Capitolo 9: i dati e le informazioni:

il diritto alla protezione dei dati nel quadro dei diritti della personalità:
l’entrata in vigore del reg UE 2016/ 679 ( regolamento generale sulla protezione dei
dati personali) ha comportato un riassestamento del quadro legislativo interno per
coordinare il nuovo testo con quel sistema di norme che in materia era stato
costruito a partire dalla legge del 31 dicembre 1996 n 675. Dopo tale legge, il d.lg
101/ 2018 ha apportato modifiche rilevanti al codice in materia di protezione dei
dati , ossia dlg 30 giugno 2003 n 196, che non è stato abrogato ma interpolato per
recepire in modo coerente le nuove regole di fonte europea. dunque il sistema
vigente della protezione dei dati si regge su tre fondamentali pilastri normativi: il reg
2016/ 679, il codice in materia di protezione dei dati, il d.lg. 101/ 2018. Una delle
affermazioni più significative , a livello di principi, che si trova nel regolamento è
costituita dall’espressa garanzia del diritto alla protezione dei dati personali, figura
non contemplata nella direttiva del 1995 ed ora espressamente richiamata nell’art
1 , 2 comma del regolamento. Tale disposizione prevede che il presente
regolamento protegge i diritti e le libertà fondamentali delle persone fisiche, in
particolare il diritto alla protezione dei dati personali. Tuttavia di non semplice
comprensione è il rapporto che si instaura tra il diritto alla protezione dei dati
personali, che dunque rientra tra i diritti della personalità e le altre situazioni della
persona come il diritto alla riservatezza, all’identità personale, alla dignità umana.
Nella relazione al testo originario del codice in materia di dati personali si
evidenziava l’autonomia di tale diritto rispetto al più generale diritto alla
riservatezza. In ogni caso è possibile distinguere 3 possibili approcci al problema
della configurazione di tale diritto: il modello rimediale, il modello proprietario e il
modello del diritto della personalità.
1) Modello rimediale: fa capo alla tesi della tutela in forma oggettiva degli
interessi della personalità, condivisa da una parte rilevante della dottrina
italiana e formulata in chiave di contrapposizione critica rispetto al modello
tradizionale della soggettivazione del bene. Tale ricostruzione poggia sulla
premessa per cui il valore della persona sia predefinito e attuato
dall’ordinamento mediante l’imposizione di autonomi doveri di condotta in
capo a terzi e non tramite l’ascrizione di diritti soggettivi a favore
dell’interessato. Dunque si afferma più la centralità del momento del dovere e
del relativo rimedio per la sua trasgressione, che non quella del diritto, di
conseguenza secondo tale impostazione il diritto alla protezione dei dati
personali pur avendo tutta l’apparenza di un diritto soggettivo,
rappresenterebbe in realtà solo una formula enfatica, che va a denotare il
 complesso delle posizioni strumentali attribuite al singolo in relazione al
trattamento dei suoi dati. Si tratterebbe cioè di un puro nomen iuris, privo di
autonomo contenuto precettivo. Infatti il vero pilastro della disciplina sarebbe
costituito dai doveri di condotta che si appuntano in capo al titolare del
trattamento, nonché dai poteri di controllo e reazione riconosciuti
all’interessato.
2) Modello proprietario: qui il modello di tutela è configurato in modo del tutto
diverso e incentrato non tanto sul profilo della reazione ai comportamenti
trasgressivi del dovere di condotta, quanto su quello dell’astratta
delimitazione di una sfera di esclusiva rimessa all’arbitrio del suo titolare. I
dati personali rileverebbero pertanto come termine di riferimento oggettivo
di un vero e proprio diritto di natura dominicale. L’art 1 del reg avrebbe allora
un significato più pregnante e sostanziale di quanto ammesso dai fautori del
precedente modello. Non sarebbe una mera formula tautologica volta a
sintetizzare il processo di bilanciamento degli interessi ma senza influire sullo
stesso, esso andrebbe a costituire un nuovo bene immateriale, rappresentato
dai dati personali. In questa ipotesi il fornitore del singolo dato personale
avrebbe il diritto di consentire o di opporsi all’utilizzazione del proprio bene e
in particolare al suo inserimento nell’archivio delle banche di dati. In tal modo
si rafforzerebbe la tutela del soggetto interessato, essendo lui a scegliere
come sfruttare le sue info personali e poi di apprestare le condizioni
necessarie per uno scambio efficiente facendo chiarezza sulla spettanza dei
diritti e assicurando che essi vengano acquisiti da parte di chi li valuta
maggiormente.
3) Infine il modello del diritto della personalità. È stato osservato come uno degli
obiettivi della direttiva del 1995 n 46 CE era quello di agevolare la circolazione
delle info in quanto beni produttivi di utilità economica, a tal fine una lettura
prettamente proprietaria del diritto alla protezione dei dati personali non
riuscirebbe a spiegare numerose regole dettate dal regolamento, come ad es
l’inalienabilità dei dati personali. Dunque la dottrina italiana non ha optato
per una lettura in chiave proprietaria ma ha piuttosto avvalorato la
riconduzione della disciplina del trattamento dei dati al sistema dei diritti della
personalità. Secondo tale approccio la norma di cui all’art 1 reg, prevede che il
diritto alla protezione dei dati personali sia non un autonomo diritto su bene
immateriale ma un nuovo diritto della personalità.
Come sappiamo l’esperienza dei diritti della personalità è stata storicamente
caratterizzata dalla prevalenza del momento individualistico e difensivo. La
preoccupazione principale dell’ordinamento era quella di proteggere la sfera
personale dalle intromissioni esterne. Il modello di tutela era quindi incentrato
sul profilo della reazione ad una lesione già in atto piuttosto che su quello della
prevenzione dei potenziali pericoli e rifletteva un’impostazione prettamente
individualistica, essendo l’attivazione degli strumenti di tutela rimessa
esclusivamente all’iniziativa del singolo e sempre in una prospettiva di carattere
difensivo, mentre era meno sviluppata la dimensione della partecipazione ,
l’obiettivo infatti non era quello di promuovere l’apertura della sfera privata
all’interazione con i terzi, realizzandone i necessari presupposti. Diversa è la
logica sottesa alla protezione dei dati personali. Anzitutto la necessità di
prevedere doveri di condotta in capo al responsabile del trattamento dei dati ha
una funzione marcatamente preventiva. Basti pensare agli obblighi di informativa
, alle regole sulle misure di sicurezza, volte a ridurre i rischi presentati dal
trattamento che derivano in particolare dalla distruzione, perdita, modifica,
divulgazione non autorizzata o dall’accesso in modo accidentale o illegale a dati
personali trasmessi, conservati o comunque trattati ( art 32 reg 2016) o pensiamo
alla centralità del diritto d’accesso garantito a ciascun interessato.
Dunque un’accentuazione del profilo preventivo della disciplina della circolazione
dei dati e una maggiore attenzione, rispetto alla tesi tradizionale dei diritti della
personalità, all’integrazione tra pubblico e privato. Ha ovviamente un rilievo
centrale in questo senso l’istituzione di un’Autorità indipendente, cui è
demandato il compito di vigilare circa l’osservanza dei requisiti previsti dalla
legge per il trattamento lecito dei dati personali. Un terzo importante
mutamento si avverte sotto il profilo degli interessi protetti. La disciplina del
trattamento dei dati si muove infatti su un orizzonte ben più vasto rispetto a
quello definito dal sistema tradizione dei diritti della personalità, infatti nel
sistema designato dal legislatore interno ed europeo la tutela dell’inviolabilità
della persona rappresenta solo una delle varie finalità perseguite dalla disciplina
del trattamento dei dati. In tal senso indicativo è l’art 1, 2 comma, del
regolamento che non si riferisce solo al principio del libero svolgimento della
personalità ma all’intero quadro dei diritti e delle libertà fondamentali delle
persone fisiche. Ciò riflette la valenza istituzionale del diritto alla protezione dei
dati che opera come anello di congiunzione tra la sfera privata e la sfera pubblica.
Il controllo sulla circolazione delle info viene cioè giuridicamente costruito come
la precondizione per l’esercizio degli altri diritti civili, sociale, politici e quindi
come elemento costitutivo della moderna cittadinanza. Infatti in assenza di una
garanzia circa le modalità di raccolta e utilizzazione dei dati personali, nessuna
persona si sentirebbe veramente libera di manifestare il proprio pensiero, le
proprie attitudini e dunque di aprirsi alla comunicazione intersoggettiva. La
privacy perde così la sua originaria connotazione di privilegio di classe e si
riafferma come strumento di controllo e riequilibrio del potere sociale.
