«Nessun individuo potrà essere sottoposto ad interferenze arbitrarie nella sua vita privata, nella sua famiglia, nella sua casa, nella sua corrispondenza, né a lesione del suo onore e della sua reputazione. Ogni individuo ha diritto ad essere tutelato dalla legge contro tali interferenze o lesioni.»Articolo 12 della Dichiarazione universale dei diritti umani
L’Articolo 12 della Carta dei diritti dell’Uomo va ben oltre il semplice concetto di privacy introducendo il diritto per cui l’individuo ha il pieno controllo sulle proprie informazioni sensibili al fine di poter esercitare molti altri diritti di libertà. Sebbene l’Art. 12 sancisca un diritto negativo, ovvero che lo Stato debba astenersi dall’interferenza arbitraria nella vita privata della persona, non va però interpretato come un totale disinteresse da parte delle Istituzioni in tale materia in quanto esse devono tutelare gli individui da eventuali ingerenze esterne. La tutela della riservatezza è un diritto assai articolato in quanto spazia dalle informazioni reperibili sulla rete internet, al campo medico fino all'entourage della politica. Se, ad esempio, dovesse venir meno il riserbo sulla rete un utente potrebbe subire molestie di carattere personale; nel campo medico vi è il segreto professionale (sancito, in Italia, dell'art. 622 del codice penale); nel campo della politica la riservatezza vede la sua maggiore espressione nella segretezza del voto come garanzia dei principi democratici.
Come visto la tutela della riservatezza nella sua complessità vede una dicotomia tra azione ed inerzia da parte dello Stato: tutela degli individui e parallelamente la non interferenza nella sfera privata della persona. Con la tutela viene toccata la parte più intima e fondante dei diritti umani ovvero il concetto di dignità umana che, con l’evoluzione tecnologica delle telecomunicazioni, è sempre più a rischio. Proteggere il diritto alla privacy in ogni sua estensione comporta un grande impegno per gli Stati e per le Istituzioni le quali devono aggiornare l’apparato normativo in virtù dell’evoluzione della tecnologia e, quindi, dei campi in cui la riservatezza potrebbe venir meno.
A tal proposito l’Unione europea ha introdotto il Regolamento Ue 2016/679 (noto anche come GDPR – General Data Protection Regulation) al fine di regolamentare il trattamento e la libera circolazione dei dati personali all’interno dell’Unione e dall’Unione verso Paesi terzi. L’introduzione e la successiva adozione del General Data Protection Regulationè da intendersi come una risposta concreta alle sfide poste in essere dall’innovazione tecnologica che, in questi ultimi anni, sta evolvendo verso sistemi di cloud computing, IoTe Data Analysis. Tale necessità, sollevata anche dal WP29I tre documenti prodotti dal WP29 sono il WP 248 rev.01 «Guidelines on Data Protection Impact Assessment (DPIA) and determining weheter processing is “likely result in hig risk” for the purposes of Regulation 2016/679»; il WP250 « Guidelines on Personal data breache notification under Regulation 2016/679»ed il WP251 « Guidelines on Automated individual decision-making and Profiling for the purposes of Regulation 2016/679», ha fatto sì che il tema dell’innovazione tecnologica sia uno dei punti essenziali del GDPR al fine di tener conto delle esigenze di tutela dei dati personali dei cittadini europei. Oltreoceano, negli USA, la tutela della privacy –o dei dati sensibili– risale al 1890 quando i giuristi, Samuel Warren e Louis Brandeis, pubblicarono sulla Harvard Law Reviewun approfondimento di carattere scientifico dal titolo “Right to privacy”dove, per la prima volta, venne fatta un’analisi in merito ai limiti e al bilanciamento del diritto all’informazioneDa intendersi come il diritto ad informare ed essere informati nonché al diritto alla privacyDa intendersi come il diritto alla riservatezza.
