, e in particolare crediamo si possa affermare che l’oggetto della protezione è la sfera personale, privata, in qualche modo psicologica dell’individuo. Ne fuoriesce quell’attività esclusivamente sociale e intimamente legata all’agire collettivo, come tale di non esclusiva pertinenza del singolo» [7] .
L’ambito della non ingerenza nella “vita personale”, per quanto ampiamente interpretato [8] , non si spinge mai oltre il confine del lecito, sino al punto da poter coprire eventuali attività illegali [9] .
Un’altra questione sorge proprio in considerazione del carattere personale di questo diritto fondamentale: le persone giuridiche possono essere considerate titolari di un diritto così “personale”?  Nonostante in dottrina le opinioni non siano concordanti, «sinora, per lo meno, la Corte di Strasburgo non lo ha mai riconosciuto; in tutte le occasioni in cui ha accolto entro il raggio d’azione l’art. 8 comunicazioni o ambienti professionali e commerciali, lo ha fatto sempre in riferimento a persone fisiche e con argomenti che ci sembrano calzare solo su di esse» [10] . Le esigenze legate all’espletamento delle indagini penali [11] e della prevenzione del crimine, spesso, si scontrano con i contenuti dell’art. 8 CEDU creando dei momenti di frizione, difficilmente risolvibili sempre a favore del singolo individuo [12] . Accanto a questa congerie di situazioni riconducibili al contenuto dell’art. 8 CEDU, si affianca ed emerge con forza il diritto a conoscere, entrare in possesso ed eventualmente modificare le informazioni personali da altri custodite. La persona ha il diritto di ritagliare il suo profilo e sovrapporlo a quello che altri hanno ricostruito tramite il reperimento e l’elaborazione di informazioni relative alla sua persona, intesa come identità biologica e di utente-consumatore. Si pensi a tutte quelle notizie relative alla salute delle persone e alle possibili discriminazioni che la loro divulgazione potrebbero determinate (ad esempio nel caso di informazioni relative alla sieropositività). Il segreto professionale assume un valore importante, totalizzante, per l’instaurazione e il mantenimento del rapporto di fiducia medico/paziente; per questo motivo, la Corte impone che il segreto venga garantito, anche dopo la cessazione del servizio, non solo per il personale medico che entra in diretto contatto con il malato, ma anche per tutti gli operatori  che si trovano a lavorare e trattare  dati così particolari e sensibili. La giurisprudenza della Corte di Strasburgo sembra, in estrema sintesi, aver costruito le motivazioni delle sue decisioni sul fondamento che le informazioni personali siano realtà proprie di ciascun individuo. Di conseguenza la loro disponibilità è strettamente legata alla volontà del titolare che ha il diritto di determinare in modo autonomo le proprie azioni e i propri pensieri ed, inoltre, impedire che dalle informazioni personali reperibili si possa ricostruire un profilo per lui ingiustamente penalizzante. Se quello appena descritto è rilevatore di un fondamentale diritto dell’uomo degno di massima tutela, dall’altra parte non si deve incorrere nell’errore di considerarlo in una prospettiva assoluta e senza possibilità alcuna di attenuazione. «Ebbene, in quanto ciascuno è membro della società in cui vive, sarebbe inimmaginabile concedergli un dominio assoluto su ogni notizia a sé riferita. Da questa concezione della persona umana seguono: l’ammissibilità, entro certi limiti chiari in partenza e ragionevoli, di molti e svariati utilizzi di dati personali; l’inammissibilità di pretese di una sorta di esclusiva su informazioni inerenti a proprie attività specificamente rivolte alla generalità, o su dati personali comunque attinenti a contesti sociali non inscindibilmente legati all’esperienza personale del singolo» [13] . La moderna società è costituita da una fitta rete di rapporti e relazioni interpersonali reali e/o virtuali in cui l’elemento base è l’informazione. Flussi continui di dati scorrono lungo le vie telematiche senza trovare mai sosta, rendendo nulla la rilevanza di ogni distanza fisica tra i soggetti coinvolti. Tra le innumerevoli categorie di informazioni quelle che rivestono un ruolo particolarmente degno di attenzione e di tutela contro pericoli di abusi sono quelle personali, riferite cioè a persone ben determinate o determinabili. Il pericolo sempre pronto a concretizzarsi, in una società moderna nelle strutture ma ancora largamente vetusta nella cultura, è l’utilizzo di tali informazioni in chiave discriminatoria e al fine di creare profili personali per scopi ignorati dall’utente e, nei casi più gravi, illeciti.  Quello che nasce e prende corpo in Europa, grazie alla CEDU e alla giurisprudenza della Corte di Strasburgo, è la coscienza di un diritto fondamentale al dominio sulle proprie informazioni personali ed al diritto esclusivo di costruire la propria identità personale [14] . «La posizione giuridica che entra in gioco, complessivamente, può definirsi “diritto di autodeterminazione sulle proprie informazioni”, o più concisamente, come è stato proposto, “autodeterminazione informativa” od “informatica”» [15]

