La regolamentazione nazionale e sovranazionale del danno derivante dalla lesione al diritto alla protezione dei dati

//La regolamentazione nazionale e sovranazionale del danno derivante dalla lesione al diritto alla protezione dei dati

Il diritto alla riservatezza, noto anche come diritto alla privacy, si colloca tradizionalmente nell’alveo dei diritti della personalità. Mutuato dal diritto di Common law, inteso quale diritto “a essere lasciato solo” (to be lett alone), esso trova riferimenti normativi sia nella Cedu che all’art 8 Carta di Nizza (C.D.F.U.E.), ai sensi del quale “ogni persona ha diritto alla protezione dei dati di carattere personale che la riguardano”. Nel nostro paese, il diritto de quo ha conosciuto una precisa regolamentazione da parte del legislatore solo recentemente, prima con la legge 675 del 1996, in attuazione della direttiva comunitaria 95/46/CE, e poi con il Codice in materia di protezione dei dati personali (Codice della privacy), d. lgs. n. 196 del 2003, novellato da ultimo dal d.lgs 101/2018,  adottato in ricezione del Regolamento Europeo UE 2016/679, recante adeguamento della normativa al regolamento europeo in materia di trattamento di dati personali.

Prima che il diritto alla riservatezza venisse espressamente regolamentato, esso trovava unica espressione negli artt 14,15, 21 della Cost. posti a tutela dell’inviolabilità del domicilio della libertà, della segretezza della corrispondenza e di ogni altra forma di comunicazione e della libertà di manifestazione del pensiero. Oltre ai suddetti riferimenti si riteneva salvaguardato anche dall’art 2 Cost. quale clausola generale preordinata a garantire la copertura a livello costituzionale dei diritti della personalità. Il mutamento dei costumi sociali, sempre più proiettato verso una realtà influenzata dall’uso dei mezzi elettronici ha fatto sorgere la necessità di apprestare una maggior tutela alla privacy e all’identità personale del singolo individuo, intesa anche come identità digitale impiegata nelle attività informatiche. In questo contesto, si è assistito ad un’evoluzione del concetto di privacy, inteso non solo quale diritto alla protezione dei propri dati (volto ad impedirne l’accesso da parte di estranei), ma altresì quale libertà di manifestazione dei propri pensieri e di autodeterminazione, ossia di poter essere riconosciuti quale parte attiva, e non più solo passiva, in un rapporto con le istituzioni. Quale estrinsecazione del diritto alla riservatezza deve riconoscersi, altresì, il cd. diritto all’oblio, qualificato dalla giurisprudenza, quale giusto interesse di ogni persona a non restare indeterminatamente esposto ai danni che arreca al suo onore e alla sua reputazione la reiterata pubblicazione di una notizia in passato legittimamente divulgata, evitando indebite ingerenze nella propria sfera di riservatezza. Il diritto all’oblio ha trovato riconoscimento formale nel regolamento UE n. 2016/679 (RGPD) relativo alla protezione delle persone fisiche con riguardo al trattamento dei dati personali. All’art 17 del RGPD si prevede il diritto dell’interessato a richiedere la rimozione dei dati personali che lo riguardano,  la revoca del consenso in precedenza prestato, l’opposizione dell’interessato al trattamento dei propri dati ovvero l’illiceità del trattamento medesimo, l’adempimento di un obbligo legale di cancellazione dei dati raccolti ovvero l’attinenza della raccolta dei dati personali all’offerta di servizi della società dell’informazione.

