Privacy Sicurezza Dati

PRIVACY E
SICUREZZA DATI
Dispensa di approfondimento
ACCREDITATO DAL MIUR PER LA FORMAZIONE DEL

PERSONALE DELLA SCUOLA - DIRETTIVA 170/2016
Disclaimer
CERTIPASS ha predisposto questo documento programmatico in base agli standard e ai rife-
rimenti Comunitari vigenti in materia. Non si assume alcuna responsabilità derivante dall’ap-
plicazione in ambito diverso dallo stesso, neanche da informazioni elaborate da terzi in base
ai contenuti del presente programma. Data la complessità e la vastità dell’argomento, peraltro,
CERTIPASS non fornisce garanzie riguardo la completezza delle informazioni contenute; non
potrà, inoltre, essere considerata responsabile per eventuali errori, omissioni, perdite o danni
eventualmente arrecati a causa di tali informazioni, ovvero istruzioni ovvero consigli contenu-
ti nella pubblicazione ed eventualmente utilizzate anche da terzi.
CERTIPASS si riserva di effettuare ogni modifica o correzione che a propria discrezione riterrà
sia necessaria, in qualsiasi momento e senza dovere nessuna notifica.
L’Utenza destinataria è tenuta ad acquisire in merito periodiche informazioni visitando le aree
del sito dedicate al Programma.
Copyright © 2019
Tutti i diritti sono riservati a norma di legge e in osservanza delle convenzioni internazionali.
Nessuna parte di questo documento può essere riprodotta con sistemi elettronici, meccanici o
altri, senza l’autorizzazione scritta da CERTIPASS.
Indice
1. Il diritto alla riservatezza: evoluzione e tutela giuridica.......................................................... 4
1.1 Le origini del diritto alla riservatezza.................................................................................. 4
1.2 La legislazione europea in materia di tutela della riservatezza..................................... 11
1.3 Il ruolo delle informazioni e il nuovo concetto di privacy.............................................. 13
1.4 Le fonti normative di rango internazionale e comunitario in materia di privacy....... 16
1.5 Il Codice della privacy......................................................................................................... 20
2. Le misure di sicurezza informatica............................................................................................. 25
2.1 Le misure di sicurezza in Internet: profili generali.......................................................... 25
2.2 Le misure di sicurezza nel Regolamento UE n. 679/2016 .............................................. 26
2.3 Privacy by design ................................................................................................................. 27
2.4 Privacy by default................................................................................................................. 28
2.5 Valutazione d’impatto sulla protezione dei dati ............................................................. 29
2.6 Le violazioni delle misure di sicurezza informatica: profili di responsabilità............. 30
3. Sicurezza dei dati........................................................................................................................... 31
3.1 La gestione sicura dei dati................................................................................................... 31
3.2 Il ripristino di sistema.......................................................................................................... 35
3.3 Eliminare in modo permanente i dati dalle memorie di massa o dai dispositivi....... 36
1. IL DIRITTO ALLA RISERVATEZZA: EVOLUZIONE E
TUTELA GIURIDICA
1.1 Le origini del diritto alla riservatezza

L’analisi dell’evoluzione che il concetto di diritto alla riservatezza ha subito nel corso degli anni
e soprattutto in ragione dello sviluppo tecnologico, vede come necessario punto di partenza
gli studiosi Warren e Brandeis: il primo è un noto avvocato di Boston, il secondo è un giudice
della corte Suprema degli Stati Uniti.
Si deve, infatti, a un loro articolo del 1890 la prima teorizzazione del diritto alla riservatezza
(privacy)1. Warren e Brandeis sostengono che il common law, in una serie di vecchie discussioni,
aveva già riconosciuto tutela contro il pregiudizio arrecato a un generale diritto alla sfera pri-
vata. Essi ipotizzano dunque l’esistenza di un principio generale «che può essere invocato per
proteggere la privacy dei singoli dalla stampa troppo invadente, dai fotografi o dai possessori
di qualsiasi altro dispositivo moderno per la registrazione o la riproduzione di scene o suoni»2.
Nell’immediato, l’impostazione di Warren e Brandeis non fu seguita dalla giurisprudenza, e le
prime sentenze che si uniformarono al riconoscimento di un principio generale di tutela della
sfera privata si ebbero a partire dal 1905. Da allora, una lunga evoluzione vide i tribunali in
ogni stato federale riconoscere la tutela del diritto alla privacy (right of privacy).3 Le fattispecie
concrete cui era prestata tutela erano essenzialmente quattro4:
•• l’intrusione nell’intimità spaziale dell’attore (intercettazioni di conversazioni private con

l’ausilio di microfoni);
•• le pubblicazioni non autorizzate di fatti penosi o sconvenienti della vita privata;
•• l’inserimento in annunci pubblicitari con nome o foto, in mancanza di autorizzazione da
parte dell’interessato;
•• i casi in cui un individuo è posto in cattiva luce agli occhi di terzi (tramite l’attribuzione, per
esempio a un soggetto di pensieri od opinioni che non gli appartengono)5.
1 Rodotà S., Privacy, libertà dignità: Discorso conclusivo della Conferenza internazionale sulla protezione dei dati. Breslavia (Polonia), 14-16 settembre 2004.
Già a metà dell’Ottocento uno scrittore, Robert Kerr, descriveva la società dell’Inghilterra vittoriana parlando di un diritto a essere lasciato solo,
quarant’anni prima del saggio famoso di Warren e Brandeis. Analizzava inoltre il significato della privacy, individuando la sua caratteristica
essenziale nel «rispetto reciproco e l’intimità». Centocinquant’anni dopo quel libro, la parola respect mantiene tutta la sua forza simbolica.
2 «Which may be invoked to protect the privacy of individual from invasion either by the too enterprising press, the photographer or the possessor
of any other modern device for recording or reproducing scenes or sounds». Warren S. D., Brandeis L. D., The Right to Privacy, Harvard Law Review,
vol. IV, 15 dicembre 1890. L’articolo si può trovare interamente in appendice a: Breckenridge A. C., The Right to Privacy, University of Nebraska
Press, Lincoln, Nebraska, 1970.
3 A questo proposito cfr. sentenza Pacesich v. new England life insurence Co.,122 Ga. 190; 50 S.E. 68; 1905.
4 Secondo una ripartizione effettuata da William L. Prosser, nel suo articolo Privacy, in «California Law Review», Vol. 48, august 1960, No. 3.
Prosser parla di: «intrusione nella sfera privata del soggetto querelante, o nei suoi affari privati, da parte di un interesse pubblico che pone il
querelante stesso in una falsa luce agli occhi del pubblico o di appropriazione, a vantaggio del convenuto, del suo nome o delle sue sembianze.
(Intrusion upon the plaintiff’s reclution o solitude, or into his private affairs, di pubblicity wich places the plaintiff in a false light in the public eye
or appropriation, for the defendant’s advantage, of the plaintiff’s name or likeness).
5 In quest’ultimo caso si configura quasi sempre anche la fattispecie di defamation, in quanto il soggetto si vede leso nell’onore o nella reputazione.
IL DIRITTO ALLA RISERVATEZZA: EVOLUZIONE E TUTELA GIURIDICA | 4

La giurisprudenza inglese, invece, non ha finora riconosciuto un generale diritto alla protezio-
ne della sfera privata; in questi casi essa fa riferimento a un più generale concetto di diffama-
zione (defamation).
Se, dunque, la prima teorizzazione del diritto alla privacy, con l’articolo di Warren e Brandeis,
appartiene al sistema di common law, l’introduzione dei diritti della personalità e della riserva-
tezza in particolare, non è estranea all’ordinamento europeo.
Il Codice Civile tedesco (il Bürgerliches Gesetzbuchnon, comunemente indicato con l’acronimo
BGB) non contiene alcuna norma a tutela della personalità in quanto tale. Il paragrafo 823 del
BGB riconosce l’azione per il risarcimento dei danni in caso di lesioni (fisiche) colpose della
persona, della salute, della vita e della libertà, e non pone tutela contro le lesioni all’onore e le
intrusioni nella sfera privata.
In realtà, già durante il XIX secolo, molti noti studiosi hanno sostenuto la necessità di una
tutela aquiliana dei diritti della personalità, e quindi del diritto all’onore e alla propria sfera
privata.6
Il BGB ha previsto la tutela del diritto al nome (paragrafo 12). I tribunali hanno prestato, inol-
tre, tutela giuridica del diritto alla propria immagine. Nel 1907, inoltre, la legge sul diritto
d’autore dispose espressamente che le immagini di una persona potessero essere diffuse pub-
blicamente solo con il consenso del soggetto raffigurato, o, se morto, dei suoi familiari.
La giurisprudenza disponeva, tuttavia, di ulteriori strumenti a carattere penale per soddisfare
l’esigenza di tutela della personalità nelle forme del diritto all’onore e della reputazione.
I tribunali rifiutarono, però, il riconoscimento di un generale diritto alla personalità almeno
fino al termine della Seconda guerra mondiale, quando l’esperienza della dittatura nazista rese
palese l’esigenza di un’efficace tutela della dignità umana e della personalità.
Solo nel 1954 una sentenza7 della Corte di Cassazione Federale tedesca (Bundesgerichtsof) rico-
nobbe, per la prima volta, il generale diritto alla personalità come ulteriore diritto ai sensi del
paragrafo 823 del BGB.8
Le maggiori difficoltà al riconoscimento di un generale diritto della personalità scaturivano
dalla presenza, nell’ordinamento tedesco, di una tutela aquiliana circoscritta a determinati
beni giuridici.
6 Cfr. Cfr. Konrad Zweigert Hein Kotz, Introduzione al diritto comparato, Vol. 2, Giuffré Editore, Milano, 1995.
7 Nella sentenza in questione una rivista settimanale aveva pubblicato un articolo in cui criticava il fatto che il Ministro dell’economia dell’epoca di
Hitler, il Dr. Schacht, avesse fondato una banca. L’avvocato (attore nel successivo giudizio), incaricato dal Dr. Schacht, aveva di conseguenza inviato
una lettera in cui chiedeva che venissero apportate determinate correzioni all’articolo. La convenuta aveva invece pubblicato la lettera nella rubrica
dedicata ai lettori; al contempo l’aveva modificata con alcune omissioni, in modo tale da suscitare l’impressione che l’avvocato si fosse adoperato,
a titolo personale, e spontaneamente nell’interesse del Dr. Schacht. L’avvocato agì quindi in giudizio, chiedendo che la convenuta correggesse ––
con apposita rettifica –– l’errore in cui aveva indotto i lettori. La sua domanda venne accolta in primo grado. Il giudice d’appello si rifiutò invece
di individuare nella pubblicazione della lettera alcunché di disonorevole e rigettò l’azione. La Corte di Cassazione Federale tedesca, infine, non
si preoccupò più di verificare se il comportamento della convenuta integrasse o meno reato. La Corte Suprema decise che il generale diritto alla
personalità dovesse essere, in quanto tale, tutelato in sede civile. La riproduzione alterata della lettera aveva in questo caso violato la «sfera privata
dell’autore, protetta dal diritto della personalità», presentando una falsa immagine della sua personalità.
8 Il paragrafo 823 disciplina la responsabilità extracontrattuale del soggetto che, con comportamento antigiuridico e con dolo o colpa, viola uno dei
diritti fondamentali di altro soggetto. Il diritto alla personalità, è così assimilato agli altri diritti fondamentali.
LE ORIGINI DEL DIRITTO ALLA RISERVATEZZA| 5

La situazione opposta, e cioè un ordinamento che non riconduce la tutela extracontrattuale
solo a specifici beni, ha portato la Francia a un approccio più flessibile con la tutela della per-
sonalità.
La giurisprudenza francese non ha mai esitato a vietare la pubblicazione di una lettera ri-
servata, la diffusione dei fatti della vita privata o l’uso non autorizzato del nome altrui. Di
conseguenza, non si è mai presentata l’esigenza concreta di elaborare la figura di un generale
diritto della personalità, anche perché l’ordinamento francese ammette il risarcimento dei dan-
ni morali nel modo più ampio, senza peraltro far distinzione tra danno patrimoniale o morale.
Nel 1970, inoltre, è inserita nel Code Civil una norma che prevedeva chiaramente che «ognuno a
il diritto al rispetto della sua vita privata»9, un esplicito riconoscimento del diritto alla privacy.
Nell’ordinamento italiano, il riconoscimento del diritto della riservatezza assume in un primo
tempo le sembianze di un acceso dibattito dottrinale, che si muove attorno agli interrogativi
sull’esistenza e sul fondamento del diritto stesso, alimentati anche dalla mancanza di una nor-
ma esplicita e generale a tutela dell’interesse in questione, nonostante la previgenza di dispo-
sizioni che ne tutelavano i singoli aspetti.
Il dibattito vede una contrapposizione tra una costruzione dei diritti della personalità come
pluralità di diritti e una essenzialmente monistica. Il punto di avvio della discussione è rappre-
sentato dall’approccio che ha inizialmente individuato il fondamento positivo del diritto alla
riservatezza, intesa come «quel modo di essere della persona il quale consiste nell’esclusione
dell’altrui conoscenza di quanto ha riferimento alla persona medesima»10, nel diritto all’imma-
gine sancito nell’art. 10 c.c. Il ricorso al procedimento analogico si accompagna a una struttura
pluralistica dei diritti della personalità, risultante da molteplici aspetti e interessi della per-
sona, ognuno con caratteristiche peculiari e dotato di una propria autonomia. La concezione
monistica, sull’esempio della dottrina tedesca, poi seguita anche dalla giurisprudenza costi-
tuzionale11, si delinea invece su un unico diritto della personalità. I sostenitori di tale dottrina
muovono dalla considerazione della persona umana come valore unitario, traendone come
logica conseguenza che il complesso di norme presenti nel diritto positivo «non costituiscono
il fondamento di tanti autonomi diritti della persona, ma piuttosto la disciplina specifica di
alcuni aspetti particolari della sua tutela»12, ipotizzando quindi un rapporto di genere a specie
9 «Chacun a droit au respect de sa vie privée»
10 De Cupis A., I diritti della personalità, I, Giuffré editore, Milano, 1973, p.256-257.
11 Il riferimento è alla sentenza del Bundesverfassungsgericht del 15 dicembre 1983 in «Neue Juristische Wochenschrift», 1984, p. 419, seppure in
riferimento specifico al tema della protezione dei dati personali, menziona la diretta discendenza del diritto alla riservatezza dal diritto generale
della personalità (Persönlichkeitsrecht), ricavabile dall’art. 2 I in combinato con l’art. 1 I GG, il quale viene dunque riconosciuto come fondamento
costituzionale del diritto in oggetto.
12 Giampiccolo G., La tutela giuridica della persona umana e il c.d. diritto alla riservatezza, in «Rivista trimestrale di diritto di procedura civile», 1958, p.
465.
Cfr. anche Giampiccolo G., La tutela giuridica della persona umana e il c. d. diritto alla riservatezza, in «Scritti giuridici in memoria di Calamandrei»,
Vol. V, Cedam, Padova, 1958, p. 433 e ss. L’autore afferma l’importanza del riconoscimento del valore unitario della persona umana (di modo
che i suoi interessi, relativi all’essere possono sì venire isolati concettualmente, ma conservano quel comune punto di riferimento oggettivo e
sono sostanzialmente solidali); la cui tutela non può identificarsi con la somma delle molteplici esplicazioni protette da singole norme (che ne
costituiscono piuttosto un «concreto svolgimento»). Vien di fatto allora di dubitare che ogni specifica istanza della personalità debba trovare un
autonomo e distinto riconoscimento: una barocca proliferazione di minuti diritti (sino al limite di configurazioni bizzarre quali il diritto alla quiete