2. La Convenzione di Strasburgo n. 108 del 28 gennaio 1981

La Convenzione “sulla protezione delle persone rispetto al trattamento automatizzato dei dati di carattere personale” è stata ratificata e resa esecutiva dalla legge 21 febbraio 1989, n. 98 (G.U. n. 66 del 20 marzo 1989).
Lo strumento con cui la Convenzione è stata introdotta nel nostro ordinamento giuridico statale è denominato “ordine d’esecuzione”. Tale tecnica di adattamento dell’ordinamento interno agli obblighi del trattato consiste in un atto normativo, in questo caso l’atto-fonte è una legge, che piuttosto che formulare ( a differenza del procedimento ordinario ) norme, le individua tramite rinvio (per relationem) all’accordo internazionale. « Si ritiene, tuttavia, che l’ordine d’esecuzione, in tanto possa conseguire l’obiettivo in funzione del quale è adottato, in quanto l’accordo cui si riferisce sia suscettibile di essere immediatamente applicabile (contenga – come altrimenti si dice – prescrizioni “self executing”)». [16] Quando questa situazione non si verifica, la semplice adozione dell’ordine d’esecuzione non è sufficiente, «non sembra, infatti, ammissibile che il puntuale intervento del legislatore possa essere validamente surrogato da un atto normativo di tipo “ellittico e abbreviato” (per riprendere una definizione di Mario Miele); e che l’interprete sia autorizzato a dedurre da tale atto tutte le norme necessarie e sufficienti all’attuazione dell’accordo internazionale» [17] .
Il contenuto del trattato a causa della natura non-self executing, desumibile chiaramente dall’art. 4 [18] e dal tenore delle altre disposizioni, subordina la sua efficacia all’adozione di apposite norme interne che ne rendano operativo il  contenuto all’interno dell’ordinamento degli Stati (Parti); in Italia tale normativa interna è stata adottata solo nel 1997. La Convenzione, costituita da 27 articoli ripartiti in sette capitoli, tenta di mediare e di trovare un difficile equilibrio tra due opposte esigenze: la libertà della circolazione delle informazioni e i diritti fondamentali della persona. L’oggetto del Trattato è individuato e delimitato dall’art. 1: «Scopo della presente convenzione è quello di garantire, sul territorio di ogni Parte, ad ogni persona fisica, qualunque siano la sua cittadinanza o residenza, il rispetto dei diritti e delle libertà fondamentali, ed in particolare del diritto alla vita privata, nei confronti dell’elaborazione automatizzata dei dati di carattere personale che la riguardano(«protezione dei dati»)». Dopo aver fissato, convenzionalmente, il significato di alcuni termini (casellario automatizzato, elaborazione automatizzata e responsabile del casellario) nell’art. 2, determina nell’art. 3, segnandone i confini e le possibili eccezioni, il campo di applicazione della Convenzione. L’oggetto di protezione è individuato in ogni informazione relativa alla persona che inserita in uno schedario informatico diventi possibile oggetto di “elaborazione automatica” [19] . L’altro elemento discriminante, ai fini dell’applicabilità della normativa in esame, è l’identificazione del responsabile di tale schedario «con la persona fisica o giuridica, l’autorità pubblica, l’ente o altro organismo competente, secondo il diritto nazionale, a decidere quale debba essere la finalità del casellario automatizzato, quali categorie di dati a carattere personale debbano essere registrati e quali operazioni siano ad essi applicabili». E’, in altre parole, la “qualità” dei dati (a carattere personale) e il “tipo” del mezzo utilizzato (elaborazione automatizzata) a disegnare il perimetro all’interno del quale opera detta disciplina.
In merito alla suddetta “qualità dei dati” e alla loro elaborazione i principi fissati dalla Convenzione [20] sono così sintetizzabili:

1. la liceità e la correttezza (principio di lealtà e buona fede) del reperimento e dell’elaborazione automatica dei dati

2. la legittimità (principio di legalità) e la determinazione anticipata dei fini, motivo e causa della registrazione

3. l’impiego dei dati reperiti ed elaborati in stretta conformità con i fini predetti;  

4. l’adeguatezza dell’uso al fine, intesa come sufficiente e non eccessiva utilizzazione dei dati oltre il minimo necessario per il raggiungimento dello scopo;

5. correttezza dei dati e il loro possibile aggiornamento (da parte degli interessati) nel caso in cui si rivelassero errati o semplicemente “non più corrispondenti alla realtà”;

6. i dati devono essere conservati in modo da risalire alle persone interessate, per un tempo che non ecceda quello sufficiente a raggiungere i fini per i quali sono stati registrati ed elaborati.

Accanto a questi principi di carattere generale, operanti per l’intera categoria “dati di rilevanza personale”, la Convenzione detta una particolare, e più rigida, disciplina per alcuni tipi di dati personali ritenuti particolarmente “sensibili”, la cui schedatura è ritenuta potenzialmente rischiosa.  All’interno di questa tipologia di dati sono collocati quelli indicanti: l’origine razziale, le opinioni politiche, le convinzioni religiose, i dati relativi allo stato di salute e alla vita sessuale ed infine, quelli relativi alle condanne penali. A causa della pericolosità intrinseca ad elaborazioni automatiche aventi ad oggetto questo tipo di dati, la Convenzione detta una norma generale che vieta tali operazioni a «meno che il diritto interno non preveda garanzie adatte». La scelta di un’elencazione così dettagliata della fenomenologia dei dati c.d. “sensibili” non è vista in modo favorevole da una parte della dottrina che intravede, in tale tecnica, una inutile limitazione e costrizione dell’oggetto di tutela che potrebbe provocare futuri dubbi interpretativi e vuoti di difesa [21] . Tuttavia, al legislatore della convenzione può essere mossa la critica di non avere sufficientemente specificato agli Stati, parti del trattato, gli strumenti e i livelli minimi idonei a garantire la necessaria  vigilanza e difesa di questi particolari dati personali [22] .
Un punto di fondamentale importanza è rappresentato dal contenuto dell’articolo 8, «Ulteriori garanzie per la persona interessata», delineante una serie di poteri che ogni individuo può esercitare nei confronti di un casellario automatizzato e del suo responsabile. Innanzitutto, ogni persona deve poter conoscere: l’esistenza di un casellario automatizzato di dati a carattere personale e gli scopi per i quali è nato; l’identità, la residenza abituale e la sede amministrativa del suo responsabile. Inoltre, deve poter conoscere, senza incontrare eccessive difficoltà e costi elevati, l’esistenza all’interno di tali archivi di dati ad esso relativi e, in caso affermativo, poterne estrarre copia al fine di verificarne la veridicità e la liceità. Nel caso in cui si riscontri un errore si deve poterne ottenere la rettifica o l’aggiornamento od eventualmente, in caso di illegalità del trattamento, la cancellazione. Tutte queste disposizioni sarebbero risultate vane, al fine di una concreta tutela, senza la previsione contenuta nella lett. d) dell’art. 8 che impone agli Stati di disporre gli interventi  necessari a rendere effettiva una «…possibilità di ricorso qualora non  venga dato seguito ad una richiesta di conferma o, a seconda del caso, di comunicazione, rettifica, o cancellazione» relativa alle richieste precedentemente illustrate.
Uno dei motivi di fondo dell’intera disciplina è individuabile nell’indirizzo teleologicamente imposto, come imprescindibile elemento, al reperimento e all’elaborazione dei dati personali; l’idea del “fine” ,infatti, segna e scandisce tutte le fasi della vita di quello che la Convenzione definisce casellario di dati. Si deve aggiungere che l’obbligo imposto di “responsabilizzare” i “responsabili” dei casellari suddetti non è assoluto, ma prevede significative, e a volte troppo estese, deroghe che consentono agli Stati di mitigare la rigidità di detta disciplina. Il parametro utilizzato per consentire queste limitazione del diritto all’autodeterminazione informativa è quello «della necessità in una società democratica…» [23] ; questa formula si riallaccia a quella dell’art. 8 CEDU e alla copiosa giurisprudenza di Strasburgo in materia. Una volta fissati, negli articoli precedentemente commentati, gli estremi della tutela, la Convenzione affronta la spinosa questione del flusso di dati di rilevanza personale oltre frontiera. Si tenta così, dopo aver inclinato il piano della bilancia ponendo sul piatto dei diritti fondamentali numerosi pesi, di riequilibrarlo collocando sull’altro, quello dedicato alla libertà di circolazione delle informazioni, il principio per cui: «una Parte non può, ai soli fini della protezione della vita privata, proibire o condizionare ad una autorizzazione speciale il movimento oltre frontiera di dati a carattere personale destinati al territorio di un’altra Parte» (art. 12, n.2.). Anche in questo caso all’enunciazione del principio seguono numerose possibilità di deroghe; ma l’aspetto che più di altri è importante, in questa sede, sottolineare, perché possibile oggetto di critica, è la mancanza di una specifica previsione di restrizioni al trasferimento di dati personali verso i paesi non contraenti. Tuttavia, in questa materia è intervenuta con decisione la normativa comunitaria che ha dedicato maggiore attenzione alla disciplina del movimento transfrontaliero dei dati personali verso Paesi extracomunitari colmando così la lamentata lacuna. La Convenzione di Strasburgo del 1981 n.108 continua ancora oggi, ad anni di distanza dalla sua formulazione, a rappresentare un testo di fondamentale importanza per chiunque voglia conoscere le origini, giuridiche e storiche, del diritto all’autodeterminazione informativa ed acquisire una sensibilità e un metodo utile ad affrontare lo studio di una materia così vasta e caratterizzata dalla frammentarietà dei suoi contenuti.
La grandezza della Convenzione, nonostante la formulazione ampia delle sue fattispecie e la presenza di deroghe che sembrano vanificare il contenuto di alcuni principi, risiede in quel piccolo, ma allo stesso tempo rilevante, nucleo fondamentale ed irrinunciabile di garanzie imposte agli Stati che nel tempo è riuscito a promuovere ed ottenere un avvicinamento ed una armonizzazione delle diverse discipline nazionali.