La costituzione italiana non menziona espressamente il diritto alla protezione dei
dati personali, poiché esso è emerso a seguito dello sviluppo relativamente
recente delle tecnologie informatiche e per la consapevolezza dei pericoli ad esse
connessi. Non a caso in molte cost europee di ultima generazione sono state
introdotte precise garanzie in ordine alla tutela degli individui rispetto
all’utilizzazione dei propri dati personali . il processo di costituzionalizzazione del
diritto alla protezione dei dati personali non è rimasto confinato alle singole
esperienze nazionali ma ha avuto riscontri anche sul piano del diritto
sovranazionale pattizio e comunitario. Anzitutto nella convenzione europea dei
diritti dell’uomo, è espressamente previsto il diritto al rispetto della vita privata e
familiare, mentre è assente una specifica disciplina del trattamento dei dati
personali. Ciononostante la giurisprudenza della corte di Strasburgo ha fato
propria una lettura estensiva della formula “ vita privata” di cui all’art 8 ,
affermando in diverse pronunce l’applicabilità delle relative garanzie anche
rispetto all’ipotesi della raccolta e conservazione dei dati personali. Un percorso
in parte analogo è stato compiuto dalla corte di giustizia, essa infatti soprattutto
negli ultimi anni e in particolare con le 3 fondamentali decisioni Google Spain,
Digital Rights e Schrems I, ha riconosciuto al diritto alla protezione dei dati
personali uno statuto rafforzato di diritto fondamentale. Premessa indispensabile
è stato il cambiamento del quadro istituzionale determinato dal trattato di
Lisbona e in particolare l’attribuzione alla carta dei diritti fondamentali dell’ue del
2000 di un’immediata efficacia precettiva e del medesimo valore giuridico dei
trattati. Infatti a seguito di ciò le disposizioni della carta hanno assunto un
indubbio valore normativo e tra esse si è imposto per la sua novità l’art 8 che
garantisce a ciascun individuo il diritto alla protezione dei dati di carattere
personale che lo riguardano, prefissando modalità e limiti del trattamento e
prevedendo l’istituzione di un’autorità indipendente preposta al controllo.
Pertanto la giurisprudenza della corte di giustizia, chiamata a confrontarsi con
una serie di questioni poste dall’impatto della rete internet, ha ribadito il rango
primario del diritto alla protezione dei dati traendone una serie di implicazioni
significative sia sul piano della circolazione transfrontaliera dei dati, sia su quello
del bilanciamento con i legittimi interessi alla sicurezza nazionale e alla libertà
d’impresa.
In Google Spain ( corte di giustizia UE 13 maggio 2014 causa c 131/ 12), la corte
ha non solo conferito espresso riconoscimento al diritto alla deindicizzazione dai
motori di ricerca o meglio al cd diritto all’oblio ma ha anche proposto una lettura
estensiva della clausola di giurisdizione iscritta nell’art 4 della direttiva del 95 n
46. In tal modo il perimetro di operatività della disciplina europea in materia di
protezione dei dati personali risulta notevolmente ampliato.
Con la decisione Digital Rights ( CGUE 2014 cause riunite C 293/12 e C 594 /
2012), l’intervento della corte di sofferma sul conflitto tra privacy e sicurezza.
Investita della questione sulla validità della direttiva 2006/ 24, la corte rileva che
l’obbligo di conservazione dei dati di traffico per un periodo compreso tra 6 mesi
e 2 anni integra un’ingerenza illecita nella sfera di riservatezza tutelata dagli artt
7 e 8 della carta dei diritti. In particolare la corte osserva che pur non essendo
violato il contenuto essenziale dei suddetti diritti ex art 52 par 1 della carta, la
normativa comunitaria comporta un sacrificio sproporzionato dei diritti alla
riservatezza e alla tutela dei dati personali sotto 3 profili: il carattere generale e
indifferente del programma di conservazione dei dati e quindi l’assenza di limiti
nella fase della raccolta, la durata irragionevole del periodo di conservazione,
l’assenza di idonee garanzia in punto di accesso da parte dei terzi e utilizzo dei
dati. In pratica la corte rigetta le tecniche di blanket data retention perché idonee
a determinare nei cittadini la sensazione che la loro vita privata sia oggetto di
costante sorveglianza e quindi incompatibili con i valori di dignità e
autodeterminazione informativa accolti dall’ordinamento europeo. Dunque la
corte per la prima volta sancisce l’invalidità totale di una direttiva del parlamento
e del consiglio per contrasto con la carta dei diritti.
La terza decisione citata, Schrems I ( CGUE, 2015 causa c 362/2014), trae le
conseguenze dalle premesse fissate nella pronuncia digital rights. La corte in tale
occasione si spinge a sindacare nel merito la validità della decisione 2000/520
della commissione, nota come accordo safe harbour. La corte non si sofferma
tanto sul contenuto intrinseco dei principi contenuti in tale accordo, quanto sul
quadro istituzionale dell’ordinamento con cui tale principi sono destinati a
interagire. L’anello critico del sistema è la clausola con cui si stabilisce che
l’applicabilità dei principi in esame può essere limitata se e in quanto necessario
per soddisfare esigenze di sicurezza nazionale, interesse pubblico o
amministrazione della giustizia (degli stati uniti). Il problema è che come ha
osservato la corte, questa clausola rende possibili ingerenze nei diritti
fondamentali dei cittadini europei, in ragione della sicurezza nazionale. Tramite
essa infatti le autorità USA hanno potuto acquisire in modo legittimo una massa
enorme di dati personali relativi a cittadini europei , trasferiti dai providers di
telecomunicazione in osservanza dei principi safe harbour. Per la corte è
incompatibile con i precetti di cui agli artt 7 e 8 della carta dei diritti una
normativa come quella statunitense che autorizza in maniera generale la
conservazione di tutti i dati personali di tutte le persone i cui dati sono stati
trasferiti dall’unione verso gli stati uniti senza alcuna distinzione, limitazione o
eccezione a seconda dell’obiettivo perseguito e senza che sia previsto alcun
criterio oggettivo per delimitare l’accesso delle autorità pubbliche ai dati e il loro
uso ulteriore a fini precisi e idonei a giustificare l’ingerenza che sia l’accesso sia
l’utilizzazione di tali dati comporta. Nel caso di specie tali ingerenze andavano
oltre lo stretto necessario ai fini della protezione di obiettivi di interesse pubblico
ledendo dunque il principio di proporzionalità e intaccando il contenuto
essenziale del diritto al rispetto della vita privata. Risulta leso anche il contenuto
essenziale del diritto a una tutela giurisdizionale effettiva. Da qui la declaratoria
di invalidità della decisione 2000/ 520 perchè idoneo a legittimare anche se in via
mediata la compressione dei diritti fondamentali dei cittadini europei da parte
delle autorità estere.
Da queste sentenze emerge chiaramente come il diritto alla protezione dei dati,
inteso come diritto di mantenere il controllo sulla circolazione delle proprie
informazioni e di determinare liberamente le modalità di costruzione della
propria sfera privata, può pertanto essere annoverato tra i diritti fondamentali
riconosciuti ai cittadini dell’unione. L’art 1 del re 2016 / 679 stabilisce come
regola , il potere di ciascun interessato di determinare liberamente le modalità e i
limiti del trattamento dei dati personali che lo riguardano mentre impone come
eccezione, la restrizione di tale facoltà che è legittima solo se si fonda su
un’idonea base giustificativa. Inoltre anche in virtù di quanto chiarito dall’art 8
della carta dei diritti ue ogni limitazione di tale diritto deve rispettare i canoni
della ragionevolezza e proporzionalità e non può intaccarne il contenuto
essenziale. Conclusione perfettamente in linea con l’art 52 carta di nizza e art 5
lett c del regolamento. Quest’ultimo prevede che i dati personali oggetto di
trattamento devono essere adeguati, pertinenti e limitati a quanto necessario
rispetto alle finalità per le quali sono trattai. La regola di cui all’art 5 sembra
allora essere la concretizzazione di n principio più generale in forza del la quale la
limitazione del diritto alla protezione dei dati personali per non incorrere nella
declaratoria di illiceità, deve rispondere a canoni di ragionevolezza e non
eccessività e deve parafrasando l’art 8 cedu risultare necessaria in una società
democratica.