tra diritto unitario e singole disposizioni. Il principale vantaggio di una costruzione siffatta è
sicuramente individuabile nella maggiore elasticità della norma e quindi nella sua intrinseca
capacità di adattamento a nuovi o imprevisti strumenti di violazione dell’interesse da essa
protetto.13
Lo strumento analogico tipico della concezione pluralistica è stato criticato sotto molteplici
punti di vista. Innanzitutto si afferma che esso si dirige su norme, quali quelle poste a tutela
dell’immagine o del segreto epistolare, che hanno carattere eccezionale poiché si atteggiano a
limiti alla libertà di manifestazione del pensiero e quindi insuscettibili di applicazione analo-
gica stante il divieto espresso dall’art. 14 delle preleggi.
Inoltre, anche se si volesse ricorrere all’analogia, nonostante i rilievi esposti, ne risulterebbe
una tutela inadeguata e insufficiente perché parziale, frammentaria e priva di una base omo-
genea.14
L’ultimo orientamento che resta da esaminare è quello che si basa sul ricorso ai principi gene-
rali dell’ordinamento giuridico.
La tesi è stata esposta facendo riferimento all’art. 12. II comma delle disposizioni sulla legge in
generale, in esso contemplato, oltre allo strumento dell’analogia, «v’è quella sui generis forma
di interpretazione, costituita dal ricorso ai principi generali dell’ordinamento giuridico dello
Stato»15.
Tale forma di interpretazione consiste nel prendere in esame «i pilastri sui quali l’ordinamento
giuridico si poggia»16; una volta conclusasi positivamente l’indagine sull’esistenza di un dato
principio generale, esso potrà trovare applicazione in relazione alla fattispecie che non riceve
esplicita considerazione da parte del legislatore.
In quest’ottica l’attenzione si rivolge agli attributi fondamentali della personalità umana per affer-
mare l’indubbia considerazione di essi da parte di ogni ordinamento giuridico come il presup-
posto per una libera esplicazione della persona stessa.
Tali attributi, proprio per la loro stretta appartenenza all’essenza della personalità, dovrebbero
trovare sicura tutela al di là di ogni espressa manifestazione di volontà del legislatore. A essi
appartiene certamente anche il diritto alla riservatezza, con conseguente affermazione dell’e-
sistenza di un principio generale di tutela della stessa. La previsione di norme che tutelano
espressamente alcuni attributi della personalità, nonostante l’esistenza del principio generale,
o al numero telefonico) costituisce base effimera per la ricostruzione sistematica e rivela l’insufficienza dello strumento dogmatico adoperato. Se la
persona è un tutt’uno solidale, non può che corrispondervi un generale diritto soggettivo della personalità, del cui contenuto «indefinito e vario la
tutela della vita privata è compiuta espressione».
13 Rodotà S., Elaboratori elettronici e controllo sociale, Il Mulino, Bologna, 1973, p.129.
14 Pugliese G., Il diritto alla “riservatezza” nel quadro dei diritti della personalità, in «Rivista di diritto civile», 1963, I., pp. 615-616.
15 Franceschelli B., Il diritto alla riservatezza, Jovene, Napoli, 1960, p. 36.
16 ibid.

si spiega in base a considerazioni di tecnica legislativa: a fronte della vigenza del principio
generale, il legislatore ha voluto prendere in considerazione solo quegli attributi ai quali ha
inteso dare una disciplina particolare, che si discosta da quella del diritto soggettivo nella sua
accezione più elementare.
Le prime pronunce della giurisprudenza di merito, e relative al dritto di riservatezza, risalgo-
no agli anni Cinquanta, e furono occasionate da opere cinematografiche e pubblicazioni rela-
tive a vicende personali di personaggi noti, che portarono gli interessati ad invocare il diritto
alla riservatezza dinanzi ai giudici.17
Emerge, dunque, l’esigenza di ponderare i contrastanti interessi riconducibili per un verso al
diritto di cronaca, alla libertà dell’informazione e di espressione artistica e per l’altro al diritto
dell’individuo di conservare un potere di esclusione dei terzi circa le vicende della sua vita
privata.
L’operato dei giudici fu sostanzialmente orientato a ricercare un criterio di bilanciamento tra
interessi comunque in conflitto18 , valutando poi nella contingenza del caso quale tra essi meri-
tasse effettivamente di risultare prevalente. Dalla valutazione complessiva delle prime senten-
ze di merito si può desumere «il tentativo dei giudici di colmare una lacuna, ritenuta esistente
nel sistema, attraverso strumenti interpretativi svariati e complessi».19 In sintesi la giurispru-
denza si dimostra favorevole al riconoscimento del diritto alla riservatezza anche in mancanza
di una norma espressa, e ricorre spesso, seguendo in ciò le indicazioni di una parte della dot-
trina, all’analogia, richiamando soprattutto la disciplina del diritto all’immagine.20
Nell’orientamento della giurisprudenza di legittimità è dato rintracciare una linea evolutiva
ben precisa. La prima presa di posizione della Corte è espressa nella sentenza che conclude la
vicenda giudiziaria relativa ai film sul tenore Caruso.21 In essa si manifesta un atteggiamento
rivolto alla decisa negazione del diritto alla riservatezza affermando che «nessuna disposizio-
ne di legge autorizza a ritenere che sia stato sancito come principio generale il rispetto assoluto
all’intimità della vita privata e tanto meno come limite alla libertà dell’arte»22, ricollegando la
tutelabilità dell’interesse in questione esclusivamente al fatto che «[…] la conoscenza delle
17 Il primo caso riguarda due film sul tenore Enrico Caruso. Il relativo giudizio fu promosso dai familiari del tenore defunto i quali chiedevano al
giudice di ordinare l’inibitoria circa la rappresentazione dei film in questione perché ritenuti lesivi della riservatezza del tenore. Tra le altre questioni
giudiziarie si possono menzionare quella di Claretta Petacci, dell’attrice Lina Cavalieri e di Giacomo Puccini.
18 Grazia dei E., Privatezza: rimedi vecchi e offese nuove, in «Giurisprudenza italiana», 1971, IV, p. 1.
19 Giacobbe G., Il “diritto alla riservatezza” in Italia, in «Diritto e società», 1974, p. 704.
20 «The core continental privacy rights are rights to one’s image, name, and reputation». Whitman J. Q., The two Western Cultures of Privacy: Dignity
Versus Liberty, Yale Law Journal, 1151, 2004.
Contro la supposta identità ontologica del diritto alla riservatezza con il diritto all’immagine, si è osservato che «esporre e riprodurre il ritratto
(ovvero pubblicare le lettere di una persona) è cosa certamente diversa dal divulgare ciò che attiene alla vita privata, e che solo per il tramite
dell’astrazione sarebbe possibile derivare il divieto di tale comportamento. A ciò osterebbe altresì il carattere eccezionale delle norme in oggetto che,
per riferirsi alla riproduzione, pubblicazione, divulgazione a mezzo di mass-media, limiterebbero la libertà garantita dall’art. 21 Cost.: risultando
pertanto sottratte, in forza dell’art. 14 disp. prel., all’estensione analogica. Ché se anche si obiettasse che la riservatezza rappresenta a sua volta una
posizione di libertà personale sarebbe pur sempre difficile ammettere, sulla base di così difettosa argomentazione, un principio volto a limitare
la possibilità di soffermare l’attenzione sull’altrui vita privata, che costituisce ineliminabile fattore della rappresentazione che i terzi si formano
dell’altrui personalità». In questi termini, pugliese G., Aspetti civilistici della tutela della personalità nell’ordinamento italiano, in AA. VV. Alcuni problemi
sui diritti della personalità, Giornate giuridiche italo-jugoslave, Milano, 1964, p. 27 e ss.
21 Cass. 22 dicembre 1956 n. 4487, in «Giurisprudenza italiana», 1957, I, l, p. 366.
22 Nello stesso senso Funaioli C. A., Diritto cinematografico e tutela della personalità, in «Giustizia civile», 1954, p. 598.

vicende della vita altrui non sia stata ottenuta con mezzi di per sé illeciti o che impongano
l’obbligo del segreto […]» , attraverso cioè comportamenti che integrassero gli estremi del
fatto illecito. Secondo la Cassazione quindi «il tema ben poteva trovare la sua soluzione, senza
il bisogno di inventare istituti nuovi, nel precetto generale del “neminem laedere”, come spe-
cificato per l’appunto nell’art. 2043 c.c.»23. La decisione fu ovviamente salutata con favore da
quella parte della dottrina che negava la tesi dell’esistenza del diritto alla riservatezza e, per
converso, avversata dalla dottrina favorevole a tale tesi.24
Negli anni successivi la Corte si esprime in maniera fondamentalmente conforme25, anche se il
precedente orientamento è temperato dall’affermazione dell’«esistenza, nel nostro ordinamen-
to, del divieto di attribuire alla persona fatti non veri o pensieri mai espressi o rispetto ai quali
non sia stata comunque autorizzata la diffusione»26.
Una sentenza del 1963 segna invece un mutamento della rigida posizione iniziale.27 Pur non
riconoscendo ancora l’incondizionato diritto alla riservatezza, la Corte ribadisce la mancanza
di una norma che espressamente la contempli, respingendo inoltre la praticabilità dello stru-
mento analogico, afferma, tuttavia, l’esistenza di un «diritto erga omnes alla libertà di autode-
terminazione nello svolgimento della personalità dell’uomo come singolo».
La formula richiama l’art. 2 Cost. che è posto quindi a fondamento del diritto in questione,
dimostrando di accogliere, la configurazione monistica del diritto unico della personalità.
Da tale costruzione giuridica deriva il divieto di divulgare notizie attinenti alla vita privata
dell’individuo «a meno che non sussista un consenso anche implicito della persona, desunto
dall’attività in concreto svolta, o, data la natura dell’attività medesima o del fatto divulgato,
non sussista un prevalente interesse pubblico di conoscenza»28.
Le determinazioni contenute nella sentenza tradiscono forse la tendenza a risolvere le questio-
ni nodali circa il diritto alla riservatezza, evitando però in sostanza di pronunciarsi su di esse
in maniera univoca.
Tale chiave di lettura trae conferma dal fatto che entrambi i filoni dottrinali contrapposti si
dichiarano in qualche modo insoddisfatti della posizione della Cassazione. Da una parte si
lamenta la mancanza di una puntuale determinazione dei confini del diritto in questione e
conseguentemente dell’ambito entro il quale la riservatezza sarebbe tutelata, requisito neces-
23 Grazia dei E., Privatezza: rimedi vecchi e offese nuove, in «Giurisprudenza italiana», 1971, IV, p. 1.
24 Cfr.: Pugliese G., Una messa a punto della Cassazione sul preteso diritto alla riservatezza, in «Giurisprudenza italiana», 1957, I, l, p. 365 e Pugliese G., Il
diritto alla “riservatezza” nel quadro dei diritti della personalità, in «Rivista di diritto civile», 1963, I., pp. 615-616, in cui l’autore fonda la sua critica sulla
distinzione tra ius conditum e ius condendum: la Corte ha tenuto conto di questa distinzione resistendo alla tentazione di modificare apertamente
il diritto positivo, attuando in tal modo una forzatura nell’interpretazione delle norme. La soluzione contraria avrebbe implicato «un indebito
straripamento dei giudici dalla funzione giudiziaria in quella legislativa». Contra: De Cupis, A., Sconfitta in Cassazione del diritto alla riservatezza, in
«Il Foro italiano», 1957, I, p. 232.
25 Cass. 7 dicembre 1960, n. 3199, in «Il Foro italiano», 1961, I, p. 43.
26 Giacobbe G., Il “diritto alla riservatezza” in Italia, in «Diritto e società», 1974. Vedi anche Carnelutti F., Diritto alla vita privata, in «Scritti giuridici
in memoria di Piero Calamandrei», Cedam, Padova, 1958, p. 151: «Ciò che la legge garantisce è la conformità delle parole al proprio pensiero:
manifestare il proprio pensiero con la parola significa parlare come si pensa, non come si vuole; ciò che la legge esclude è che si debba parlare
secondo il pensiero altrui “il pensiero altrui”».
27 Cass. 20 aprile 1963 n. 990, in «Il Foro italiano», 1963, I, p. 877.
28 Cass. 20 aprile 1963 n. 990, in «Il Foro italiano», 1963, I, p. 877.