Il richiamato codice privacy sancisce che chiunque ha diritto alla protezione dei dati personali che lo riguardano, garantendo, altresì, che il trattamento dei  dati personali si svolga nel rispetto dei diritti e delle libertà fondamentali, nonché della dignità dell’interessato, con particolare riguardo alla riservatezza, all’identità personale e al diritto alla protezione dei dati personali. Oggetto della normativa sulla privacy sono i dati personali, cioè “qualunque informazione relativa a persona fisica, identificata od identificabile, anche indirettamente, mediante riferimento a qualsiasi altra informazione, ivi compreso un numero di identificazione personale”. L’organo preposto al controllo relativo alla corretta applicazione della normativa è il cd. Garante per la protezione dei dati personali.  Si tratta di un’autorità amministrativa collegiale ed indipendente che ha la funzione di salvaguardare, da un lato, il diritto alla riservatezza  e alla tutela dell’identità personale, dall’altro il diritto di libera informazione.  Il diritto alla riservatezza così come delineato può entrare in conflitto con altri diritti costituzionalmente garantiti ex art 21 Cost, in quanto espressione della libera manifestazione del proprio pensiero, quali il diritto di cronaca, di critica e di satira. Appare, dunque, evidente l’esigenza di un contemperamento dei valori in conflitto. Tale esigenza viene salvaguardata, per quanto concerne i cd dati sensibili attraverso l’acquisizione del consenso scritto al  trattamento dei dati personali o, nei casi previsti dalla legge, con l’autorizzazione del garante. Tuttavia, è permesso il trattamento dei dati personali e, segnatamente, dei dati sensibili e giudiziari, anche senza il consenso dell’interessato e senza la preventiva autorizzazione del Garante, quando l’attività esercitata sia riconducibile alla causa di giustificazione prevista dall’art 51 cp. Più precisamente, la giurisprudenza ha costantemente ribadito le tre condizioni sulla base delle quali l’esercizio del diritto di cronaca (e con alcune differenze anche quello di critica e di satira) può avere efficacia scriminante rispetto al reato di diffamazione: verità, pertinenza e continenza. Il principio di verità presuppone che il fatto sia vero, non potendo giustificarsi altrimenti la lesione dell’altrui reputazione in relazione alla divulgazione di notizie false. Il principio di pertinenza impone che i fatti narrati siano d interesse per la collettività e, infine, la continenza richiede che vi sia correttezza nell’esposizione dei fatti.

Infine, giova soffermarsi sul tema della risarcibilità del danno che la giurisprudenza ha ritenuto configurabile come danno patrimoniale da lucro cessante commisurato al cd “prezzo del consenso”, inteso come mancato arricchimento che la persona nota avrebbe potuto richiedere ed ottenere sfruttando la propria immagine, oppure, se il soggetto leso non è persona nota, al pagamento di una somma corrispondente al compenso che avrebbe presumibilmente richiesto per concedere il suo consenso alla pubblicazione. Quest’ultimo andrebbe determinato in via equitativa, avuto riguardo al vantaggio economico presumibilmente conseguito dell’autore dell’illecita pubblicazione. La parte lesa può, altresì, richiedere il risarcimento del danno non patrimoniale ai sensi dell’art 2059 cc, per la sussistenza del quale, secondo costante giurisprudenza, devono essere provati dal soggetto leso la serietà del danno e la gravità della lesione. In particolare, il danno non patrimoniale, anche quando determinato dalla lesione di diritti inviolabili della persona, non è in re ipsa, ma costituisce un danno conseguenza che deve essere allegato e provato da chi ne domandi il risarcimento. L’art 82 del GDPR sancisce che “Chiunque subisca un danno materiale o immateriale causato da una violazione del presente regolamento ha il diritto di ottenere il risarcimento del danno dal titolare del trattamento o dal responsabile del trattamento”, a meno che, questi ultimi, non dimostrino che l’evento dannoso non gli è in alcun modo imputabile. Ciò significa, seguendo una logica di inversione dell’onere della prova, che per poter essere esonerati da responsabilità il titolare o il responsabile del trattamento dovranno provare, alternativamente, che l’evento dannoso non è loro ascrivibile, in quanto dipendente da una fonte estranea alla loro sfera di competenza o di controllo, oppure che sono state da loro predisposte ed attuate tutte le prevedibili misure adeguate al fine di evitare che si verificasse il danno. Le azioni legali per l’esercizio del diritto di ottenere il risarcimento del danno sono promosse dinanzi alle autorità giurisdizionali competenti dello Stato membro in cui il titolare del trattamento o il responsabile del trattamento ha uno stabilimento. In alternativa, tali azioni possono essere promosse dinanzi alle autorità giurisdizionali dello Stato membro in cui l’interessato risiede abitualmente, salvo che il titolare del trattamento o il responsabile del trattamento sia un’autorità pubblica di uno Stato membro nell’esercizio dei pubblici poteri.

2019-03-11T12:30:26+01:00

Questo sito web usa cookie e servizi di terze parti. Privacy Policy

Ok