Identità personale e identità digitale:
identità personale è una formula che nei discorsi del giurista assume più valenze
semantiche. Secondo l’accezione più recente essa indica oltre agli strumenti di
identificazione dell’individuo anche la sintesi ideale della sua biografia. L’identità
personale allora può essere configurata come bene valore costituto dalla
proiezione sociale della personalità dell’individuo, cui si correla un interesse del
soggetto ad essere rappresentato, nella vita di relazione con la sua vera identità e
non vedere travisato il proprio patrimonio intellettuale, ideologico, etico,
religioso e professionale. Anche dell’espressione identità digitale possono fornirsi
diverse accezione. Tale espressione può usarsi come sinonimo di identità in rete
o virtuale. A tal riguardo possiamo citare la Dichiarazione dei diritti in internet del
2015 che prevede che ogni persona ha diritto alla rappresentazione integrale e
aggiornata delle proprie identità in rete. In un’accezione più ristretta invece
l’espressione identità digitale è impiegati dagli esperti di informatica e dai cultori
del diritto dell’informatica per designare l’insieme delle info e delle risorse
concesse da un sistema informatico ad un particolare utilizzatore del suddetto.
Tali info sono di norma protette da un sistema di autenticazione. È chiaro
dunque come qualsiasi discorso sull’identità digitale dovrebbe toccare
necessariamente entrambi questi aspetti, quello della tutela dell’identità
personale in rete e quello delle tecniche di identificazione del soggetto a mezzo
di strumenti informatici. Si tratta di sue aspetti logicamente distinti ma anche
connessi per il fatto che la capacità di assumere diverse identità in rete è
condizionata alla possibilità di mantenere una qualche forma di anonimato e
dunque di non essere identificati per la propria identità reale.
Il problema dell’identificazione del soggetto si è sempre posto all’attenzione dei
sistemi giuridici moderni in una prospettiva di carattere prevalentemente
pubblicistico. Infatti il compito di garante istituzionale dell’identità individuale è
stato assunto in via pressochè esclusiva anche se in forme diverse dallo stato.
Sicuramente il bene che tradizionalmente di voleva proteggere era quello della
individualità. Basti pensare che il modello di tutela civile della persona del BGB e
del codice civile italiano si ispirava proprio alla protezione dell’identità personale
prevalentemente con il controllo sui segni distintivi del soggetto. L’intero
impianto era spiccatamente individualistico sia per il modello di tutela sia perché
la protezione della sfera privata era rimessa all’iniziativa dei singoli e non
prevedeva un intervento attivo dei poteri pubblici volto a prevenire situazioni di
pericolo o a rimuovere ostacoli al libero dispiegamento della personalità. Solo a
partire dagli anni 70 vi sarà un’evoluzione in materia. In particolare l’attenzione
inizia a spostarsi sulla dimensione sociale della personalità e sul suo inserimento
in un tessuto di relazioni e poteri rispetto ai quali il diritto non può rimanere
indifferente, ma deve esercitare una funzione di controllo e un’azione di
riequilibrio. Si definisce cos’ un secondo modello in cui l’identità personale quale
diritto a non vedere travisato il proprio patrimonio di idee e la propria esperienza
di vita, si affianca alla tutela dei segni distintivi e inizia ad arricchirne il contenuto.
Si supera cos’ l’impostazione prettamente dominicale e si accentua la valenza
relazionale del controllo sulla definizione della propria identità.
L’assetto generale del sistema di tutela civile della persona muta profondamente
con l’introduzione in Italia della prima normativa in materia di dati personali, la
legge n 675 del 1996. Grazie alla quale il diritto all’identità assume un’ulteriore
connotazione in quanto implica non più solo la corretta rappresentazione in
ciascun contesto ma presuppone una rappresentazione integrale della persona e
rappresentazione non affidata solo agli strumenti automatizzati. Cambia anche il
modo di approcciare al problema della costruzione dell’identità personale. Se in
precedenza si poteva parlare di una lettura essenzialistica ora siamo in presenza
di un’impostazione di tipo procedualistico che preclude ad una visione
contingente e fluida dell’identità. Essa non è più vista come un dato preesistente,
ma come processo costantemente in atto, aperto ad una pluralità di esiti e
esposto all’interferenza delle varie forme del potere sociale. L’ordinamento
dunque non può più limitarsi ad una posizione di astensione e non interferenza
come sostenuto invece dalla lettura liberale classica dei diritti fondamentali, ma
esercita un ruolo attivo di supervisione e controllo.
Diritto all’oblio e dintorni:
sono molto note e rilevanti le applicazioni compiute dalla giuri ordinaria e dal
garante per la protezione dei dati personali, in materia di cd diritto all’oblio.
Secondo quanto disposto dalla corte di cassazione nel 2012, “ posta la necessaria
rispondenza del trattamento dei dati personali ai criteri di proporzionalità,
necessità, pertinenza e non eccedenza allo scopo, spetta all’interessato al
trattamento il diritto di conoscere in ogni momento chi possiede i dati e le
relative modalità di utilizzo con la possibilità di opporsi al trattamento degli
stesso o di chiederne la cancellazione, la trasformazione, il blocco, la rettifica,
l’aggiornamento o l’integrazione”. Tale impostazione ovviamente ha avuto uno
sviluppo anche in ordine al problema della tutela dell’identità personale in
internet. Numerose controversie infatti sono sorte per effetto della illimitata
reperibilità in rete di notizie e dati inesatti, parziali ed obsoleti relativi a persone
fisiche o giuridiche. Basti rinviare alla celebre discussione della corte di giustizia
ue nella controversia Google Spain in materia di diritto alla de indicizzazione dei
risultati da motori di ricerca. Vicenda a cui si è direttamente ispirato il legislatore
europeo nel dettare la disposizione dell’art 17 del reg 2016 n 679, rubricato
appunto diritto alla cancellazione.
Il rapporto tra identità e anonimato investe un elevato numero di questioni, qui è
opportuno soffermarsi sull’anonimato nel contesto dei rapporti online. Il primo
interrogativo che ci si pone è se sia lecito il ricorso all’anonimato nelle
comunicazioni online. La questione è tutt’altro che pacifica. Tendenzialmente
sembra prevalere il modello imperniato sul riconoscimento di principio della
liceità dell’anonimato online. Si ritiene infatti che esso da un lato consentirebbe
la libera manifestazione del pensiero e la libera esplicazione della personalità di
ciascun individuo, ponendolo al riparo dai rischi di intimidazione propri del
mondo reale, dall’altro realizzerebbe il sogno dell’identità post moderna,
consentendo a ciascuno di sfuggire alle gabbie della propria biografia,
costruendo un’identità fluida, plasmata su un io desiderato e libero da tutti i
vincoli e le convenzioni sociali circa il modo di apparire. Inoltre non sarebbe
un’esigenza destinata solo al singolo ma anche ai gruppi, consentendo alle
minoranze di esprimersi.
Tuttavia anche all’interno degli ordinamenti che stabiliscono in linea di principio
la liceità del ricorso a tecniche di anonimato vi possono essere regole di dettaglio
che derogano a tale scelta in casi particolari oppure può avvenire che la norma
venga svuotata della propria effettività per via di norme sociali o prassi
contrattuali con essa contrastanti. Tale ipotesi è sempre più frequente nel
mondo del web 2.0 e dei social networks. Infatti numerosi provider subordinano
l’utilizzazione del servizio all’accesso mediante le credenziali fornite da uno dei
principali social networks che si basano su sistemi di identificazione nominativa.
Ovviamente l’interesse sotteso è quello di disporre di un’ampia riserva di dati
personali da impiegare per scopi di profilazione e servizi di direct marketing. Non
possiamo dimenticare, nella riflessione sull’anonimato come divieto, il caso della
Corea del sud che a partire dal 2003 ha iniziato ad applicare una politica di
restrizione di commenti e messaggi anonimi, la quale prima era limitata ai siti con
connotazioni politiche, nel 2007 però si è stesa a tutti i siti web al di sopra di un
certo bacino di utenza. Questo principalmente per tacitare il dissenso. L’identità
di chi espone una critica infatti è in questo modo sempre tracciabile attraverso il
riferimento ai dati dell’account e ciò produce inevitabilmente un effetto
dissuasivo rispetto alle varie forme di critica politica e sociale.