sario per l’esatta individuazione dei comportamenti dei terzi gravati da un dovere di astensio-
ne29; per contro, la parte favorevole all’affermazione del diritto, si rende conto che comunque
il mutamento di indirizzo della Corte non è sufficiente proprio perché la via da essa seguita
è quella di ricondurre un’esigenza emergente e nuova nell’alveo dei tradizionali strumenti di
tutela, sorvolando sulla questione di un preciso riconoscimento sostanziale ed operato in via
autonoma.
La successiva tappa dell’iter evolutivo della giurisprudenza di Cassazione è rappresentata da
una sentenza del 197530, nella quale la formula compromissoria consacrata nella precedente
decisione sembra cedere il passo alla chiara affermazione del diritto alla riservatezza. La Cor-
te porta in rilievo l’esistenza di un duplice fondamento, implicito ed esplicito, del diritto alla
riservatezza: il primo viene individuato «in quel complesso di norme ordinarie e costituzio-
nali che, tutelando aspetti peculiari della persona, nel sistema dell’ordinamento sostanziale,
non possono non riferirsi anche alla sfera privata di essa»31. Il fondamento definito esplicito
è fissato «in tutte quelle norme, contenute in modo particolare in leggi speciali, nelle quali si
richiama espressamente la “vita privata del soggetto” o addirittura la riservatezza».
La sentenza opera inoltre un espresso richiamo degli artt. 2, 3, 27, 29 e 41 Cost. quali norme da
cui ricavare principi di «tutela della sfera privata del soggetto con conseguenti limitazioni ad
altre garanzie costituzionali quali, per esempio, il diritto all’informazione».
La Cassazione oggi riconosce pienamente l’esistenza di una giurisprudenza e dottrina consoli-
date in ordine all’esistenza, nel nostro ordinamento, di un diritto alla riservatezza.32
Per quanto concerne la Corte Costituzionale, non è possibile rintracciare un iter evolutivo che
si presti a una ricostruzione puntuale, data la sporadicità delle pronunce in argomento. La
Corte inoltre non ha mai avuto occasione di affrontare il problema dell’esistenza del diritto alla
riservatezza come tema generale, ma solo in relazione ad aspetti settoriali.
Dalle diverse sentenze della Corte in cui esistono riferimenti, alquanto indiretti, alla riserva-
tezza si può dedurre un atteggiamento in qualche modo neutro, (nel senso che non prospetta
né impedimenti né argomenti a favore di un riconoscimento del diritto in questione), e tutt’al
più ispirato a un criterio generale di bilanciamento degli interessi contrapposti.33 La sentenza
29 Pugliese G., Il diritto alla “riservatezza” nel quadro dei diritti della personalità, in «Rivista di diritto civile», 1963, I., pp. 615-616.
30 Cass. 27 maggio 1975, n. 2129, in «Diritto di autore», 1975, p. 351.
31 Giacobbe G., Il diritto alla riservatezza nella prospettiva degli strumenti di tutela, in AA. VV, Il riserbo e la notizia: atti del Convegno di studio (Macerata, 5-6
marzo 1982), Edizioni scientifiche italiane, 1983.
32 Cfr., ad esempio, Cass. 21 febbraio 1994, n. 1652, in «Giurisprudenza italiana», 1995, I, 1, p. 298.
33 In tema di pubblicità delle udienze penali, si veda la sentenza del 27 luglio 1992, n.373, in cui la Corte dichiara inammissibile la questione di
legittimità costituzionale dell’art. 441 c.p.p. che non prevede la pubblicità del giudizio abbreviato. Tale deroga è motivata proprio dalla necessità,
tra le altre, di garantire «una certa riservatezza, per porre al riparo l’imputato da indiscrezioni, che possano ledere la sua figura di uomo». In
materia di segreto istruttorio cfr. la sentenza dell’8 settembre 1995, n. 420, in «Foro amministrativo», 1996, p. 9. La sentenza 11 marzo 1993, n. 81,
in «Giurisprudenza italiana», 1995, I, p. 108 (nota Di Filippo), è relativa alla materia delle intercettazioni: la Corte riconosce, con espresso richiamo
all’art. 15 Cost., una sfera giuridica protetta da riservatezza che abbraccia non solo il contenuto della conversazione, ma anche l’identità dei soggetti
e i riferimenti di tempo e di luogo della comunicazione stessa. Da ultimo, in materia di segreto professionale, vedi Corte Cost. 28 gennaio 1981,
n. 1, in «Giurisprudenza costituzionale», 1981, I, p. 3 che affronta il tema dell’esonero dall’obbligo di rendere testimonianza, in seno al processo
penale, di determinate categorie di soggetti, il quale ha la sua ragion d’essere proprio nella «comune esigenza di riservatezza attinente a sfere di
interessi costituzionalmente rilevanti che il legislatore ritiene prevalenti rispetto al contrapposto interesse alla giustizia, che è alla base del dovere
di testimonianza».

che è necessario considerare più nello specifico è quella del 12 aprile 1973, n. 38 relativa alla
questione della legittimità delle misure cautelari (ex art. 700 c.p.c.) dirette alle immagini non
ancora pubblicate ma destinate alla pubblicazione, qualora sia in gioco la tutela dei diritti
inviolabili della persona.34 In questa sentenza la Corte mostra altresì di propendere per la tesi
dell’art. 2 Cost. come norma aperta e non meramente riassuntiva dei soli diritti già espressa-
mente garantiti dalla Carta stessa, a tutto vantaggio di un riconoscimento costituzionale del
diritto alla riservatezza.
Al di là delle modalità di riconoscimento all’interno dei vari ordinamenti, agli inizi del Nove-
cento il diritto alla riservatezza rimane ancorato al diritto all’immagine e alla reputazione e,
spesso, sembra destinato a proteggere l’alta borghesia35 dalla stampa a caccia di scandali politici
o mondani. Il diritto alla riservatezza assume, dunque, il connotato di right to be let alone (cioè
il diritto a essere lasciati soli, per godere in pace della propria vita), e si pone al servizio della
segretezza di alcuni aspetti della vita di ognuno.
Gli aspetti classici della segretezza e dell’esclusione di informazioni personali da forme di
conoscenza generalizzata costituiscono caratteristiche permanenti del diritto alla privacy. Il
bisogno di riservatezza si è, però, dilatato per far fronte agli attacchi e alle intrusioni, resi più
facili della tecnologia. In sostanza, l’evoluzione della tutela apprestata alla riservatezza si deve
al mutamento delle modalità attraverso le quali la personalità dell’individuo può essere intac-
cata.
1.2 La legislazione europea in materia di tutela della riservatezza

Scopo comune degli interventi legislativi succedutisi nell’ultimo trentennio, pur in un venta-
glio di approcci e di soluzioni alquanto diversificati, è la necessità di puntellare il diritto alla
riservatezza al fine di evitarne la deriva indotta dal progresso tecnologico. Il binomio diritto
alla riservatezza-informatica trova spazio in alcuni ordinamenti europei già dalla fine degli
anni Settanta.36
34 Nel caso di specie il problema centrale era quello di tutelare i diritti inviolabili dell’uomo, nel cui ambito la Corte riconduce il decoro, l’onore,
la rispettabilità, la riservatezza, l’intimità e la reputazione. Innanzitutto bisogna premettere che il campo d’elezione dei provvedimenti d’urgenza
è proprio quello relativo alla tutela di diritti che, durante il tempo occorrente per l’ordinaria cognizione, è facile che subiscano il pregiudizio
irreparabile richiesto dall’art. 700 c.p.c. Il periculum in mora quindi sussiste pienamente per i diritti della personalità per i quali, una volta avvenuta
la lesione, è praticamente impossibile ottenere un integrale ripristino della situazione esistente anteriormente all’offesa, a differenza dei diritti a
contenuto patrimoniale che non possono mai essere pregiudicati dalle more del giudizio. Il fatto che si trattasse di immagini non ancora pubblicate
non è sufficiente a escludere l’applicabilità della misura data l’inequivocabile destinazione alla pubblicazione delle stesse, la qual cosa giustifica
un’ulteriore anticipazione di tutela. Questi aspetti sono stati tenuti nel giusto conto dalla Corte la quale (e questo è l’aspetto che più interessa in
questa sede) in più passi della sentenza istituisce il raccordo tra i diritti della personalità summenzionati e i diritti inviolabili dell’uomo che la
Costituzione salvaguarda.
35 L’articolo di Warren e Brandeis fu originato dall’irritata reazione di Warren all’ennesima indiscrezione della Saturday Evening Gazzette sul conto
della sua famiglia.
36 In precedenza, la dichiarazione universale dei diritti dell’uomo del 10 dicembre 1948 richiama, sia pure in termini generali, il diritto alla privacy
(art.12). Un’idea di privacy appariva nella Convenzione internazionale sui diritti civili e politici, adottata il 16 dicembre 1966 (art.17). Il più specifico
problema della protezione dei diritti della persona connessi al flusso dei dati diveniva oggetto di attenzione anche da parte dell’OCSE che, negli
anni Settanta, costituiva persino un apposito gruppo di esperti con il compito di approfondire lo studio dell’incidenza ella privacy sugli obiettivi
economici degli stati aderenti all’organizzazione. Il primo intervento in sede OCSE è costituito da un seminario del 1974: policy Issues in Data
Protection and Privacy, in 10 OEDC Informatic Studies, 1974. Nel 1980 l’OCSE adottava con delle raccomandazioni (non vincolanti, quindi, per gli
Stati) e sia pure a fini prettamente economici, una strategia di protezione dei dati personali.
LA LEGISLAZIONE EUROPEA IN MATERIA DI TUTELA DELLA RISERVATEZZA | 11

In Spagna e Portogallo la riservatezza è riconosciuta anche a livello costituzionale. L’art. 18
della Costituzione spagnola, approvata nel 1978, prevede che un’apposita legge «porrà limiti
all’uso dell’informatica per salvaguardare l’onore e l’intimità personale e familiare dei citta-
dini e il pieno esercizio dei loro diritti». Questa norma programmatica ha ricevuto pronta
attuazione con apposite leggi successive. La Costituzione portoghese introduce un concetto
di riservatezza svincolato dai canoni tradizionali (onore, intimità personale e familiare) che
caratterizzano la normativa spagnola. L’art. 35 della Costituzione portoghese è immediata-
mente precettivo e lega il concetto di riservatezza alla protezione dei dati personali soggetti a
trattamento informatico, introducendo il diritto a essere informati sul contenuto e sugli scopi
degli archivi elettronici.
La Francia sin dal 1978 può contare su una legge specifica sul tema dell’informatica connessa
al trattamento dei dati: Loi informatique e libertes. L’art. 1 di tale legge stabilisce che «l’informati-
ca deve essere al servizio del cittadino, e non deve attentare né all’identità né ai diritti dell’uo-
mo, né alla vita privata né alle libertà individuali e pubbliche»37. La legge si applica anche agli
archivi manuali, ove siano connessi ad archivi automatizzati, e ha come oggetto i trattamenti
effettuati da enti privati o pubblici, quanto a questi ultimi, tuttavia, prevede disposizioni più
restrittive. Non è contemplata la necessità del consenso dell’interessato, il quale deve essere
informato dell’esistenza del diritto di accesso e rettifica. Le finalità del trattamento devono,
tuttavia, essere comunicate alla Commission Nationale Informatique et Libertés.
Anche la Germania, come la Francia, ha adottato una legge in materia di dati personali già dal
1977, sostituita nel 1990 dalla legge federale BDSG. Secondo la normativa tedesca, l’utilizzo dei
dati personali è, in linea di principio, vietato, salvo espressa contraria disposizione di legge. La
normativa non è dunque forgiata solo sul requisito del consenso.
La BDSG attua un grado di protezione più elevato nei confronti dei dati elaborati dai soggetti
pubblici. Questi ultimi, inoltre, possono procedere al trattamento dei dati solo se necessario
per l’adempimento dei propri doveri. Il trattamento da parte dei privati è invece ammesso solo
se la legge stessa o altra normativa, o l’interessato lo autorizzino espressamente.
I soggetti che intendano procedere alla raccolta e elaborazione dei dati personali (se auto-
rizzati dalla legge e dall’interessato) devono comunicare l’intenzione all’autorità competente,
presente in ogni Länder. L’autorità di vigilanza nazionale (BUNDESBEAUFTRAGTE FÜR DEN
DATENSCHUTZ), invece, esercita il proprio potere di controllo affinché l’uso e la raccolta dei
dati personali avvenga nel rispetto della normativa esistente.
Le normative che abbiamo brevemente esaminato hanno influenzato le leggi e le direttive eu-
ropee successive. Basti pensare all’introduzione della figura del garante, o al concetto di con-
senso, pur nelle sue diversità, o, infine, all’attuale tendenza alla costituzionalizzazione del di-
ritto alla riservatezza, che, come abbiamo visto ha trovato un primo modello nelle costituzioni
della penisola iberica.
37 Questa norma è la formulazione più netta e decisa delle legislazioni garantiste che idealmente si richiamano e si situano nell’alveo storico della
dichiarazione dei diritti dell’uomo e del cittadino.