3. RIFLESSIONI CONCLUSIVE

Per concludere, parlando del rapporto tra la libertà della circolazione delle informazioni e i diritti fondamentali non si può far finta di nulla e tralasciare di considerare, anche se brevemente e solo ponendo le basi della questione, i possibili effetti che su di esso hanno prodotto, e probabilmente produrranno, i terribili e noti attentati terroristici che hanno colpito, con gli Stati Uniti d’America, tutto il mondo innescando delle terrificanti reazioni a catena che si ripercuotono, ormai quotidianamente, sulla sfera della vita privata di ogni individuo. La riflessione che si vuole compiere parte dalla constatazione che fino a qualche mese addietro la gran parte della popolazione europea era pronta a condannare e stigmatizzare, come strumenti propri di uno “Stato Autoritario e di Polizia”, operazioni compiute su larga scala tese alla raccolta indiscriminata di masse di dati (in particolare di rilevanza personale) per fini di prevenzione del crimine, perché avvertite come invasive della sfera più intima e personale di ciascuno.  Oggi, alla luce di questi terribili eventi, un angoscioso quesito si pone all’attenzione dei nostri “governanti”: si può affermare pacificamente che le considerazioni  predette siano rimaste immutate e che la società europea sia disposta a non retrocedere sulla soglia dei traguardi raggiunti in tema di autodeterminazione informativa, sacrificandoli sull’altare di un rafforzato “bisogno pubblico” di sicurezza teso ad incrementare l’intensità dei controlli e delle “schedature personali” per fini di prevenzione di crimini così crudeli e disumani ?

Quello che si può aggiungere è un invito ad ancorarsi a quei minimi valori comuni in tema di trattamento dei dati di rilevanza personale e cercare, anche in un periodo storico così difficile, di non cedere alla facile tentazione di sconvolgere la gerarchia dei valori portanti della nostra moderna e liberale società, giustificando ogni ingerenza nella vita privata del singolo individuo con il semplice e vuoto richiamo ad una esigenza di sicurezza pubblica.  Per non perdere conquiste culturali così importanti che ancora una volta, e nonostante tutto, bisogna cercare caso per caso il “giusto mezzo” tra la sicurezza, nella sua dimensione pubblica, e la privacy, nella sua dimensione individuale e personale, non accontentandosi mai di aprioristiche ed immotivate scelte di controlli indiscriminati di massa.

---