Comunque tornando al discorso inziale, il principio della liceità dell’anonimato,
laddove applicato, pone il problema di chi sia responsabile per gli atti lesivi di
situazioni giuridiche altrui cagionati in forma anonima. Infatti l’altra implicazione
della maggiore libertà concessa dall’anonimato è una riduzione delle barriere
preordinate a prevenire la commissione di illeciti. Infatti esso può essere usato
anche come strumento di diffamazione, incitazione all’odio ideologico o razziale,
discriminazione sessuale ecc. quindi lo stesso effetto emancipatore
dell’anonimato rischia di tradursi, se non ben gestito, nel suo opposto. Dunque
tra i soggetti chiamati a rispondere per illeciti in forma anonima anzitutto si può
pensare al provider, essendo l’unico soggetto identificabile facilmente dalla
vittima di un messaggio lesivo. Però si tratta di una situazione non sempre facile
perché confligge con una politica legislativa che nell’intento di stimolare lo
sviluppo della rete, ha cristallizzato ampie sfere di immunità a beneficio degli
internet providers. Come nel modello americano anche in quello europeo, dove
la disciplina della resp del provider è contenuta nella direttiva 2000 / 31 / CE, si
afferma l’esclusione di un obbligo generale di sorveglianza e si esonera da resp il
fornitore della società dell’informazione che non sia a conoscenza dell’illiceità dei
contenuti immessi in rete da terzi e che se informato agisca prontamente
rimuovendo l’info lesiva. Una soluzione di tendenza opposta si è invece attuata
nel caso Delfi contro Estonia , una pronuncia della corte europea dei diritti
dell’uomo ( corte edu) del 2015, che ha rigettato il ricorso proposto da un grande
portale di informazione a seguito della condanna al risarcimento dei danni non
patrimoniali subiti da terzi per messaggi diffamatori anonimi ospitati sul sito del
provider. La corte ragionò proponendo l’idea di un obbligo positivo di protezione
gravante sugli stati e posto a tutela dell’onore e reputazione delle persone, che si
concretizzerebbe o identificando l’autore del messaggio lesivo o imputando al
gestore del sito una rep per danni arrecati dai contenuti anonimi in virtù del
criterio del cuius commoda eius est incommoda.
Sta di fatto comunque che il regime di irresponsabilità del provider adottato dal
legislatore comunitario fa sì che il più delle volte l’unica via percorribile sia
l’azione diretta nei confronti dell’autore del messaggio stesso. Non si tratta però
di una soluzione priva di difficoltà poiché il superamento del velo dell’anonimato
e l’imputazione della responsabilità in capo ad un soggetto ben determinato
solleva non pochi problemi di natura tecnica ancora prima che giuridica. Infatti
anche assumendo la collaborazione volontaria del provider nell’esibizione dei
dati identificativi della fonte del messaggio lesivo, non è detto che ciò permetta
l’individuazione della persona fisica responsabile , poiché il messaggio potrebbe
essere stato immesso da una postazione pubblica oppure utilizzando appositi
software o siti di anonimizzazione, oppure perché i dati anagrafici comunicati
dall’utente al provider potrebbero rivelarsi falsi. Ma anche prescindendo da
questi problemi tecnici, vi sono comunque diversi ostacoli giuridici che si
frappongono al superamento del velo dell’anonimato. In particolare i problemi
principali riguardano il conflitto tra accesso alla giustizia da un lato e salvaguardia
dell’anonimato dall’altro, come evidenziato del resto anche dall’esperienza
nordamericana dove il tema dell’anonymous litigation ha sollecitato un’ampia
riflessione. Con il Code of civil procedure di New York del 1848 infatti ( realizzato
da David Field) si è inserito in un testo legislativo, lo schema di utilizzare finzioni
giuridiche aventi come protagonisti personaggi immaginari per proporre
un’azione civile nei confronti di un convenuto il cui patronimico fosse ignoto
all’attore. Con l’avvento di internet poi, i casi di anonymous litigation sono
aumentati in misura esponenziale. Nell’ipotesi di un illecito perpetrato in forma
anonima, allora, l’attore non ha altra soluzione se non proporre l’azione nei
confronti di un convenuto ignoto, affidandosi ai rimedi processuali ordinari per
l’identificazione in corso di causa. Tecnicamente ciò si realizza con lo strumento,
disciplinato dalle Federal Rules of civil procedure, del writ of subpoena, che
consiste nell’intimazione rivolta a una non party witness di prestare
testimonianza o produrre uno o più documenti rilevanti per la lite. Nel caso di
illeciti commessi online dunque in genere di ingiunge prima all’online service
provider, tipo Twitter o google, di comunicare all’attore l’IP dinamico
dell’offensore, per poi rivolgersi all’access provider per ottenere i dati anagrafici
dell’intestatario della connessione corrispondente al suddetto indirizzo IP.
A tale procedimento del subpoena però generalmente si oppone il primo
emendamento poiché si ritiene che le garanzie da esso disposte di estendano
anche alla sfera dei rapporti telematici, proteggendo dunque l’anonimato. Infatti
le corte statunitensi hanno sempre più irrigidito i loro parametri di giudizio,
attribuendo una protezione più intensa all’interesse all’anonimato e quindi alla
logica del primo emendamento. Vediamo dunque come il modello di disciplina
adottato nel sistema statunitense implica, una tutela rafforzata dell’interesse
all’anonimato, il quale viene sottoposto a bilanciamento con l’interesse alla
tutela dei diritti solo nella fase eventuale del contenzioso e sotto lo stretto
controllo dell’autorità giudiziaria. Altro dato rilevabile è come nel conflitto con
l’interesse all’anonimato le posizioni proprietarie abbiano generalmente la
meglio rispetto alle situazioni della persona. Ci sono quindi sicuramente dei
punti in comune tra il modello americano e quello europeo, posto che nei sistemi
continentali non è possibile agire contro un convenuto ignoto, notiamo però
come comune sia l’assenza di una proibizione generale del ricorso all’anonimato
o a pseudonimi nelle comunicazioni in rete, non dissimile è il regime di
limitazione della responsabilità del provider, analoga è la scelta di traslare il
bilanciamento tra garanzia dell’anonimato e tutela dei diritti, nella fase
processuale del contenzioso. E soprattutto si ripropone anche qui lo squilibrio tra
la tutela delle posizioni proprietarie e quella relativa ai diritti della personalità.
Basti pensare al fatto che è stata approvata la direttiva n 48 del 2004 CE
mediante la quale gli stati membri si sono dotati di un sistema processuale di
tutela della proprietà intellettuale particolarmente incisivo e penetrante. Esso
annovera al suo interno anche misure istruttorie e soprattutto lo strumento
dell’ordine di esibizione e della richiesta di informazioni su fatti rilevanti per il
processo, il quale rende utili servigi anche nel campo degli illeciti commessi in
forma anonima, strumento che nel nostro ordinamento è codificato dalla legge n
633 del 1941. Per contro nel campo della tutela dei diritti della personalità non
sono previsti specifici ordini di disclosure assimilabili a quelli operanti nel campo
della proprietà intellettuale. Infatti è vero che l’art 15 del reg 2016/ 679
contempla il diritto d’accesso ma esso è circoscritto unicamente ai rapporti tra
l’interessato e il titolare del trattamento. Questa discrasia sembra riflettersi
anche sul piano del diritto giurisprudenziale. Infatti nel campo della proprietà
intellettuale si più o meno accolto l’assunto per cui la vittima di un illecito può
ottenere dal provider l’ostensione del registro dei dati di traffico e degli altri dati
identificativi del responsabile di una violazione. Invece il fatto che nel campo dei
diritti della personalità non vi siano strumenti normativi così incisivi come quelli
previsti a tutela delle posizioni proprietarie, sembra indurre le corti ad un
atteggiamento molto più remissivo e rispettoso dell’interesse all’anonimato, a
discapito delle esigenze di tutela di altri diritti che possono essere lesi.