1.3 Il ruolo delle informazioni e il nuovo concetto di privacy
Le istanze di tutela sono aumentate con la diffusione degli elaboratori elettronici capaci di
elaborare, incrociare e aggiornare, rapidamente e a costi contenuti i dati personali di milioni
di persone.
L’avvento delle innovazioni tecnologiche e la loro interazione con la sfera privata ha posto il
giurista nella condizione di dover misurarsi con l’analisi di nuovi pericoli che possono colpire
il privato e di adeguarne gli strumenti di tutela.38
In altri termini l’ingresso delle nuove tecnologie e segnatamente di internet nel tessuto sociale
ha comportato un ripensamento dell’iter classico di circolazione delle informazioni tale per cui
le reti elettroniche di telecomunicazioni, grazie alla digitalizzazione dei dati, sono struttural-
mente destinate e finalizzate alla trasmissione dei dati: ogni elemento della realtà, infatti, viene
rappresentato non in forma cartacea, ma sotto forma di dato; ora che i dati sono in origine
digitalizzati e che i costi di diffusione sono identici per tutti, il mondo della comunicazione è
sommerso dai dati accessibili sempre da chiunque e dovunque.39
I dati e le informazioni sono divenuti, nell’arco dell’evoluzione delle nuove tecnologie, il bene
di maggior valore strategico ed economico e che, quasi, offuscano la libertà di manifestazione
del pensiero o, meglio, precisandone i contenuti; i dati sono componenti essenziali di un pro-
cesso molto più ampio che si chiama conoscenza; la libertà di informare, a sua volta, è il presup-
posto della libertà di manifestazione del pensiero e si limita fondamentalmente alla diffusione
di dati privi di un intrinseco contenuto valutativo che verrà poi dato da chi percepisce tali dati,
li interpreta, li valuta; di qui la conoscenza.
La libertà di diffondere i dati presuppone la libertà di ricercare quei dati; sottratta l’area dei se-
greti — pubblici e privati — resta da assicurare la possibilità della ricerca scientifica o quella di
attingere ai dati di altro genere; di qui la libertà di scelta, ma anche il diritto di accesso laddove
i dati siano custoditi da un soggetto pubblico.
Se, poi, l’acquisizione dei dati è a monte della loro diffusione, vi è, d’altra parte, la disciplina dei
mezzi attraverso i quali ciò può avvenire: di qui l’importanza dell’accesso e dell’interconnes-
sione.40 Le tecnologie informatiche, applicate per esempio alle banche dati, investono in modo
pervasivo la vita privata, «sfidano i vecchi diritti, e ne esigono impetuosamente di nuovi».41
L’insieme dei cambiamenti tecnologici ha sicuramente influenzato le possibilità e le modalità
di trattamento delle informazioni. Quando, agli inizi degli anni Settanta, si discuteva sui rischi
per la privacy e si affacciavano le prime ipotesi legislative sulla protezione delle informazioni
personali, ci si riferiva a una realtà tecnologica ormai superata. I rischi per la riservatezza allo-
38 Il nuovo quadro sociale dipinto dall’ingresso delle nuove tecnologie non si misura con un assetto tradizionale dei diritti del tutto inadeguato, anzi
da esso è doveroso prendere le mosse per poter capire se ci si trovi dinanzi a una reale contrapposizione tra di dritti vecchi e nuovi; contrapposizione
negata poiché il richiamo è alla categoria, in costante evoluzione, dei diritti fondamentali nel suo complesso. In tal senso autorevole dottrina, Rodotà
S., Tra diritti fondamentali ed elasticità della normativa: il nuovo codice sulla privacy, in «Europa e diritto privato», 2004, p. 5 e ss.
39 Zeno-Zencovich V., La libertà di espressione: Media, mercato, potere nella società dell’informazione, Il Mulino, Bologna, 2004, p. 128 e ss.
40 Ibid.
41 Rodotà S., Tecnologie e diritti, Il Mulino, Bologna, 1995.
IL RUOLO DELLE INFORMAZIONI E IL NUOVO CONCETTO DI PRIVACY | 13

ra già paventati si sono moltiplicati, e hanno reso inutilizzabili definizioni legislative concepite
nell’ottica di sistemi informativi meno evoluti.
Ad esempio, la definizione di archivio di dati personali come registrazione tenuta mediante un
sistema di elaborazione automatica dei dati e contenente dati personali non può più essere adoperata
per imporre obblighi di registrazione a tutti coloro che gestiscono archivi di tale tipo: il costo
di un obbligo di registrazione di tutti i possessori di personal computer sarebbero eccessivi.42
Di conseguenza, cominciano a essere introdotte norme di eccezione alle leggi vigenti, esen-
tando, per esempio, dall’obbligo di registrazione i privati che gestiscono archivi per finalità
strettamente personali. Sorgono altri punti di riferimento: le caratteristiche del soggetto (la
connotazione pubblicistica o privatistica), o le finalità della raccolta dati (fini personali), e sem-
brano essere relegate in secondo piano esigenze di tutela della riservatezza.
I mutamenti tecnologici incidono, inoltre, sui rapporti esistenti tra raccoglitore e fornitore di
dati che confluiscono, poi, negli archivi o nelle banche dati.43 Il destinatario di informazioni
coincide sempre più spesso con il fornitore di un servizio (nel momento in cui un utente pro-
cede alla registrazione presso un qualsiasi server, fornisce informazioni al server stesso, in
cambio dei servizi di accesso a internet, o a una casella di posta elettronica).
Le informazioni fornite dagli interessati per ottenere determinati servizi sono tali, per quantità
e qualità, da presentare la possibilità di una serie di impieghi secondari, particolarmente re-
munerativi per i gestori dei sistemi interattivi. Questi elaborano le informazioni ottenute in oc-
casione della fornitura di servizi, e procedono alla creazione di profili di consumo individuale
o familiare, e di analisi di preferenze. Le nuove informazioni così ottenute possono essere ven-
dute ad altri soggetti interessati, e vengono dunque trattate come una vera e propria merce.44
La raccolta, l’elaborazione e la memorizzazione dei dati reperiti, sistematicamente incrociati
e organizzati, consentono, poi, di ricostruire le abitudini, i gusti e le preferenze dei fornitoti
di informazioni, che si trasformano così in perfetti consumatori ai quali le aziende di marketing
possono offrire i prodotti e i servizi più appropriati. La c.d. profilazione consente, infatti, sia di
orientare la produzione, adattando il prodotto da commercializzare a una categoria individua-
ta di potenziali consumatori, sia di incentivare nuovi consumi, tramite la creazione di specifici
prodotti funzionali ai bisogni manifestati dai consumatori.45
Il risultato è la possibile ricostruzione, da parte di chiunque, delle abitudini, dei bisogni, della
propensione al consumo di determinati beni, delle opinioni, in breve, della personalità dell’in-
42 La raccolta dati, infatti, costituisce un fenomeno ormai diffuso, favorito dall’impiego di una tecnologia sempre più sofisticata e a buon mercato,
utilizzabile da qualsiasi soggetto privato nella sua attività lavorativa, e non solo appannaggio della pubblica autorità nel perseguimento di un
interesse collettivo. Per gli aspetti positivi delle banche date informatizzate, soprattutto in relazione all’aumentata efficienza, cfr. Ruggles , On the
needs and values of data banks, relazione al Symposium: computers, data banks and individual privacy, 211 in «Minnesota Law Review», 1969.
43 Anche le nozioni di archivio o banca dati vanno riferiti alla nozione di rete, alle tecnologie interattive, più che ai personal computer.
44 Riconosciuta la sterilità di una opposizione pregiudiziale all’utilizzazione e allo sviluppo di questo settore tecnologico (e quindi dell’enorme
accumulazione di dati come sottoprodotto dell’impiego degli elaboratori) l’intera questione è stata esaminata sotto il profilo «della nascita di un
nuovo potere, che offre non solo ai suoi immediati detentori ma all’intera collettività, possibilità d’azione prima sconosciute» in Rodotà S., Elaboratori
elettronici, strutture amministrative e garanzie della collettività in «Rivista Trimestrale di diritto pubblico», p. 844, 1971.
45 Cfr. Cirillo G. P (a cura di), Il codice sulla protezione dei dati personali, Giuffré editore, Milano, 2004, p. 1610-1611.

dividuo. Di conseguenza tra individui e informazioni, o, meglio, tra interessi dei singoli e
modalità di circolazione delle informazioni si va istituendo un nuovo rapporto. E si fa strada
la necessità di tutela del diritto all’autodeterminazione informativa46: il diritto di scelta delle
informazioni suscettibili di circolazione. A tale esigenza di tutela si dà concretezza mediante
l’utilizzo del concetto di privacy, il quale si arricchisce dei significati di protezione dei dati47 o
control of information about oneself48. La privacy è considerata «in termini di capacità del citta-
dino di gestire le informazioni su se stessi, e quindi controllare le proprie relazioni con altri
esseri umani, in modo tale che gli individui abbiano il diritto di decidere quando, come, e in
che misura le informazioni su di loro devono essere rese note agli altri»49.
Il controllo è quindi il filo conduttore della nuova tutela del diritto alla riservatezza, così come
si presenta a seguito dei pericoli rappresentati dalle innovazioni tecnologiche.50
La definizione della privacy quale control of information about oneself mette bene in evidenza la
novità rappresentata dall’attribuzione agli interessati di un autonomo potere di controllo, che
si sostanzia nella previsione di un diritto di accesso, secondo le disposizioni delle leggi sulla
protezione dei dati.51
Quest’ultimo è visto in una versione attiva e dinamica: non semplice diritto a essere informati,
ma come diritto ad accedere direttamente a determinate categorie di informazioni in mano
pubblica e privata.
Il pericolo di un’intrusione più profonda nella vita privata ha come naturale conseguenza
l’ampliamento delle situazioni giuridiche soggettive che il diritto alla riservatezza intende tu-
telare: un allargamento quantitativo e qualitativo delle situazioni concrete da porre al riparo
dalle intrusioni. In un primo tempo, la salvaguardia della sfera personale era sufficientemente
assicurata tramite l’imposizione ai terzi di un generale obbligo di astensione, di un divieto di
porre in essere comportamenti intrusivi che potessero penetrare la cortina di segretezza che
ciascuno ha diritto di mantenere circa la sua vita domestica, familiare, la sua corrispondenza.
46 Cfr. la Decisione della Corte costituzionale federale tedesca (Bundesverfassungsgericht) del 15 dicembre 1983.
47 «È consapevolmente avvertita l’importanza del recupero della privacy in seno al “rinnovato giusnaturalismo” giuridico che si manifesta e si
esprime nella continua creazione di nuovi diritti che dovrebbero rappresentare lo strumento di difesa del singolo contro gli attacchi cui è esposto da
parte della società consumistica» (Di Maio, Il diritto soggettivo nell’ideo logia dello stato sociale, in «Annuario bibl. fil. dir.», III, 1971, p. 297).
48 «Né il mutamento di segno è prerogativa della sola riservatezza. Altri diritti della personalità, quali il diritto all’identità personale ed il right of
pubblicity, hanno seguito e consolidato tale traiettoria: la vetusta avversione alla pubblicità, in caso di appropriazione della propria immagine a fini
reclamistici, ha ceduto il passo ad una più moderna e legittima ricostruzione in termini di avversione a non essere pagati per essa» (Pardolesi, nota
a Cass. 10 novembre 1979, n. 5790 in «Foro Italiano», 1980, I, 81).
49 «In terms of citizen’s ability to regulate information about themselves, and thus control their relationships with other human beings, such that
individuals have the right to decide when, how, and to what extent information about them is communicated to others». Cfr. Westin A. F., Privacy
and Freedom, in «Michigan Law Review», Vol. 66, No. 5, Mar., 1968.
50 «È anzi probabile che vada delineandosi una nuova era nella storia della privacy: l’odierna tecnologia ha reso, infatti, possibili physical data and
psycological surveillance atte a infrangere in punti vitali le barriere che ne garantivano l’inviolabilità». Cfr. diffusamente Westin, Science, privacy and
freedom: Issues and Proposals for the 1970’s, 66 Colum. L. Rev 1003 (1966).
51 Diritto alla protezione dei dati che opera come anello di congiunzione tra la sfera privata e la sfera pubblica. Il controllo sulla circolazione
delle informazioni viene cioè giuridicamente costruito come precondizione per l’esercizio degli altri diritti civili, sociali e politici (il pensiero va in
particolare agli artt. 21, 17-19, 35, 39 e 49, nonché ovviamente 14 e 15 Cost.) e quindi come elemento costitutivo della moderna cittadinanza.
La logica che ispira questa soluzione è piuttosto chiara: in assenza di adeguate garanzie circa le modalità di raccolta e utilizzazione dei dati personali,
nessuna persona può dirsi realmente libera di manifestare il proprio pensiero, le proprie attitudini, di rivendicare i propri diritti (si ponga mente al
significato storicamente assunto dall’art. 8 dello Statuto dei lavoratori), in breve di aprirsi alla comunicazione intersoggettiva. Cfr. Resta G., Il diritto
alla protezione dei dati personali, in Bellavista A., Sica S., Zeno Zencovich V., Commentario al codice della privacy, Cedam, Padova, 2004.
IL RUOLO DELLE INFORMAZIONI E IL NUOVO CONCETTO DI PRIVACY | 15