Con Right to privacy, Warren e Brandeis furono i primi a chiedersi quale fosse il limite del diritto all’informazione a discapito del diritto alla riservatezza al fine di evitare che le informazioni afferenti ad un individuo potessero essere oggetto di diffusione inopportuna attraverso la stampa. Sebbene nel 1890 il tema dell’informazione e della diffusione di notizie erano regolamentati sia negli USADichiarazione dei diritti contenuta nella Costituzione federale degli Stati Uniti d’America del 1787 stabiliva infatti che il Congresso non potesse limitare la libertà di parola e di stampa. che in Francia che nel Regno UnitoBill of Rights, 1689, come mai nel 1890 venne introdotto il concetto di tutela dei dati sensibili? La risposta a questa domanda la si ha nuovamente nella tecnologia: nel 1837 Daguerre inventò la Dagherrotipia (ovvero la prima forma di riproduzione di immagini per mezzo fotografico); nel 1851 fu fondato uno tra i più diffusi ed autorevoli quotidiani ancor oggi, il “The New York Times” e nel 1875 Barclay inventò la stampa offset per la diffusione su larga scala dei quotidiani. Quanto presentato da Warren e Brandeis non poteva che essere una delle rivelazioni più lungimiranti in campo di protezione dei dati personali specie con l’avvento dei calcolatori elettronici, la gestione e l’analisi dei dati personali vide una vera e propria trasformazione ed evoluzione continua. Con l’evoluzione dei dispositivi di analisi e delle banche dati la normazione in merito alla tutela delle informazioni degli individui ha sempre più preso connotazioni specifiche, sia nella raccolta che nella successiva analisi e diffusione delle informazioni, introducendo così una nuova forma di diritto, quello relativo al trattamento dei dati personali, in quanto la tutela della privacy non poteva (e tutt’ora non può) essere intesa come il divieto alla raccolta e all'elaborazione dei dati personali senza il consenso dell’interessato. Il divieto alla raccolta e all’elaborazione, come Rodotà afferma, sarebbe da considerarsi eccessivo e al contempo insufficiente. Lo si può considerare eccessivo in virtù del progredire della tecnologia e dell’informazione; insufficiente, invece, se la raccolta e l’elaborazione dei dati – senza il consenso dell’interessato – potrebbe risultare lesiva verso i soggetti più deboli.
Questo excursus storico presenta la dimostrazione tangibile di come il concetto di privacy e, di conseguenza la sua tutela, sia in rapporto inscindibile con la tecnologia e il progresso dei mezzi di comunicazione. I sistemi sociali e le tecnologie hanno così influenzato e dato forma alla nozione di dato riservato producendo, conseguentemente, effetti giuridici. Nel 1950 la tutela della riservatezza entra a pieno titolo nel Diritto europeo con la Convenzione Europea dei Diritti dell’Uomo tutelando, come diritto fondamentale, la riservatezza per l’individuo e la sua famiglia. Nel 1981, con la Carta di Strasburgo, oltre alla riservatezza come unico diritto fondamentale è stato introdotto il concetto di tutela dei dati personali come condizione imperativa per garantire la libertà dell’individuo. Dagli anni ’50 del secolo scorso ad oggi l’Europa ha sempre più potenziato l’ambito di tutela della riservatezza definendola in diverse occasioni come un diritto fondamentale; negli Stati Uniti, a differenza, nulla di tutto ciò è stato attuato sebbene il mirabile e lungimirante contributo apportato da Warren e Brandeis.
In Europa l’ultimo passo avanti fatto per tutelare i dati sensibili degli individui ha previsto l’adozione del già citato GDPR, ovvero il Regolamento Generale per la Protezione dei Dati, volto a rendere più omogenea la materia all’interno degli Stati dell’Unione ponendo l’accento sul flusso verso l’esterno dei dati riconducibili a coloro che risiedono all’interno degli Stati membri. Il testo, pubblicato sulla Gazzetta Ufficiale Europea il 4 maggio 2016 ed entrato in vigore il 25 maggio dello stesso anno, inizierà ad avere efficacia il 25 maggio 2018. Il GDPR vede nella sua più intima natura la tutela dell’individuo, infatti, all’art. 1 par. 2 afferma «Il presente regolamento protegge i diritti e le libertà fondamentali delle persone fisiche, in particolare il diritto alla protezione dei dati personali». Fattore di notevole importanza riguarda il metodo con il quale tale diritto viene tutelato, ovvero, mediante un approccio risk basedper cui viene responsabilizzato il titolare ed il responsabile al trattamento di tali dati, traducendo il mero adempimento delle norme in un comportamento proattivo volto a rispettare quanto previsto nel regolamento.
Altro punto di innovazione riguarda la discrezionalità del titolare in merito alla gestione e ai limiti del trattamento dei dati facendo riferimento agli specifici criteri definiti nel GDPR e prevedendo un approccio definito come “privacy by design”per il quale i servizi offerti all’utente dovranno essere progettati, sin dall’inizio, con criteri e garanzie di tutela della privacy. L’approccio risk-based introdotto dal GDPR vede una maggior flessibilità nell’attuazione della normativa sulla tutela dei dati personali in quanto il titolare ed il responsabile al trattamento dei dati potranno adattare le norme previste dal regolamento in funzione delle tecnologie impiegate e della tipologia di dati raccolti; al contempo vede una maggior difficoltà nel delegare al titolare dei dati la valutazione del rischio rendendo, così, più difficile eventuali contestazioni in caso di inadempienze.
Concludendo, si può affermare che la tutela dei dati sensibili e delle informazioni riservate riconducibili all’individuo sia un argomento complesso che ha visto la sua natura mutare secondo l’evoluzione sociale e tecnologica mantenendo, però, la tutela della dignità umana come principio ispiratore. Le informazioni sensibili tutelate dal GDPR hanno introdotto tra i dati da preservare – ad esempio – l’indirizzo IP e il cloud in quanto estensi.