Algoritmi:
altro discorso che merita sicuramente considerazione riguarda gli algoritmi che
generalmente veno usati sia nel settore pubblico che privato per finalità di
previsione e / o decisione. Il processo decisionale algoritmico può essere
interamente automatizzato, oppure può essere parziale, rimettendo all’individuo
il resto della valutazione / decisione. Ora il problema è che il ricorso agli algoritmi
come strumenti di decisione, se per molti versi utile, d’altro canto suscita anche
molteplici interrogativi di ordine giuridico, che toccano aspetti cruciali del
sistema di tutela della persona nella società digitale. Gli algoritmi si basano sulla
disponibilità di una massa enorme di dati, su cui si focalizzano le tecniche di data
analytics e che quindi rappresenta il presupposto essenziale per il funzionamento
dei moderni algoritmi di apprendimento automatico. Dalle situazioni esistenti in
un certo momento, le macchine ricavano dei trend utili ad orientare la
valutazione di situazioni future, dunque è come se si codificasse il passato e si
prospettassero predizioni e soluzioni sulla base delle griglie fornite dai trascorsi
storici e dai valori che hanno guidato la programmazione del sistema. Ossia un
determinato stato del mondo tende a essere cristallizzato nel processo
prognostico influenzandone i risultati. Uno dei pericoli maggiori è allora che le
condizioni di disparità sociale esistenti in un dato momento storico si riflettano
sul giudizio prognostico tenendo conto di alcuni fattori, se non adeguatamente
monitorate, tali decisioni algoritmiche sono atte a produrre effetti discriminatori
e aggravare il peso delle disuguaglianze, invece che contribuire a ridurle. Ad
esempio pensiamo all’uso di quell’algoritmo noto con l’acronimo COMPAS ossia
Correctional offender management profiling for alternative sanctions, atto a
qualificare il rischio di recidiva di soggetti sottoposti a procedimento penale. Esso
è stato creato da una società commerciale e usato in molte giurisdizioni
statunitensi per calcolare la probabilità di commissione di altri reati nell’arco dei
due anni successivi e quindi per decidere il tipo di pena da irrogare e le modalità
di esecuzione della stessa. Il problema è che diversi studi hanno mostrato nel
funzionamento di questo algoritmo la presenza di un pregiudizio sistematico a
discapito delle persone di colore. Infatti i punteggi elaborati da esso sono almeno
in parte la risultante delle risposte date ad un questionario comporto da 137
domande e desunte dalle dichiarazioni delle parti o da altri dati pubblici. L’origine
etnica per legge non potrebbe rientrare tra i criteri di indagine ma rileva
indirettamente perché vengono presi in esame fattori spesso correlati
all’appartenenza razziale come il luogo di residenza, i precedenti penali, il
consumo di stupefacenti, il livello di istruzione ecc, capiamo quindi quanto
potente possa essere l’effetto di condizionamento. Tale esempio mostra come
orientare i comportamenti futuri esclusivamente sulla base delle condizioni
esistenti rischi di cristallizzare le disparità del presente, spingendo i più
svantaggiati sempre più in basso nella piramide sociale.
Dunque sicuramente gli algoritmi possono apportare notevoli benefici
aumentando la razionalità, rapidità ed efficienza dei processi decisionali , tuttavia
affinchè tali benefici si traducano in effettiva prassi operativa e non siano oberati
dagli effetti distorsivi, bisogna pre -formare le modalità di funzionamento degli
stessi in modo da ridurre al minimo e possibilmente eliminare i rischi di impatto
negativo sui diritti civili, sociali e politici delle persone. Non bisogna dunque mai
dimenticare i rischi specifici della decisione algoritmica, ossia la segretezza o
inintelligibilità della logica sottesa al processo decisionale, l’attitudine
discriminatoria dell’algoritmo e la mortificazione della persona umana resa
oggetto di decisioni interamente automatizzate.
Dunque non può prescindersi dal ruolo del diritto in senso formale, quale
strumento di mediazione tra le varie istanze sociali emergenti e soprattutto quale
tecnica di controllo democratico dei nuovi poteri tecnologici. In particolare è
nello spazio giuridico europeo che hanno trovato emersione i primi e più
compiuti esempi di governo giuridico della decisione algoritmica. In particolare a
titolo esemplificativo rilevano il diritto dell’unione europea e quello tratto
dall’esperienza francese. In merito al primo, occorre considerare il regolamento
ue 2016 / 679 in materia di protezione dei dati personali, il quale infatti contiene
una disciplina piuttosto avanzata delle salvaguardie da adottare in caso di
decisione automatizzata che coinvolga dati personali, la quale si colloca in un
rapporto di immediata continuità con la previgente direttiva n 46 del 95 CE. Al
tema in oggetto sono dedicati il considerando n 71 e due artt il 15 e il 22.
L’art 15 configura una prima fondamentale garanzia di fronte a un processo
decisionale automatizzato, ossia il diritto di sapere. Infatti la norma stabilisce il
diritto di ottenere informazioni circa la logica utilizzata, nonché l’importanza e le
conseguenza previste di tale trattamento per l’interessato. Invece l’art 22 fissa un
limite sostanziale all’uso del trattamento algoritmico , stabilendo che
l’interessato ha il diritto di non essere sottoposto a una decisione basata
unicamente sul trattamento automatizzato, compresa la profilazione, che
produca effetti giuridici che lo riguardano o che incida in mood analogo
significativamente sulla sua persona. Si tratta dunque di un divieto, dettato
anzitutto per l’esigenza di proteggere la dignità umana evitando che la persona
sia resa oggetto passivo di decisione assunte in forma de-umanizzata, e poi serve
ad assicurare la trasparenza e controllabilità della decisione stessa. Esistono però
delle eccezioni, infatti tale divieto non opera se la decisione è necessaria per la
conclusione o esecuzione di un contratto tra il titolare del trattamento e
l’interessato, poi se autorizzata dal diritto dell’unione o dello stato membro cui è
soggetto il titolare del trattamento, e poi se si basa sul consenso esplicito
dell’interessato. Però in questi casi il regolamento obbliga il titolare del
trattamento ad attuare misure appropriate per tutelare i diritti, le libertà e i
legittimi interessi dell’interessato. Tra queste assumono particolare rilievo il
diritto di ottenere l’intervento umano da parte del titolare, di esprimere la
propria opinione e di contestare la decisione. Inoltre vi è il limite invalicabile per
cui le decisioni algoritmiche autorizzate non possono avvalersi dei dati particolari
di cui all’art 9 ossia i dati sulla salute, sull’orientamento sessuale, sulle
appartenenze etniche ecc, a meno che non sussistano alcune scriminanti e che
non siano state adottate misure adeguate. Inoltre il diritto dell’ue o degli stati
membri potrebbe limitare il diritto a non essere oggetto di decisioni
automatizzate nei casi e alle condizioni previste dall’art 23 del regolamento e
dunque essenzialmente in presenza di un trattamento per finalità di interesse
pubblico e nel rispetto dei principi di legalità e proporzionalità. Si discute tuttavia
se il diritto ad ottenere informazioni di cui all’art 15 si appunti sulle generali
caratteristiche del modello e la logica utilizzata dal software o se attenga invece
al rapporto tra tale logica e i risultati per la sfera del singolo individuo della
decisione adottata, cioè è un modello di controllo generale oppure è un canone
conoscitivo volta a comprendere il modo in cui la decisione è stata presa in
relazione alla SPECIFICA situazione soggettiva e fattuale dell’interessato? In tale
secondo senso si pongono però due problemi. Il 1° consiste nel fatto che
l’applicabilità della disciplina è subordinata alla circostanza che siano usati dati
personali per le decisioni e quindi i dati non personali o quelli in forma anonima
ne sono esclusi. Il 2° è rappresentato dal considerando n 63 che fa
espressamente salve le prerogative della proprietà intellettuale. Ciò significa che
se l’algoritmo sottende un software protetto dal diritto d’autore o sono coinvolti
segreti commerciali, la richiesta di accesso potrebbe infrangersi di fronte ai diritti
dominicali esercitati in materia di diritti di proprietà intellettuali.