La visione fortemente individualistica come pretesa di separazione del singolo dalla collettività tra-
diva un approccio alla riservatezza di tipo proprietario, alla stregua di un qualsiasi bene che il
titolare aveva il diritto di godere in modo esclusivo, e che lo stesso poteva difendere utilizzan-
do la tutela repressiva e sanzionatoria approntata dall’ordinamento in caso di lesione.52
Il legame dominicale tra la persona e la sua sfera privata si è andato via via attenuando con
l’avvento della tecnologia dell’informazione. Il superamento della logica proprietaria53 si deve,
pertanto, al mutamento dell’aggressione arrecata alla sfera privata e alla conseguente tutela
invocata. Parallelamente si è avuto un progressivo ampliamento della nozione di sfera privata,
che comprende ormai situazioni e interessi prima esclusi dall’area della specifica protezione
giuridica, e si proietta ben al di là della pura identificazione di un soggetto e dei suoi compor-
tamenti riservati. Si può così definire la sfera privata come quell’insieme di azioni, compor-
tamenti, opinioni, preferenze, informazioni personali su cui l’individuo intende mantenere
un controllo esclusivo. L’interesse non è più teso alla conservazione di profili di segretezza,
quanto piuttosto al controllo quale possibile risposta alla massiccia diffusione di informazioni
veicolate dalle reti telematiche, immagazzinate dalle banche dati pubbliche o private.
Ora, le riflessioni sin qui svolte debbono cedere il passo, solo momentaneamente, alle regole
giuridiche poste a fondamento e protezione dei dati personali e delle informazioni segrete che
devono essere protette dall’ingerenza altrui.
1.4 Le fonti normative di rango internazionale e comunitario in materia

di privacy
A partire dalla seconda metà degli anni Ottanta gli organismi internazionali e comunitari han-
no preso coscienza delle problematiche connesse alla protezione dei dati personali emanando
una serie di atti, alcuni normativamente rilevanti, altri di mero indirizzo, fra i quali è necessa-
rio segnalare i seguenti:
•• Linee giuda dell’OCSE per la tutela della riservatezza e il flusso transfrontaliero dei dati,
adottate il 23 settembre 1980.54
•• Convenzione 18 settembre 1980, n. 108, del Consiglio d’Europa, per la protezione dell’in-
dividuo con riguardo al trattamento automatizzato dei dati, aperta alla firma il 18 gennaio
1981.55
•• Linee guida delle Nazioni Unite adottate dall’Assemblea Generale promosse dall’Alto
Commissariato per i diritti umani il 14 dicembre 1990, relative al trattamento computeriz-
zato dei dati personali.
52 Roppo E., Informatica, tutela della privacy e diritti di libertà, in «Giurisprudenza italiana», 1984, c. 168.
53 La matrice borghese della privacy nata sì nella società urbana contemporanea ma fiorita all’interno di determinate classi sociali che stavano in
quel momento costruendo la propria ideologia, come «estensione nella sfera non materiale dei principi della proprietà privata». Così Martinotti,
La difesa della privacy, parte prima, in «Politica del diritto», 1971, p. 762 e ss.
54 L’OCSE persegue la propria attività in questa materia avendo riguardo alle problematiche sottese all’uso sempre più penetrante delle nuove
tecnologie.
55 La Convenzione è stata ratificata e resa esecutiva dal Parlamento Italiano con L. n. 98/1981.

•• Raccomandazione n. R (95)4, del Comitato dei Ministri UE agli Stati membri, relativa alla
protezione dei dati a carattere personale nella gestione dei servizi di telecomunicazione,
con particolare riguardo ai servizi telefonici, adottata il 7 febbraio 1995.
•• Direttiva n. 95/46/CE del Parlamento Europeo e del Consiglio del 24 ottobre 1995, riguar-
dante la tutela delle persone fisiche relativamente al trattamento dei dati personali, nonché
alla libera circolazione degli stessi.56
•• Direttiva n. 97/66/CE del parlamento Europeo e del Consiglio del 15 dicembre 1997, ri-
guardante il trattamento dei dati a carattere personale e la protezione della vita privata nel
settore delle telecomunicazioni.57
•• Linee guida per la protezione dei dati personali sulle autostrade dell’informazione, adot-
tate il 23 febbraio 1999, con Raccomandazione n. R (99)5, dal Comitato dei Ministri UE agli
Stati membri.
•• Direttiva n. 2000/31/CE, del Parlamento Europeo e del Consiglio, del 8 giugno 2000, rela-
tiva a taluni aspetti giuridici dei servizi della società dell’informazione, in particolare il
commercio elettronico nel mercato interno.58
•• Carta dei Diritti Fondamentali dell’Unione Europea, proclamata il 7 dicembre 2000, che
all’art. 8 disciplina la protezione dei dati di carattere personale.
•• Direttiva n. 2002/58/CE, del Parlamento Europeo e del Consiglio, del 12 luglio 2002, relativa
al trattamento dei dati personali e alla tutela della vita privata nel settore delle comunica-
zioni elettroniche.
•• Regolamento (CE) n. 45/2001, del Parlamento Europeo e del Consiglio, del 18 dicembre
2000, relativo alla tutela delle persone fisiche in relazione al trattamento dei dati personali
da parte delle istituzioni e degli organismi comunitari, nonché alla libera circolazione dei
dati.59
•• Decisione della Commissione UE del 15 giugno 2001, relativa alle clausole contrattuali tipo
per il trasferimento dei dati a carattere personale verso paesi terzi a norma della Direttiva
n. 95/46/CE.
1.4.1 La Convenzione di Strasburgo del 1981 e la Direttiva 46/95/CE

Nel solco tracciato dalle legislazioni adottate nei Paesi della Comunità europea, il primo con-
tributo meritevole di esame è senz’altro la Convenzione adottata a Strasburgo il 28 gennaio 1981, n.
108, sulla protezione rispetto al trattamento automatizzato dei dati di carattere personale. Va
segnalato che la Convenzione di Strasburgo non è mai entrata in vigore in Italia, nonostante
l’emanazione di autorizzazione alla ratifica disposta con la Legge del 21 febbraio 1989 n. 98,
56 La Direttiva de qua è pubblicata in Gazzetta Ufficiale delle Comunità europee, L. 281, 23 novembre 1995.
57 Gazzetta Ufficiale delle Comunità europee, L. 24, 30 gennaio 1998.
58 Gazzetta Ufficiale delle Comunità europee, L. 178, 17 luglio 2000.
59 Gazzetta Ufficiale delle Comunità europee, L. 8/11, 12 gennaio 2000. Il Regolamento in questione istituisce il Garante europeo della protezione dei
dati, da intendersi quale autorità di controllo indipendente che sorveglia l’applicazione delle disposizioni del regolamento a tutti i trattamenti dei
dati personali.
LE FONTI NORMATIVE DI RANGO INTERNAZIONALE E COMUNITARIO IN MATERIA DI PRIVACY | 17

ed è invece stata approvata dagli altri Paesi dell’Unione. La Convenzione si muove nelle linee
generali del principio di correttezza ed esattezza nella raccolta dei dati, nonché della sicurezza
fisica e logica, e della pubblicità delle banche dati.
Altra produzione normativa degna di considerazione è senza dubbio la Direttiva 46/95/CE, il
cui obiettivo è la frantumazione degli ostacoli alla circolazione dei dati personali scaturente
dal diverso livello agli stessi assicurato dai singoli Stati membri, e la contestuale garanzia
di uniforme ed elevato grado di tutela nella Comunità. La direttiva bilancia la salvaguardia
dei diritti individuali e l’interesse alla circolazione dei dati statuendo, con formula positiva,
l’obbligo degli Stati membri di garantire la tutela dei diritti e delle libertà fondamentali delle
persone fisiche e particolarmente del diritto alla vita privata con riguardo al trattamento dei
dati personali; con formula negativa è espresso il divieto di restringere o vietare la libera cir-
colazione dei dati personali tra gli stessi Paesi, per motivi connessi a tale tutela (art.1). «Non
diritto assoluto alla vita privata, dunque, pena la paralisi dell’interesse sociale all’informazio-
ne, bensì ricerca di un equilibrio tra i due interessi contrapposti che passa attraverso la rego-
lamentazione dell’attività di raccolta di dati e la sua subordinazione a un principio di finalità
e trasparenza»60.
Il bilanciamento degli opposti interessi riposa sulla legittimità del trattamento alla luce della
finalità dichiarata e in concreto perseguita dal responsabile. Gli Stati membri, infatti, devono
precisare le condizioni ricorrendo le quali il trattamento dei dati personali può dirsi lecito
(art.5). La normativa dispone, inoltre, che i dati personali devono essere trattati lealmente e
lecitamente (art. 6, lett. a), adeguati, pertinenti e non eccedenti rispetto alle finalità per le quali
sono rilevati e, se necessario, aggiornati; conservati in modo da consentire l’identificazione
delle persone interessate per il tempo necessario al perseguimento delle finalità.
Il principio di finalità –– nella sua duplice veste di legittimità della rilevazione e conformità all’uso
dichiarato –– costituisce la pietra angolare dell’intero sistema, alla stregua del quale di volta in
volta andrà bilanciato l’interesse nella raccolta dei dati e il sacrificio imposto alla persona cui
esso si riferisce.
La minaccia della sfera privata risiede non nel contenuto dell’informazione, ma nell’uso che il
responsabile del trattamento intende farne e nella finalità realmente perseguita: scongiurare il
pericolo è possibile a patto che la raccolta e il trattamento muovano da scopi espliciti, determi-
nati e legittimi alla stregua dell’interesse generale (della pubblica amministrazione) ovvero di
quello particolare, perseguito dal responsabile.
Al principio di legittimità, che postula l’esistenza di uno scopo esplicito e legittimo, si affianca
il principio di conformità, inteso quale legame tra l’effettiva utilizzazione dei dati e la finalità
legittima dichiarata.
Il legislatore comunitario ha dunque cercato di disegnare un diritto alla vita privata in sintonia
con la tumultuosa circolazione di informazioni che la riguardano. Non si tratta di indebolire
60 Lipari N., Diritto Privato Europeo, Cedam, Padova, 1997.

la sfera privata bensì di ammettere un suo sacrificio nei casi in cui i dati siano raccolti o trattati
per scopi meritevoli di tutela.
La conferma di tale contemperamento, tra gli interessi contrapposti della privacy da un lato e
la legittima raccolta di dati personali dall’altra, è offerta dall’ulteriore requisito del consenso
della persona interessata al trattamento, e da una serie di diritti accessori (opposizione, acces-
so, rettifica, cancellazione dei dati).
Non previsto dalla Convenzione di Strasburgo e frutto di una lunga elaborazione, il consenso
diventa requisito essenziale per procedere al trattamento dei dati.
La Direttiva 46/95 deve molto, naturalmente, alle normative sui dati personali che l’hanno
preceduta.
L’ordinamento francese e quello tedesco, pur essendo stati tra i primi a creare una normativa in
materia di protezione dei dati, non sono stati altrettanto solleciti nell’adeguamento alla diretti-
va comunitaria. Questa ha invece trovato attuazione in Spagna, Portogallo, Gran Bretagna61 e
anche in Italia, con la Legge 31 dicembre 1996 n. 675.
1.4.2 La legge n. 675 del 1996

La L. 675/96 sulla Tutela delle persone e di altri soggetti rispetto al trattamento dei dati personali ha la
finalità di approntare un efficace sistema di controllo. L’art. 1 ne enuncia gli obiettivi: «Il tratta-
mento dei dati personali può essere svolto solamente entro i limiti del rispetto dei diritti, delle
libertà fondamentali, nonché della dignità delle persone fisiche, con particolare riferimento
alla riservatezza e all’identità personale».
L’art. 11 pone il previo consenso dell’interessato, espresso liberamente, in forma specifica e
documentata, come requisito necessario per il trattamento dei dati.
Secondo il dettato della legge, la raccolta, il trattamento, la comunicazione e il trasferimento
dei dati personali (sia delle persone fisiche che giuridiche, o di altri enti) sono liberi, ma devo-
no avvenire «in modo lecito e secondo correttezza». (art. 9, 1comma).
I dati, inoltre, dovranno essere esatti e, se necessario, aggiornati, pertinenti, completi e non
eccedenti rispetto alle finalità per le quali sono raccolti. Colui che fornisce i dati ha diritto di
conoscere l’uso che ne verrà fatto, l’identità del titolare della banca dati, di ottenere la rettifica,
la cancellazione, l’aggiornamento e l’integrazione dei dati che lo riguardano.
La legge presenta, naturalmente, le medesime caratteristiche della direttiva comunitaria del
1995, alla cui attuazione è destinata. Il trattamento dei dati personali è, però subordinato al
consenso scritto dell’interessato e anche all’autorizzazione preventiva del Garante, fanno ecce-
61 Nonostante la legge italiana n. 675/96 e il Data Protection Act inglese del 1998 siano entrambi rivolti a dare attuazione interna alla Direttiva
comunitaria 95/46, presentano diversità nella disciplina della materia. Innanzitutto la legge inglese si applica solo ai dati personali delle persone
fisiche, mentre la legge italiana si applica anche alle persone giuridiche e ogni altro ente o associazione. Il consenso dell’interessato, inoltre, sembra
perdere incisività poiché è previsto nell’allegato e non nel corpo della legge. Il Data Protection Act prevede l’Information Commissioner e il Data Protection
Tribunal quali autorità preposte alla tutela dei dati. L’Information Commissioner sostituisce, dal 30 gennaio 2001, il Data Protection Commissioner. La
nuova denominazione riflette il ruolo di garante della libertà di informazione assunto dal Commissioner.
LE FONTI NORMATIVE DI RANGO INTERNAZIONALE E COMUNITARIO IN MATERIA DI PRIVACY | 19

zione il caso di dati personali inerenti alla salute (per i quali non è necessaria l’autorizzazione
del Garante) e il caso di dati raccolti nell’esercizio della professione di giornalista (per i quali
non è richiesto né il consenso, né l’autorizzazione del Garante). L’elemento di innovazione sta
nella comunicazione al Garante, organo preposto alla tutela dei dati personali e dotato di po-
teri di natura amministrativa.
Nel tentativo, dunque, di contemperare gli interessi alla privacy e alla circolazione delle infor-
mazioni, il legislatore comunitario (e quello interno, di conseguenza) si serve del requisito del
consenso, con i suoi poteri accessori. Tale requisito rimane e, anzi, si arricchisce nelle successi-
ve legislazioni sulla protezione dei dati.
1.4.3 La direttiva 2002/58 CE