In merito invece all’art 22 le difficoltà derivano dal fatto che il diritto in oggetto è
limitato all’ipotesi in cui il processo decisionale sia integralmente basato sul
trattamento automatizzato il che però avviene in un numero limitato di casi. E
poi dalla ristrettezza della nozione di decisione che esclude dall’ambito
applicativo della norma tutte le fattispecie di microtargeting. Ulteriore difficoltà
discende dal requisito dell’effetto giuridico come conseguenza di una decisione
automatizzata. Il problema in esame è che anche se una certa decisione
automatizzata non produce un vero e proprio effetto giuridico, richiesto dalla
norma, per il singolo individuo, potrebbe comunque condizionare in modo
significativo comportamenti tenuti nei confronti di un certo gruppo o classe di
soggetti. Questo è proprio uno dei primi limiti intrinseci contenuti nel reg, 2016
che presenta questa prevalente logica individualistica. Non è detto però che
l’assenza di lesione individualmente rilevante ai sensi della normativa, privi la
fattispecie dei caratteri del disvalore, poiché ad es il suddetto trattamento
potrebbe produrre effetti pregiudizievoli o discriminatori per lo specifico gruppo
a cui la persona appartiene. Da qui la considerazione che anche gli strumenti di
tutela che esplicano un controllo esterno sulle decisioni algoritmiche, dovrebbero
essere improntati ad una logica di azione collettiva piuttosto che individuale.
Inoltre andrebbe incoraggiato il ricorso a tecniche di controllo ex ante che
contribuiscano ad orientare le modalità di impiego dell’algoritmo. Infine si
consideri il considerando n 71 del regolamento sui dati personali che al 2 comma
impone al fine di garantire un trattamento corretto nel rispetto dell’interessato,
al titolare del trattamento di usare procedure matematiche o statistiche
adeguate per la profilazione, misure tecniche appropriate per minimizzare il
rischio di inesattezza dei dati o di errore e di operare secondo una modalità che
impedisca tra le altre cose effetti discriminatori verso le persone fisiche sulla base
della razza o origini etiche, delle opinioni politiche, della religione o delle
convinzioni personali, dello status genetico, di salute, dell’orientamento sessuale
o che comportino misure aventi tali effetti.
La disciplina francese e l’esperienza italiana:
le regole che abbiamo visto del reg 2016/679 hanno il vantaggio di guardare in
mood trasversale al fenomeno del trattamento automatizzato dei dati personali,
per fissare garanzie minime per i diritti della persona, che siano applicabili sia ai
trattamenti nel settore pubblico che in quello privato. Tuttavia il ricorso
all’algoritmo nel settore pubblico e soprattutto con riguardo alle procedure di
emanazione dei provvedimenti amministrativi, ha delle particolarità che
richiedono una disciplina più specifica e puntuale rispetto a quella del settore
privato. E infatti in alcuni ordinamenti europei come quello francese, il
recepimento del regolamento ha comportato poi l’introduzione di apposite
regole sui provvedimenti amministrativi algoritmici. La legge francese di
riferimento è la n 2018- 493 che ha modificato l’art 10 della precedente legge del
78. Seguono poi la loi 311-3-1 e un successivo decreto attuativo approvato nel
2017. I principi contenuti in tali norme prefissano una serie di garanzie
procedurali e sostanziali ( tipo il divieto di usare dati sensibili nel trattamento
algoritmico) che elevano la tutela della persona rispetto alle decisioni
automatizzate, e però essi ammettono anche la validità di un provvedimento
amministrativo che incida sulla situazione soggettiva del singolo, assunto sulla
base di un trattamento automatizzato di dati.
Anche nel nostro ordinamento si era posto il problema a seguito di una
valutazione giudiziaria del TAR Lazio che aveva annullato i provvedimenti del
ministero dell’istruzione sulle procedure di modalità straordinaria di docenti
delle scuole pubbliche, perché erano stati assunti non con ordinaria istruttoria
procedimentale ma con valutazione algoritmica. In tal modo si era leso non solo il
canone di trasparenza e partecipazione procedimentale, ma anche l’obbligo fi
motivazione delle decisioni amministrative. Questo non vuol dire che l’utilizzo
degli algoritmi nell’ambito dell’azione amministrativa debba rimanere confinato
a ipotesi marginali, ossia sono da escludere quegli algoritmi di apprendimento
automatico il cui funzionamento sfugga alla comprensione del responsabile del
procedimento , ma non tutti gli algoritmi che possano semplificare e rendere più
precisa e neutrale l’azione amministrativa.
Occorre dunque sempre informarsi ad un adeguato bilanciamento tra la
funzionalità tecnologica e la desiderabilità sociale degli scopo perseguiti, rispetto
alla quale fondamentale è il ruolo della mediazione giuridica. Infatti non può
ignorarsi il pericolo che questi nuovi modelli algoritmici creino le condizioni per
un nuovo medioevo digitale, ossia il rischio di una società divisa in caste, ove lo
status deriva da algoritmi e dai valori che li generano. Per questo necessario è
stabilire quale tecnica di intervento sia più adeguata al controllo dei trattamenti
algoritmici. La strada migliore appare quella dell’intervento a geometria variabile,
composto da forme più soft di incentivazione all’adozione di tecnologie e prassi
organizzative human rights compliant e strumenti più incisivi con funzione
prettamente regolamentare, come risulta dalle regole applicate in ambito
europeo che si ispirano a tale logica, che impongono dei requisiti di qualità e
quantità dei dati, escludono dati sensibili afferenti alla privacy del soggetto,
danno grande peso al principio della trasparenza che implica ad es il diritto di
essere informato ex ante circa l’esistenza di un trattamento automatizzato e poi
si sta affermando un principio di massima per cui l’individuo non deve essere
sottoposto a una decisione integralmente automatizzata se essa incide in mood
significativo sulla sua sfera giuridica. Tutti questi rimedi dovrebbero poi essere
potenziati ad es rafforzando il quadro dei rimedi di natura collettiva e non solo
individuale.
La persona elettronica e la morta digitale:
il tema della successione digitale, ossia del destino della propria identità digitale
o della propria persona elettronica dopo la morte, assume una particolare
importanza soprattutto in ragione delle molteplici modalità di utilizzo post
mortem dei dati personali condivisi in internet. Bisogna considerare infatti che
una porzione molto rilevante della ricchezza nelle economie contemporanee è
oggi costituita dai beni immateriali, infatti le odierne tecnologie dell’informazione
e comunicazione fanno sì che una massa enorme di dati personali persista oltre
la vita del soggetto, tendenzialmente per un periodo illimitato di tempo e dunque
da parte degli utenti della rete si fa sempre più insistente la pretesa al controllo
di tali informazioni nella fase post mortale. Inoltre questi dati vengono conservati
e trattati da intermediari professionali sicchè non solo esulano dalla disponibilità
materiale di eredi e congiunti ma sono anche oggetto di una riserva contrattuale
da parte del professionista. Tale riserva che stabilisce spesso l’intrasmissibilità
mortis causa delle situazioni giuridiche in discorso, si trova molte volte a
confliggere con i principi fondamentali del diritto delle persone e della
successione e da qui il proliferare di controversie.
L’economia politica della morte, nell’era dell’informazione, si caratterizza per lo
sviluppo di una serie di servizi economicamente lucrativi, rendendo qualsiasi
individuo come fonte di un flusso di dati particolarmente appetibile per il
mercato. Per tali ragioni il tema della morte digitale si è di recente imposto
all’attenzione del giurista, ma più difficoltoso è individuare dei principi e soluzioni
condivisi. Innanzitutto per l’elevata eterogeneità dei beni e delle situazioni
giuridiche coinvolte, infatti la nozione di eredità digitale è molto ampia e non è
facile individuarne i confini. Si è suggerito comunque di distinguere due
principali classi di beni in funzione della connotazione prevalentemente
patrimoniale o personale delle situazioni. Tuttavia a livello pratico la dimensione
personale e quella patrimoniale delle informazioni sono spesso inscindibilmente
correlate. Altra fonte di non pochi problemi è l’attrito tra la logica regolativa che
è sottesa al funzionamento delle maggiori piattaforme digitali che risponde a
esigenze di business e il diritto. Inoltre la maggior parte di queste piattaforme ha
sede o origine negli stati uniti, rispecchiando dunque la cultura gestionale e la
conformazione istituzionale di questo ordinamento. E da ciò derivano dei
conflitti non solo perché le condizioni generali di contratto contengono spesso
clausole incompatibili con le norme imperative del diritto europeo ma anche
perché la cultura giuridica nordamericana ha delle finalità e dei limiti del sistema
di tutela della persona molto diversi rispetto a quelli europei. Per questo non è
facile rispondere al quesito su chi sia titolare di un potere di controllo su dati
personali e contenuti digitali nella fase post mortale. Esistono tre principali
modelli: il modello successorio, il modello personalistico e il modello
dell’autonomia privata.
1) Modello successorio: muove da una lettura in senso lato proprietaria dei beni
immateriali compresi nel patrimonio del soggetto e si propone di cpaire come
il diritto delle successioni iscritto nei codici possa essere adattato alla realtà
dell’economia digitale. La prima decisione di una corte suprema in Europa sul
tema della morte digitale si rinviene in Germania nel 2018. Il caso riguarda la
richiesta di accesso ai contenuti dell’account facebook da parte dei genitori ed
eredi di una ragazza minorenne deceduta in seguito a un tragico incidente
nella metropolitana di Berlino, dovuto probabilmente a suicidio. I genitori
volevano accedere a tali contenuti per comprendere meglio la natura
dell’incidente e precostituirsi alcuni strumenti di prova nell’ipotesi di
un’azione di responsabilità promossa contro di loro da parte del conducente
 del treno che aveva lamentano uno shock nervoso dopo l’accaduto. Tuttavia
l’account era stato trasformato in commemorativo dopo aver appreso della
scomparsa della giovane e pertanto ad avviso di facebook non sarebbe stato
più possibile modificarlo né accedervi. Convenuta in giudizio facebook si
difendeva sostenendo che: l’account non fosse suscettibile di trasmissione
mortis causa in base alle policy aziendali, nonché alle condizioni generali di
contratto alle quali l’utente aveva spontaneamente aderito al momento
dell’attivazione del servizio. In ogni caso facebook non avrebbe potuto
rivelare i contenuti delle comunicazioni, essendo tenuta all’obbligo di non
divulgazione sulla base della legge tedesca sui media telematici, infine la
tutela postuma della personalità del defunto e il dovere di rispetto della
confidenzialità delle info avrebbero impedito la divulgazione a terzi dei dati
conservati nel profilo utente. La richiesta dei genitori accolta in 1 grado venne
però respinta in grado di appello, dove si è attribuito un peso maggiore al
dovere di confidenzialità prescritto dalla disciplina dei media telematici. Con
una pronuncia resa nel luglio 2018, la corte suprema tedesca ha cassato la
pronunzia di appello affermando al contrario il diritto degli eredi ad ottenere
l’accesso all’account della figlia defunta. In primo luogo la decisione della
corte è basata sulle regole in materia di successione mortis causa e non sulla
disciplina dei diritti della personalità o dei dati personali. La suprema corte
tedesca muove dall’assunto per cui i rapporti giuridici relativi a beni
immateriali pertengono al patrimonio del de cuius e sono suscettibili di
successione ereditaria. In particolare dal principio di universalità della
successione, paragrafo 1922 BGB, si fa discendere la conseguenza che un
account di social network al pari di tutte le altre posizioni contrattuali è
suscettibile di devoluzione e acquisto mortis causa. Dunque di esclude che
dati e informazioni di natura personale siano sottratti a successione a riprova
di ciò vengono richiamate le disposizioni del BGB concernenti l’acquisto
dell’eredità ossia il paragrafo 2373 e il 2047 , dalle quali si evince che le carte
e i ricordi di famiglia ricadono nella massa ereditaria, nonostante il loro
carattere eminentemente personale. Di conseguenza i genitori della ragazza
hanno diritto ad ottenere l’accesso al complesso delle comunicazioni
racchiuse nell’account della figlia in quanto successori dei rapporti attivi e
passivi della donna e dunque anche nel contratto atipico di utilizzazione del
social network.
In secondo luogo si osserva come nel campo dei rapporti digitali dove sussiste
una forte asimmetria di potere negoziale tra le piattaforme e gli utenti vi è un
serio rischio che lasciando troppo spazio all’autonomia privata, si realizzi la
 prospettiva di una generale intrasmissibilità contrattuale. Cioè è reale il pericolo
che i fornitori dei servizi online di assicurino tramite la regola contrattuale
condivisa da entrambe le parti, una preziosa miniera di dati e contenuti digitali
liberamente sfruttabili dopo la morte del soggetto. Da qui il rigore osservato dalla
corte nel sindacare la validità delle clausole contrattuali sottoscritte. Infatti serve
la prova che tali clausole siano effettivamente confluite nell’accordo negoziale
accettato dai contraenti. Nel caso di specie la policy sulla memorializzazione
dell’account non era stata esplicitata nelle condizioni generali di contratto, ma
nella help section del sito in oggetto. Inoltre tali clausole non devono
avvantaggiare unilateralmente una parte a svantaggio dell’altra. Nel caso di
specie la policy di memorializzazione aggravava la posizione dell’utente in
maniera sproporzionata, determinando una modifica retroattiva del piano degli
obblighi contrattuali in capo al professionista e precludendo agli eredi l’accesso
all’account neutralizzando dunque il principio di universalità della successione.
Inoltre la policy in questione contrastava con il perseguimento delle finalità del
contratto e implicava la creazione di una sorta di cimitero di dati. In terzo luogo
non è vero che la divulgazione delle comunicazioni personali conservate
nell’account contrastava con l’art 88 della legge tedesca sulle telecomunicazioni,
né con il reg 2016/679. Infatti quanto alla prima, il divieto gravante sul fornitore
di servizi di telecomunicazione di rivelare il contenuto delle comunicazioni a
terze persone non è opponibile agli eredi, non essendo soggetti terzi. Quanto al
secondo la corte ricorda che esso non si applica ai dati di una persona defunta e
poi ricorda che l’art 6 del regolamento stabilisce che il trattamento di dati è
ammesso se necessario all’esecuzione do un rapporto contrattuale di cui sia
parte l’interessato. Assumendo che il contratto di accesso al social network è
stato validamente trasmesso agli eredi, allora l’accesso ai contenuti dell’account
è lecito perché strumentale all’effettivo trasferimento della posizione
contrattuale e all’esecuzione delle obbligazioni gravanti sulla piattaforma. Poi la
corte ricorda che è autorizzato il trattamento di dati personali necessario per il
perseguimento del legittimo interesse del titolare o di terzi. I genitori avevano un
legittimo interesse ad accedere ai contenuti, sia per accertare l’effettiva
sussistenza di un proposito di suicidio della figlia, sia per dotarsi di prove nella
causa di risarcimento danni loro intentata.
2) Il modello personalistico: diverso ma non necessariamente alternativo al
modello successorio è quello personalistico. Si intende tradizionalmente con
questa espressione sia l’approccio strettamente fondato sui diritti della
personalità, sia quello sui dati personali, anche se sulla ratio della tutela dei dati
personali esistono prospettive teoriche differenti. Una delle maggiori difficoltà
che si riscontrano in materia di successione digitale è costituita dal fatto che le
maggiori piattaforme digitali sono regolate in maniera conforme alla cultura
giuridica e ai vincoli istituzionali posti dal sistema statunitense, trovando esse la
loro sede o origine soprattutto negli USA. Un primo aspetto è costituito dal
diverso livello di protezione accordato alla privacy postuma dal modello
statunitense e da quello europeo. Nel diritto USA gode ancora di ampio credito
la tesi per cui actio personalis moritur cum persona, ossia le azioni a tutela della
privacy si estinguono con la morte del soggetto. Dunque eredi e congiunti non
possono trovare nel sistema di tutela civile della privacy un valido appiglio da cui
desumere rimedi inibitori e risarcitori a fini della protezione postuma degli
interessi del de cuius. Né tantomeno ciò è possibile attraverso la disciplina sulla
protezione dei dati personali, infatti il 4° e 14° emendamento della cost federale
sono stati ritenuti non applicabili alla posizione del defunto. Quindi
sostanzialmente nel modello americano si esclude che l’interesse alla privacy sia
meritevole di tutela nella fase post mortale. Invece diverso è l’assunto degli
ordinamenti europei, che muovono dalla tesi della persistenza di interessi
giuridicamente tutelabili in capo ai prossimi congiunti. Vi sono però delle
differenze. Infatti ad es i sistemi di area germanica propendono per una
legittimazione fiduciaria dei congiunti che si spiega per il dovere di rispetto della
dignità del defunto. Invece quelli di matrice francese tra cui anche quello italiano
optano per un meccanismo di acquisto iure proprio di un diritto nuovo, fondato
sul legame familiare con lo scomparso. Quindi mentre nei sistemi di common
law si muove dall’assunto dell’estinzione pressochè completa dei rimedi posti a
tutela della privacy del defunto, per contro i sistemi continentali realizzano tutti
anche se con delle differenze dogmatiche, una proiezione dell’apparato rimediale
oltre il momento della morte. Ciò implica che gli strumenti di protezione della
personalità appaiono astrattamente in grado di assicurare una prima forma di
controllo sull’identità digitale postuma.