Consenso e informazione diventano il baluardo difensivo del diritto all’autodeterminazione
informativa, che, come abbiamo visto, ora rappresenta uno degli aspetti salienti del diritto alla
privacy. Il consenso informato è il criterio scelto dalla Direttiva 2002/58 per disciplinare il trat-
tamento dei dati personali e controllare l’invio di posta elettronica indesiderata.
La Direttiva 2002/58/CE, relativa al trattamento dei dati personali e alla tutela della vita priva-
ta nel settore delle comunicazioni elettroniche, in uno dei suoi Considerando, fa innanzitutto
esplicito riferimento ai pericoli che i servizi di comunicazione elettronica rappresentano per la
protezione dei dati personali, e si pone l’obiettivo di «armonizzare le discipline legislative, re-
golamentari e tecniche adottate dagli Stati membri in materia di tutela dei dati personali, della
vita privata nonché del legittimo interesse delle persone giuridiche nel settore delle comuni-
cazioni elettroniche, affinché non sorgano ostacoli nel mercato interno delle comunicazioni
elettroniche»62. Occorre prevedere misure per tutelare gli abbonati da interferenze nella loro
vita privata mediante comunicazioni indesiderate a scopo di commercializzazione diretta, in
particolare mediante dispositivi automatici. Tali forme di comunicazioni commerciali indesi-
derate possono essere da un lato facili ed economiche da inviare e dall’altro imporre un onere
e/o un costo al destinatario. Inoltre, in taluni casi il loro volume può causare difficoltà per le
reti di comunicazione elettronica e le apparecchiature terminali.63 Per ovviare a tali difficoltà,
la Direttiva 58 del 2002 disciplina il trattamento dei dati personali connesso alla fornitura di
servizi di comunicazione elettronica accessibili al pubblico (art.3), la riservatezza delle comu-
nicazioni (art. 5), i dati sul traffico (art. 6), e le comunicazioni indesiderate (art. 13).
L’Italia si è adeguata alla normativa comunitaria con il Decreto Legislativo 30 giugno 2003, n.
196 (Codice in materia di protezione dei dati personali).64
1.5 Il Codice della privacy

Il Decreto Legislativo 30 giugno 2003, n. 196, raccoglie in unico codice le disposizioni in mate-
62 Art. 8, Direttiva 2002/58/CE.
63 Considerando n. 40 della Direttiva.
64 Come abbiamo visto l’Italia, così come la Gran Bretagna, già disponeva di un impianto legislativo adeguato.

ria di trattamento dei dati personali, norme che sono entrate in vigore nel gennaio del 2004.
Il Codice in materia di dati personali oltre a riordinare la materia, pone un freno al dilagante
incedere delle norme che si sono succedute nella materia in esame e, al tempo stesso, nel sem-
plificare le disposizioni più complesse introduce alcune importanti novità.
Il provvedimento è come noto diviso in tre parti: nella prima sezione vengono dettate le regole
generali; la seconda è dedicata alle diverse tipologie di trattamento; la terza, infine, oltre alla
chiave di accesso per chiamare in causa il Garante o il giudice ordinario, indica le sanzioni
comminate ai trasgressori.
Molte, si diceva, le novità contenute nel Codice: dall’enunciazione, finalmente resa esplicita,
del principio secondo cui chiunque ha diritto alla protezione dei propri dati personali alla possi-
bilità di oscurare i nomi nelle sentenze; dalla maggiore riservatezza nelle ricette e prescrizioni
mediche alla necessità del consenso preventivo per ogni tipo di comunicazione commerciale.
Il pregio del Decreto Legislativo n. 196/03 risiede nell’aver ricondotto in unico codice una serie
di disposizioni di varia natura e portata sulla riservatezza.
Viene poi introdotto il principio di necessità del trattamento dei dati (ex art. 3 del Codice), vol-
to a ridurre al minimo l’utilizzazione dei dati personali prevedendo che i sistemi informatici e
i software siano configurati solo per il conseguimento delle finalità consentite escludendo, per-
tanto, il trattamento ogni qualvolta persegua dette finalità attraverso l’utilizzo di dati anonimi
o di modalità tali da consentire l’identificazione solo nel momento di necessità.65
Il Codice prevede una serie di finalità volte alla tutela e alla garanzia dei dati nel rispetto dei
diritti e delle libertà fondamentali nonché della dignità dell’individuo con particolare rife-
rimento al diritto alla riservatezza, all’identità personale e al diritto alla protezione dei dati
personali (art. 2, comma 1).
Con riferimento alle definizioni, queste sono state inserite in unico articolo (art. 4) al fine di
facilitare la comprensione dell’intero testo.
La seconda è dedicata alla regolamentazione di specifici settori: trattasi dei trattamenti in am-
bito giudiziario, dei trattamenti da parte delle Forze di Polizia e da parte degli organismi
addetti alla Difesa e sicurezza dello Stato; il Codice introduce ex novo la loro disciplina poiché
precedentemente non erano stati disciplinati in forma specifica.
Per quanto concerne il settore delle telecomunicazioni il Codice, nel dare attuazione alla Di-
rettiva 2002/58/CE relativa al trattamento dei dati personali e alla tutela della vita privata nel
settore delle comunicazioni elettroniche, ha introdotto novità di notevole interesse: la conser-
vazione dei dati relativi al traffico che per fini civilistici e fiscali non può essere superiore a
sei mesi, mentre per fini di accertamento e repressione dei reati il termine massimo per i dati
relativi al traffico telefonico, inclusi quelli relativi alle chiamate senza risposta, è di quarantotto
65 Il principio di cui all’articolo 3 del Codice sembra completare e ampliare il principio di pertinenza previsto dalla Legge n. 675/96, all’articolo 9,
secondo il quale i dati personali oggetto di trattamento devono essere pertinenti, completi e non eccedenti rispetto alle finalità per le quali sono
raccolti o successivamente trattati.
IL CODICE DELLA PRIVACY | 21

mesi; per i dati relativi al traffico telematico, invece, esclusi comunque i contenuti delle comu-
nicazioni, è di dodici mesi (articolo 132).
Infine, la terza ed ultima parte del Codice è dedicata alla tutela dell’interessato. Tutela quest’ul-
tima che può essere sia amministrativa che giurisdizionale; vi sono tre forme di tutela esperibi-
li innanzi al Garante: il reclamo circostanziato con cui si denuncia la violazione della disciplina
rilevante (ovvero tutto l’insieme di norme contenute nel testo del Codice e in tutti i codici
deontologici di settore di cui è stata prescritta l’adozione) in materia di trattamento dei dati
personali; la segnalazione a mezzo della quale nel caso non sia possibile presentare un recla-
mo, s’intende ugualmente sollecitare un controllo da parte del Garante; il ricorso con il quale
si rivendicano specifici diritti dell’interessato eventualmente violati (articolo 141).
La disciplina prevista dal Codice in materia di privacy sembra costituire la parte finale del
percorso iniziato con il riconoscimento del semplice diritto alla riservatezza e che si conclude
collocando la privacy tra gli strumenti di tutela della personalità.66 Il passaggio intermedio
vede il diritto alla riservatezza legato al diritto di proprietà, così come delineato nella Direttiva
n.95/46. Uno dei principali obiettivi di questa Direttiva era proprio quello di agevolare la cir-
colazione delle informazioni in quanto beni produttivi di utilità economiche. Essa configura
una lettura prettamente proprietaria del diritto alla protezione dei dati personali. Questa in-
terpretazione non sembra più adeguata, in quanto non riuscirebbe a spiegare numerose regole
dettate dal Codice della privacy.67
L’abbandono della tutela di tipo proprietario non va vista come una resa di fronte al pervasivo
potere costituito dalla tecnologia dell’informazione, bensì quale possibile bilanciamento tra il
valore economico rappresentato dall’informazione in qualità di bene, così da consentirne la
più efficiente circolazione, e la pretesa del singolo individuo a poter seguire, controllare il dato
o i dati aggregati, a esso riferibili, in modo da prevenirne usi discriminatori o altrimenti nocivi
alla sua personalità.
Ed è su tale, più avanzata frontiera del diritto della personalità che si gioca la partita con le
tecnologie dell’informazione e dell’informatica. Il diritto alla privacy è così inteso quale figura
nuova di diritto della personalità68, consistente nella tutela dell’interesse a che i dati personali
di un soggetto non vengano utilizzati senza il consenso di questo, se non per il soddisfaci-
mento di altro interesse meritevole di tutela quanto meno equivalente.69 È vero, dunque, che il
66 Cfr. Mirabelli G., Le posizioni soggettive nell’elaborazione elettronica dei dati personali in «Diritto dell’informazione e dell’informatica», 1993.
67 Resta G., Il diritto alla protezione dei dati personali, in Bellavista A., Sica S., Zencovich V. Z (a cura di) Commentario al codice della privacy, Padova,
2004.
68 Il diritto così delineato assume il carattere di diritto fondamentale. Non è un caso, infatti, che in molte Costituzioni europee di ultima generazione,
le quali rappresentano un osservatorio privilegiato per la ricostruzione dei nuovi diritti dell’età tecnologica, siano state introdotte precise garanzie
in ordine alla tutela degli individui rispetto all’utilizzazione dei propri dati personali. Si possono menzionare, ad esempio, la Costituzione svizzera
del 1999, o la coeva Costituzione finlandese.
69 «Il diritto alla protezione dei dati personali dovrebbe essere inteso non già come un autonomo diritto su bene immateriale, bensì come un nuovo
diritto della personalità, ovvero, accedendo alla tesi monastica, come una specifica concretizzazione del diritto generale della personalità». Cfr.
Resta G., Il diritto alla protezione dei dati personali, in Bellavista A., Sica S., Zencovich V. Z (a cura di) Commentario al codice della privacy, Padova, 2004.
A questa tesi sembra aderire anche la Corte di Cassazione: cfr., Cass. civ., 9 giugno 1998, n. 5658, in «Danno e responsabilità», 1998, 865, con nota di
Orestano.

responsabile del trattamento non ha il potere esclusivo di disporre dei dati personali elaborati;
in capo alla persona interessata dal trattamento tuttavia residua il non sempre facile compito
di vigilare, attivando i nuovi e molteplici strumenti a sua disposizione per il rispetto della
propria personalità.
«Garantiti in talune posizioni fondamentali, individui e gruppi devono poi essere dotati degli
strumenti che consentano loro di farle valere dinamicamente. Questa è la via perché la prote-
zione dei dati non si risolva in un mero impoverimento dei flussi di informazione, in un taglio
della comunicazione sociale, ma consenta trasparenza dei processi di decisione, controllabilità
diffusa dei detentori del potere, possibilità di far nascere nuove identità collettive»70.
1.5.1 La protezione dei dati e lo sviluppo tecnologico nel Regolamento Euro-

peo 679 del 2016
Il recente Regolamento europeo 679 del 2016 prendere atto delle nuove sfide per la protezione
dei dati che l’evoluzione tecnologica e la globalizzazione comportano, oltre a considerate che la
portata della condivisione e della raccolta di dati personali è aumentata in modo significativo.
Pertanto, il legislatore europeo sottolinea come tale evoluzione tecnologica richieda un quadro
normativo più solido e coerente in materia di protezione dei dati nell’Unione il quale, affian-
cato da efficaci misure di attuazione, contribuisce a creare il clima di fiducia necessario per lo
sviluppo dell’economia digitale in tutto il mercato interno. È opportuno quindi che le persone
fisiche abbiano il controllo dei dati personali che li riguardano.
È dunque evidente che il filo conduttore del controllo resta la disciplina di riferimento per la
protezione dei dati anche in materia di comunicazioni online.
Tra gli aspetti più significativi del recente intervento, vi è una definizione di dato personale
arricchito dall’introduzione di un identificativo online. Pertanto la normativa definisce il dato
personale come «qualsiasi informazione riguardante una persona fisica identificata o identi-
ficabile (interessato); si considera identificabile la persona fisica che può essere identificata,
direttamente o indirettamente, con particolare riferimento a un identificativo come il nome,
un numero di identificazione, dati relativi all’ubicazione, un identificativo online o a uno o
più elementi caratteristici della sua identità fisica, fisiologica, genetica, psichica, economica,
culturale o sociale» (art. 1).
I principi di liceità, correttezza e trasparenza sono ancora alla base della normativa in materia
di trattamento (art. 5 del Regolamento), così come la necessità del consenso.
La circostanza fattuale per cui i minori sono parte integrante e attiva della società dell’infor-
mazione induce il legislatore europeo a precisare all’art. 8 che «per quanto riguarda l’offerta
diretta di servizi della società dell’informazione ai minori, il trattamento di dati personali del
minore è lecito ove il minore abbia almeno 16 anni. Ove il minore abbia un’età inferiore ai 16
70 Rodotà. S., Tecnologie e diritti, Il Mulino, Bologna, 1995.
IL CODICE DELLA PRIVACY | 23

anni, tale trattamento è lecito soltanto se e nella misura in cui tale consenso è prestato o auto-
rizzato dal titolare della responsabilità genitoriale. Gli Stati membri possono stabilire per legge
un’età inferiore a tali fini purché non inferiore ai 13 anni».
Maggiormente controverso, soprattutto per l’importanza che assume nelle applicazioni prati-
che della società dell’informazione, è il diritto all’oblio specificamente previsto dall’art.17 del
Regolamento, e a cui si dedicherà pertanto un successivo approfondimento.