In merito invece all’applicazione della disciplina in materia di protezione dei dati
personali, la direttiva 95/ 46 si applicava solo ai dati relativi alle persone fisiche e
non contemplava espressamente la situazione del defunto, perché si riteneva che
l’informazione relativa a persone defunte non avrebbe dovuto considerarsi come
un dato personale. Successivamente il regolamento 2016/ 679 stabilisce che non
è applicabile ai dati personali di un defunto e che gli stati membri hanno la
discrezionalità di introdurre norme relativamente a tale fattispecie.
( considerando n 27). Dunque a livello nazionale sono state accolte varie
soluzioni. 3 sono i principali modelli regolatori che emergono, ci sono
ordinamenti che escludono espressamente l’applicabilità della normativa in
materia di tutela dei dati personali alle informazioni relative a defunti ( legge
svedese, inglese, irlandese ad es). poi vi sono ordinamenti che si astengono dal
dettare a livello legislativo una soluzione chiara in un senso o nell’altro, tipo
l’ordinamento tedesco, infine un terzo gruppo di ordinamenti propende per
un’estensione della tutela attribuendo a congiunti, eredi o altri soggetti il potere
di esercitare i diritti dell’interessato dopo la sua morte. Tipo l’Italia. Invece la
legge francese riconosce agli eredi solo il diritto di domandare al titolare del
trattamento l’aggiornamento e l’integrazione dei dati, in modo da riflettere
l’intervenuto decesso dell’interessato.
Comunque il tema della tutela postuma dei dati ha ricevuto in molti ordinamenti
una accresciuta attenzione. Ad es proprio in Francia è stata di recente approvata
una disciplina dettagliata delle direttive anticipate di trattamento. La legge
informatique et libertès del 1978 emendata nel 2004, si limitava a prevedere per
i congiunti questo diritto a richiedere un aggiornamento dei dati del defunto.
Però il legislatore è intervenuto nel 2016 introducendo una articolata disciplina
della morte digitale racchiusa in un nuovo art 40-1 aggiunto alla legge
informatique et libertès ed informato ad una serie di principi: i diritti
dell’interessato si estinguono di regola con la morte, ma ciascun individuo può
stabilire direttive generali o speciali sul trattamento dei propri dati personali post
mortem. Le direttive particolari riguardano solo le tipologie di dati a cui si
riferiscono, sono efficaci se espresse con consenso specifico della persona, non
potendo risultare dalla sottoscrizione di condizioni generali di contratto. Sono
sempre revocabili e possono contenere la designazione di un fiduciario per la
loro esecuzione. Qualunque clausola contenuta nelle condizioni generali che
limiti o escluda le prerogative riconosciute all’interessato in ordine al governo
postumo della propria identità digitale SI HA PER NON SCRITTA. In assenza di
direttive anticipate, gli eredi possono esercitare i diritti dell’interessato per dare
corso alla vicenda successoria e/o per regolare gli effetti della morte sul rapporto
negoziale con il social network, disponendo la sua prosecuzione o risoluzione
definitiva.
La riforma francese è uno dei primi esempi di regolamentazione in via legislativa
del problema della morte digitale. In Italia il d.lgs. 10 agosto 2018 n 101 ha
introdotto una nuova disposizione nel codice in materia di protezione dei dati,
l’art 2 – terdecies, dedicato al tema della tutela post mortale e dell’accesso ai
dati personali del defunto. Esso si colloca in una linea di continuità con la
disciplina previgente e in particolare con l’art 9, 3 comma, dlg 196/ 2003 ora
abrogato. Questa nuova disposizione prevede, come il testo previgente, un
ampio spettro di legittimati attivi all’esercizio post mortale dei diritti
dell’interessato. Però non si entra nel merito della vicenda chiarendo se si tratti
di un vero e proprio acquisto mortis causa o di una semplice legittimazione iure
proprio. Ci si limita invece a prefigurare una sorta di persistenza dei diritti in
questione oltre la vita della persona fisica, rilevante soprattutto con riguardo ai
rimedi. Vi sono però due elementi innovativi. 1) estensione del novero dei diritti
suscettibili di esercizio post mortale, si è incluso infatti anche il diritto alla
portabilità dei dati. Siccome l’esigenza era quella di esperire un controllo sulla
circolazione dei dati personali ma soprattutto contrastare l’effetto di lock in
conseguente all’impossibilità di recuperare il proprio pacchetto dati per
trasferirlo eventualmente ad altri titolari, allora si dovrebbero individuare come
soggetti legittimati all’esercizio del diritto alla portabilità solo coloro che agiscono
a tutela dell’interessato, in qualità di suoi mandatari o per ragioni familiari
meritevoli di protezione e non invece ha chi un semplice interesse proprio non
avendo un legame successorio, familiare o fiduciario con il de cuius.
2° elemento di novità è il riferimento , assente nella disposizione previgente, al
mandatario quale soggetto legittimato all’esercizio dei diritti dell’interessato.
Tuttavia l 2 comma dell’art 2 terdecies, stabilisce che l’esercizio dei diritti di cui al
1 comma non è ammesso nei casi previsti dalla legge o quando limitatamente
all’offerta diretta di servizi della società dell’informazione, l’interessato lo ha
espressamente vietato con dichiarazione scritta presentata al titolare del
trattamento o a quest’ultimo comunicata. Notiamo la differenza tra la riforma
francese e quella italiana. La prima muovendo dall’assunto dell’automatica
estinzione dei diritti dell’interessato al momento della morte dedica ampio spazio
alle direttive anticipate di trattamento, garantendo al soggetto la possibilità di
preservare mediante manifestazione positiva di volontà, l’esercizio di tali diritti
nella fase post mortale. Invece la seconda muove dall’opposta regola della
persistenza dei diritti dell’interessato e dunque imprime alla volontà del soggetto
un contenuto prevalentemente negativo nel senso di escludere o conformare
l’esercizio dei diritti dopo la morte del disponente.
Secondo il decreto legislativo adottato in Italia, prescrive che la volontà
dell’interessato di vietare l’esercizio dei diritti di cui al 1 comma deve risultare in
mood non equivoco e essere specifica, libera e informata. La volontà espressa è
sempre revocabile o modificabile, tuttavia tale divieto non può produrre effetti
pregiudizievoli per l’esercizio da parte dei terzi dei diritti patrimoniali che
derivano dalla morte dell’interessato nonché del diritto di difendere in giudizio i
propri interessi.
3) Il modello dell’autonomia privata: approccio statunitense:
vi è una tendenza anche per ragioni di business a sviluppare interfacce
informatiche che agevolino una scelta consapevole del soggetto in ordine alla
destinazione delle proprie tracce digitali per il tempo successivo alla morte. Negli
stati uniti è stata approntata una legge -modello ( non ha valore vincolante) che
ravvisa nella designazione volontaria di un fiduciario lo strumento principale di
risoluzione dei conflitti inerenti all’amministrazione dell’eredità digitale . lo
stesso è avvenuto in Canda nel 2016. L’utente ha dunque la facoltà di nominare
un fiduciario attribuendogli il compito di amministrare , disporre, divulgare o
eliminare i dati, i contenuti digitali e le comunicazioni personali del de cuius dopo
la sua morte. Si tratta per certi versi di una figura simile a quella del mandato
post mortem evocata dall’art 2 terdecies del codice se non fosse per due
importanti profili: 1) previsione espressa per cui in caso di contrasto tra la
designazione fiduciaria e quella contenuta nel testamento o altro documento
scritto, la prima è destinata a prevalere. 2) regola per cui se manca una specifica
manifestazione di volontà del de cuius la sorte dei dati e contenuti digitali è
regolata dalle condizioni generali di prestazione del servizio online. Nel modello
dell’autonomia privata dunque la regola contrattuale non trova un limite esterno
nelle norme imperative del diritto delle successioni o della protezione dei dati
personali.