2. LE MISURE DI SICUREZZA INFORMATICA
2.1 Le misure di sicurezza in Internet: profili generali

Il tema della sicurezza informatica si intreccia indissolubilmente con il problema della pri-
vacy, laddove si guardi alle nuove frontiere digitali nella tutela dei dati relativi alle nostre
informazioni (genetiche, personali, finanziarie, ecc..). Esso, inoltre, interessa tutte le attività
economico-professionali che usufruiscono di mezzi informatici o telematici. Appare, pertanto,
opportuno porre l’attenzione sullo studio della sicurezza informatica e dei suoi profili tecnici.
A tal proposito, è il caso di ricordare la Comunicazione Sicurezza delle reti e sicurezza dell’infor-
mazione: proposta di un approccio strategico europeo del 6/6/2001, con cui la Commissione euro-
pea individua e fissa alcuni concetti e linee guida di indubbia importanza. La Comunicazione
definisce la «Rete» come il «sistema in grado di conservare, elaborare e veicolare i dati». Le
reti si compongono di elementi trasmissivi (cablaggio, collegamenti senza filo, satelliti, router,
gateway, commutatori, ecc.) e di servizi di supporto (sistema dei nomi di dominio, DNS con
relativo route server, servizio di identificazione della linea chiamate, servizi di autenticazio-
ne, ecc.). Le reti sono collegate a diversi applicativi (sistemi di consegna di posta elettronica,
browser, ecc.) e apparati terminali (apparecchio telefonico, computer host, PC, telefono mobi-
le, palmare, elettrodomestici, macchinari industriali, ecc.). In seguito, la Comunicazione della
Commissione europea analizza i requisiti che una rete deve avere per rispondere ai requisiti
di sicurezza, e cioè disponibilità, autenticazione, integrità, riservatezza.
1. La disponibilità attiene alla capacità del sistema informatico di rendere sempre disponibili i
dati a coloro che hanno titolo per trattarli. La disponibilità inoltre riduce il rischio di cancellare
o modificare i dati da parte di soggetti non autorizzati.
2. L’autenticazione consente al sistema informatico di riconoscere il soggetto autorizzato a trat-
tare un determinato dato, tramite una procedura di autenticazione che abbia il fine di realiz-
zare l’identificazione del soggetto. I mezzi di autenticazione più diffusi si basano sulle c.d.
password di accesso o di modifica dei dati. Si tratta tuttavia di un sistema piuttosto debole e
non così efficace, a meno che le password non vengano scelte non conformandosi ad appo-
site procedure di sicurezza. Al posto delle password, il Legislatore intende diffondere altri
sistemi di autenticazione, come i c.d. sistemi biometrici71 o le c.d. smart card72.
3. L’integrità si riferisce, invece, alla fungibilità del dato. Infatti, un sistema informatico sicuro
deve garantire la disponibilità del dato (in forma integra), e la riduzione del rischio di can-
cellazione o modifica del dato.
4. La riservatezza postula che il dato deve reso accessibile solo ed esclusivamente a chi è autoriz-
zato a fruirne. Non si potrà, infatti, considerare “sicura” una rete informatica o telematica
che consenta a persone non munite di autorizzazione di visualizzare o manipolare dati, al pari di
71 Trattasi di sistemi basati sulla rilevazione di dati attinenti i profili anatomici dell’utente e come tali difficilmente modificabili ovvero alterabili.
Vedasi, su tutti, l’impronta digitale o la mappatura della retina.
72 Le smart card sono tessere di materiale plastico simili in tutto ad una carta di credito, che sono dotate di un microprocessore in grado di
immagazzinare anche quantità non rilevanti di dati in forma cifrata.
LE MISURE DI SICUREZZA IN INTERNET:PROFILI GENERALI | 25

una rete che consenta agli utenti, pur correttamente identificati, di superare le limitazioni
imposte al loro profilo dai proprietari o dall’amministratore del sistema e, quindi, di visua-
lizzare dati non di loro pertinenza.
La scienza dell’information security è andata oltre i requisiti prescritti dalla Comunicazione
della Commissione europea, tanto da individuare altri obiettivi da raggiungere in materia di
sicurezza: la verificabilità e la reattività.
5. Per verificabilità si intende la capacità da attribuirsi al responsabile del sistema informa-
tico di riconoscere e collocare anche temporalmente i trattamenti avviati sui dati e di accertare, al
tempo stesso, le relative eventuali responsabilità.
6. La reattività inerisce alla capacità del sistema di rispondere ad atti o fatti potenzialmente lesivi
e dannosi.
È, tuttavia, doveroso chiarire che la nozione di misure di sicurezza informatica non coincide
direttamente con la sfera garantita della riservatezza. Infatti, le norme in materia di sicurezza
servono a stabilire l’oggetto (ovvero uno dei possibili oggetti) della protezione da parte dei
sistemi di sicurezza; in altri termini, i sistemi di sicurezza non sono forme di garanzia della pri-
vacy se non in termini indiretti. La garanzia della riservatezza è data proprio dalle norme che
in tema di riservatezza stabiliscono quali siano i limiti del “segreto” e, prim’ancora, sanciscono
cosa debba considerarsi come “segreto” e cosa, al contrario, non lo è. All’esito dell’identifica-
zione di ciò che è “riservato”, e dell’ambito in cui questo si colloca, hanno ingresso le misure di
sicurezza che hanno la funzione di mantenere il “segreto” tale.
Le misure di sicurezza, infine, riguardano anche sfere di dati e informazioni non del tutto
appartenenti all’alveo della riservatezza: si pensi ai Codici crittografati in cui si estrinseca la
firma digitale, i quali debbono essere protetti da idonee misure di sicurezza. Appare chiaro
che il rapporto tra codice crittografato e gli estremi del soggetto cui questo appartiene (nome,
cognome, indirizzo) non rientrano nel concetto di riservatezza come sopra descritto, cioè non
costituiscono un “segreto” dal punto di vista della riservatezza. Tuttavia i relativi dati del
privato debbono essere protetti in relazione ai danni che al soggetto possono derivare da un
illecito trattamento.
2.2 Le misure di sicurezza nel Regolamento UE n. 679/2016

L’obbligo all’adozione delle misure di sicurezza è una condizione essenziale per la protezione dei
dati. La sicurezza informatica, e quindi la protezione dei dati e la riservatezza, interessa ormai
tutte le attività che usufruiscono di mezzi informatici o telematici. L’importanza di questo
tema è dimostrata dall’ambito di applicabilità delle misure di sicurezza. Il Legislatore ha infatti
esteso tali misure al trattamento dei dati in settori specifici, come ad esempio, in ambito giudi-
ziario, sanitario, dalle forze di polizia, per la difesa e sicurezza dello Stato, dalle banche e dalle
università. A tal fine il titolare dei dati deve assumere su di sé l’obbligo di adottare delle misure
di sicurezza ai fini del miglior controllo e della maggior custodia dei dati, tenendo conto del
LE MISURE DI SICUREZZA INFORMATICA | 26

progresso tecnico, della natura dei dati e delle specifiche caratteristiche del trattamento.
A seguito dell’abrogazione dell’Allegato B del D. Lgs n. 196/03 (codice della privacy) il ri-
ferimento normativo in materia di misure di sicurezza informatica è Regolamento (UE) n.
679/2016 (Regolamento generale sulla protezione dei dati o GDPR) entrato in vigore il 25 maggio
2018. Una delle novità più significative del Regolamento è il principio di responsabilizzazio-
ne (accountability), che attribuisce ai titolari del trattamento il compito di assicurare, ed essere in
grado di comprovare, il rispetto dei principi applicabili al trattamento dei dati personali. Questo prin-
cipio trova la sua disciplina nel Considerando n. 74 del Regolamento stesso, in cui si afferma
che «è opportuno stabilire la responsabilità generale del titolare del trattamento per qualsiasi
trattamento di dati personali che quest’ultimo abbia effettuato direttamente o che altri abbiano
effettuato per suo conto». In particolare, il titolare del trattamento dovrebbe essere tenuto a mettere
in atto misure adeguate ed efficaci ed essere in grado di dimostrare la conformità delle attività di tratta-
mento con il Regolamento, compresa l’efficacia delle misure.
Il principio di responsabilizzazione introduce importanti innovazioni nei sistemi di gestione
dei dati, con il passaggio da un approccio formale di tutela dei dati, a un approccio sostanziale,
connesso quindi con le misure di sicurezza, con l’analisi del rischio, e con la valutazione di
impatto privacy. In tal senso, il par. 2 dell’art. 5 del Reg. (UE) 679/2016 introduce il principio di
responsabilizzazione. Esso infatti sancisce che il titolare del trattamento è competente per il rispetto
del trattamento dei dati personali e in grado di comprovarlo73.
Il Regolamento, dunque, assegna ai titolari del trattamento l’obbligo di autovalutazione in re-
lazione al trattamento, al tipo dei dati personali trattati, ai rischi derivanti da tale trattamento,
e all’adeguatezza delle misure tecniche e organizzative predisposte affinché il trattamento sia
conforme al Regolamento.
2.3 Privacy by design

Il principio di responsabilizzazione trova ulteriore espressione nelle esigenze di protezione
dei dati «fin dalla progettazione» (il cosiddetto privacy by design). Il primo paragrafo dell’art.
25 del Regolamento 679/2016 sancisce che «il titolare del trattamento [dei dati] mette in atto
misure tecniche e organizzative adeguate, quali la pseudonimizzazione volte ad attuare in
modo efficace i principi di protezione dei dati […]». Questa protezione deve riguardare non
73 Par. 1, art. 5. Reg. (UE) 679/2916, art. 5 (Principi applicabili al trattamento dei dati personali):
I dati personali sono:
• trattati in modo lecito, corretto e trasparente nei confronti dell’interessato;
• raccolti per finalità determinate (esplicite e implicite) e trattati in modo compatibile con queste finalità;
• adeguati, pertinenti e limitati a quanto necessario rispetto alle finalità per le quali sono trattati;
• esatti e, se necessario, aggiornati;
• conservati in una forma che consenta l’identificazione degli interessati per un arco di tempo non superiore al conseguimento delle finalità per
le quali sono trattati;
• trattati in maniera da garantire un’adeguata sicurezza dei dati personali, compresa la protezione da trattamenti non autorizzati o illeciti e dalla
perdita, dalla distruzione o dal danno accidentali.
PRIVACY BY DESIGN | 27
solo la fase dell’esecuzione del trattamento, ma anche quella precedente, ovvero il momento
della progettazione del trattamento.
Con pseudonimizzazione si intende una metodologia finalizzata ad “allontanare” il dato dalla perso-
na a cui si riferisce. A seguito della pseudonomizzazione, dunque, diviene complicato riferire
nuovamente quel dato alla persona cui appartiene. Contestualmente, il legame tra il dato e la
persona deve essere mantenuto. La pseudonomizzazione è ottenuta mediante la crittografia o
la cifratura dei dati. La crittografia è una tecnica di rappresentazione di un messaggio in forma
tale che l’informazione non sia intellegibile a un qualunque osservatore esterno e possa al contrario
essere compresa esclusivamente dal destinatario del messaggio stesso.
Il Regolamento europeo si occupa della pseudonomizzazione anche in riferimento alla sicurez-
za del trattamento, di cui all’art. 32:
«Tenendo conto dello stato dell’arte e dei costi di attuazione, nonché della natura, dell’oggetto, del contesto
e delle finalità del trattamento, come anche del rischio di varia probabilità e gravità per i diritti e le libertà
delle persone fisiche, il titolare del trattamento e il responsabile del trattamento mettono in atto misure tec-
niche e organizzative adeguate per garantire un livello di sicurezza adeguato al rischio, che comprendono,
tra le altre, se del caso:
a. la pseudonimizzazione e cifratura dei dati personali;
b. la capacità di assicurare su base permanente la riservatezza, l’integrità, la disponibilità e la resilienza
dei sistemi e dei servizi di trattamento;
c. la capacità di ripristinare tempestivamente la disponibilità e l’accesso dei dati personali in caso di
incidente fisico o tecnico;
d. una procedura per testare, verificare e valutare regolarmente l’efficacia delle misure tecniche e orga-
nizzative al fine di garantire la sicurezza del trattamento».
2.4 Privacy by default

Il principio di responsabilizzazione trova espressione nella protezione dei dati «per impo-
stazione predefinita» (privacy by default). Il secondo paragrafo dell’art. 25 del Regolamento
prevede che «il titolare del trattamento mette in atto misure tecniche e organizzative adeguate
per garantire che siano trattati, per impostazione predefinita, solo i dati personali necessari
per ogni specifica finalità del trattamento». In particolare, queste misure garantiscono che,
per impostazione predefinita (by default, appunto), non siano resi accessibili dati personali a un
numero indefinito di persone senza l’intervento della persona fisica. In altre parole, per impostazione
predefinita, le imprese devono trattare esclusivamente i dati personali in misura necessaria e sufficiente
al raggiungimento dei propri scopi e per il periodo necessario a tale attività. La protezione di default
riguarda la quantità dei dati raccolti, l’estensione del trattamento, il periodo di conservazione
e l’accessibilità.
Le impostazioni di privacy by default garantiscono che l’utilizzo dei dati avvenga nei modi
stabiliti dal sistema — dunque in automatico. In via residuale, è tuttavia previsto che l’utente
possa modificare queste impostazioni. Il Regolamento 679/2016 non prevede esplicitamente

il concetto di privacy by default. In linea generale, la privacy by default esclude la possibilità
di raccogliere dati (o alcuni tipi di dato) già in origine. È quindi un metodo di creazione dei
sistemi informatici; il legislatore europeo tuttavia non indica esplicitamente come realizzare
questi sistemi, né tantomeno ci sono prassi consolidate.
2.5 Valutazione d’impatto sulla protezione dei dati

L’art. 35 del Regolamento (UE) n. 679/2016 prescrive che i titolari del trattamento dei dati deb-
bano procedere alla valutazione dell’impatto del trattamento. Il Privacy Impact Assessment
(PIA) è una vera e propria analisi di rischio connessa all’utilizzo dei dati, effettuata su elementi
concreti. Nel Documento di valutazione d’impatto nel trattamento dei dati vanno presi in conside-
razione i dati che verranno trattati, i rischi concreti che derivano dall’utilizzo di tali dati e quali
cautele possono essere messe in atto per prevenire e risolvere queste criticità.
Il Regolamento, inoltre, prescrive la valutazione d’impatto nei casi di trattamento automatizzato
dei dati (compresa la profilazione), da cui discendono decisioni che hanno effetti giuridici o
incidono allo stesso modo sulla persone.
Infine, anche per quanto attiene al trasferimento dei dati al di fuori dei confini europei, l’art.
43 pone alcuni vincoli, e statuisce che l’interessato deve poter esercitare tutti i diritti che il
regolamento gli riconosce anche nel caso in cui i trattamenti avvengano oltre i confini comu-
nitari. L’oggetto di tale valutazione è l’impatto sulla protezione della privacy di soluzioni tec-
nico-organizzative adottate in relazione sia a macro-processi sia a singole aree di produzione
o micro-processi.
L’art. 35 del Regolamento al punto 3 prevede, in proposito, delle ipotesi specifiche. La valu-
tazione d’impatto sulla protezione dei dati è richiesta nel caso della profilazione, o quando il
trattamento avviene su larga scala e riguarda dati particolari, che riguardano le condizioni di
salute (quelli che venivano definiti nel codice della privacy i dati sensibili nelle ipotesi di sor-
veglianza su larga scala di zone accessibili al pubblico).
Spetta all’autorità di controllo (il Garante per la protezione dei dati) il compito di redige e ren-
dere pubblico un elenco delle tipologie di trattamenti soggetti al requisito di una valutazione
d’impatto sulla protezione dei dati.
Le valutazioni d’impatto devono essere antecedenti rispetto allo sviluppo di prodotto, servizio
o processo e della sua definizione. Sono, inoltre, obbligatori i controlli periodici sull’adegua-
tezza ed effettività delle misure predisposte. La valutazione d’impatto deve contenere:
•• una descrizione dei trattamenti previsti e delle finalità del trattamento;
•• una valutazione della necessità e proporzionalità dei trattamenti in relazione alle finalità;
•• una valutazione per i rischi per i diritti e le libertà degli interessati e le misure previste per
affrontare i rischi.
Per quel che concerne l’adeguatezza delle misure di protezione, l’obbligatorietà della adozione
VALUTAZIONE D’IMPATTO SULLA PROTEZIONE DEI DATI | 29

riguarda anche la progettazione (cd. “privacy by design”) con impostazioni di privacy prede-
finite chiuse (cd. “privacy by default”) in maniera che siano oggetto di trattamento solo i dati
personali necessari per ogni finalità e non siano invece accessibili se non ad un numero di per-
sone definito (si veda sul punto considerando 78 e art. 25, Reg. UE n. 2016/679).
In linea generale, sono pertanto aggravati gli adempimenti per gli enti, sia pubblici sia privati,
che svolgono quale attività primaria i trattamenti con monitoraggio regolare e sistematico de-
gli interessati con tecnologie innovative in grado di realizzare profilazioni.
Ulteriori adempimenti sono poi assegnati al Titolare e al Responsabile del Trattamento, i quali
devono tenere dei registri nei quali siano documentati gli adempimenti e le procedure attinen-
ti ad ogni trattamento. L’art. 32 del Regolamento UE precisa che le misure di sicurezza devono
garantire un livello di sicurezza adeguato al rischio del trattamento.
2.6 Le violazioni delle misure di sicurezza informatica: profili di

responsabilità
I dati, sin dalla loro prima raccolta e fino alla loro archiviazione o eventuale distruzione, sono
sottoposti a molteplici operazioni di trattamento. Orbene, i processi di acquisizione e di trat-
tamento, se non sono adeguatamente controllati, consentono la conoscenza dei dati anche a
persone diverse da quelle autorizzate e, per di più, consentono operazioni di trattamento con
finalità diverse da quelle che ne avevano consentito la raccolta e spesso tali finalità diverse
sono anche illecite. Le ipotesi concrete di violazione della privacy sono le seguenti: distruzione;
perdita (anche accidentale) dei dati; accesso ai dati non autorizzato; trattamento non consen-
tito o non conforme alle finalità di raccolta. Si possono individuare due ipotesi principali di
trattamento non consentito:
a. coloro che raccolgono, trattano e conservano informazioni “improprie” intendendo per tali
le informazioni provenienti da un soggetto non consenziente e che, pertanto, sono sottopo-
ste a trattamenti non consentiti;
b. coloro che raccolgono, trattano e conservano informazioni “proprie” ma che per difetto o
mal funzionamento del sistema informatico di protezione divengono liberamente accessi-
bili da chiunque o, addirittura, di pubblico dominio. In questo modo si pone, di certo, in
essere una condotta finalizzata alla violazione della garanzia della riservatezza ed il mezzo
attraverso cui ciò avviene non è la violazione in materia di privacy, ma la violazione delle
regole in materia di sicurezza.
Di qui risulta chiaro ed evidente che i due profili appena esaminati presentino aspetti comuni
e siano in qualche modo intrecciati, ma sono pur sempre due profili diversi.
I soggetti interessati, infatti, possono subire gravi lesioni sia a causa dell’inosservanza degli
adempimenti che il Codice privacy e il Regolamento Europeo impongono ai titolari del tratta-
mento, sia per effetto, come già detto, di accessi alle informazioni non autorizzati o, ancora, per
la distruzione e perdita anche accidentale delle informazioni stesse.

3. SICUREZZA DEI DATI
3.1 La gestione sicura dei dati

Sappiamo che uno degli obiettivi dell’IT Security è quello di garantire l’integraità dei dati con-
servati sul nostro PC o nei server delle grandi aziende che fanno questo per mestiere.
In questa sezione impariamo alcune specifiche tecniche di prevenzione fisico-materiali dei no-
stri dati.
3.1.1 Le tecniche di protezione dei dati

Lo storage
Se pensi alla mole di dati creati, disponibili e scambiati ogni giorno in Internet, comprendi
facilmente quanto alta sia la necessità di salvarli, in modo sicuro.
Considerate queste necessità pratiche, la tecnologia si è evoluta fino ad aggregare singole unità
disco per realizzare infrastrutture in cui, in pratica, non ci sono limiti fisici alla quantità di dati
caricabili.
Nello stesso tempo, per ridurre i costi di gestione, queste risorse sono state sempre più centra-
lizzate, fino ad essere conservate su singoli dispositivi.
Con il termine storage (che potremmo tradurre in sistema di archiviazione dati) si indicano tutti i
supporti hardware e software:
•• Organizzati con la specifica finalità di conservare enormi quantità di informazioni in for-
mato elettronico,
•• Capaci di garantire la sicurezza delle informazioni conservate.
I diversi tipi di storage

NAS (Network Attached Storage). Il dispositivo è collegato a più computer messi in rete tra loro.
Questo sistema:
•• Permette di centralizzare l’immagazzinamento dei dati in un’unità accessibile a tutti i nodi
della rete e specializzata,
•• Garantisce che i dati immagazzinati sia molto più al sicuro.
Lo svantaggio è che la grande quantità di dati in transito nella rete locale può determinare
rallentamenti e malfunzionamenti del sistema.
DAS (Direct Attached Storage). Prima forma di storage, consiste in un dispositivo di immagazzi-
namento di dati che è collegato direttamente a un server o a un computer, non avendo alcuna
connessione di Rete. Sono diverse le negatività, a confronto con i metodi più moderni: ad
esempio,
•• È difficile condividere i dati tra più computer.
•• L’espansione dello spazio di immagazzinamento è complessa.
LA GESTIONE SICURA DEI DATI | 31

SAN (Storage Area Network). Sistema di immagazzinamento dati capace di renderli disponibili
a computer connessi (normalmente a Internet), ad altissima velocità, grazie all’utilizzo della
fibra ottica (Gigabit/sec). I vantaggi rispetto ai sistemi DAS è evidente: consente ai server e ai
dispositivi di storage di avere una connettività diretta, con un’ottimizzazione dell’efficienza dello
spostamento di dati e processi (come, ad esempio, il backup o la replica dei dati).
3.1 | I diversi sistemi di storage
3.1.2 Il backup dei dati

Si tratta di un aspetto davvero importante della gestione di un computer.
Siamo tutti oramai abituati a creare file, in continuazione: scattare e caricare foto, scaricare
musica e video, elaborare documenti di testo, di calcolo e così via.
Sai cosa potrebbe succedere al tuo computer in caso, ad esempio, di sbalzo di tensione o di una
momentanea interruzione della corrente?
A meno che tu non utilizzi un gruppo di continuità, questi eventi possono corrompere i tuoi
file, anche fino a renderli irrecuperabili!
Potrebbe capitare anche che l’hard disk del tuo computer si rompa (può succedere soprattutto
se lo usi tutti i giorni) o che te lo rubino (soprattutto se è un portatile).
Per evitare problemi di questo genere, è buona norma creare una copia di sicurezza dei propri
dati che, in informatica, si definisce, appunto, backup.
È, in sostanza, una copia di riserva da cui puoi recuperare i tuoi dati in caso di perdite acciden-
tali (che possono capitare molto più spesso di quanto si pensi).
SICUREZZA DEI DATI | 32

Come è facile intuire, la copia dei dati è un’attività fondamentale soprattutto per aziende e la-
voratori: i produttori di software dedicati a questa attività si impegnano per indurre gli utenti
a fare più copie, senza che ciò li disturbi nell’attività quotidiana. Cercano, quindi, di:
•• Ottimizzare i processi, attraverso l’individuazione più veloce degli elementi da copiare;
•• Ridurre il traffico necessario a copiare i dati.
Ogni backup impegna il sistema informatico, rallentando i tempi di risposta dei

computer da cui sta copiando. Per questo motivo, vari sistemi di backup vengono
ancora attivati di notte, quando normalmente gli utenti non lavorano.
Come fare il backup

Una prima forma semplificata di backup è quella di copiare i file che sono sul nostro PC su un
supporto esterno:
•• Hard disk esterni,
•• Supporti rimovibili (CD, DVD, Pen-drive USB, Schede),
•• Internet, grazie al Cloud.
A prescindere dal metodo scelto, è buona norma fare almeno una copia al mese dei tuoi dati.
Il punto è che, eccezion fatta per il Cluod, con tutti gli altri supporti corriamo gli stessi rischi
visti prima: danneggiamento, perdita, furto.
La soluzione a questi inconvenienti è data dal backup Windows 10 e, cioè, dallo strumento che
Microsoft ci mette a disposizione per salvare automaticamente i dati del PC, evitando di per-
derli nel momento in cui si dovesse verificare un guasto o altro.
Cronologia file di Windows 10

Questo strumento consente di salvare copie dei file che utilizziamo e sono conservati nelle
cartelle principali di Windows: Desktop, Documenti, Raccolte e settaggi importanti del PC.
Per attivare la funzionalità:
1. Collegare un hard disk esterno o una penna USB.
2. Clicca su Start > Impostazioni > Aggiornamento e Sicurezza > Backup, sull’elenco che trovi sulla
sinistra.
3. Clicca su Aggiungi unità per impostare l’hard disk esterno o la penna USB come dispositivo
su cui copiare i file.
A questo punto devi selezionare i file che intendi salvare. Clicca su Altre opzioni: si apre l’elenco
delle cartelle già inserite nella lista di backup, che potrai modificare aggiungendo o rimuoven-
do altre cartelle.
Sempre da questa stessa schermata, puoi impostare le tempistiche con cui verranno effettuati
i backup, oltre che il tempo per cui desideri conservare i file salvati.
LA GESTIONE SICURA DEI DATI | 33

3.1.3 Ripristinare i file salvati
Quando vorrai recuperare i file copiati, entra nella memoria esterna: troverai le tue copie orga-
nizzate con la stessa struttura che si trova sul PC.
Puoi, quindi, ricopiare i file che ti interessano dalla memoria esterna e riportarli sul PC.
In realtà, c’è un modo più pratico:
1. Digita Pannello di controllo in Cortana.
2. Clicca su Cronologia file.
3. Clicca su Ripristina i file personali nell’elenco sulla sinistra, per visualizzare una finestra che
contiene i tuoi documenti salvati, in ordine cronologico.
Nello stesso elenco a sinistra clicca su Escludi cartelle per scegliere i file che non in-
tendi salvare (ad esempio, se hai una libreria musicale molto corposa che non vuoi
tenere sull’hard disk, con questa opzione, puoi escluderla dal backup).
3.1.4 Il Backup su Mac

Su Mac si utilizza Time Machine, un utility tramite cui salvare dati e applicazioni su un hard
disk esterno.
Clicca sull’icona dell’applicazione a forma di orologio con una freccia attorno, in alto a destra
della bara dei menu e seleziona Entra in Time Machine.
Si apre una schermata con al centro una finestra del Finder. Usala per selezionare il file o la
cartella da ripristinare; scegli i vari backup disponibili usando la barra temporale.
Seleziona l’elemento da ripristinare e clicca su Ripristino.
3.1.5 Il Cloud
Un’altra soluzione è il Cloud e, cioè, uno spazio online a tua completa disposizione, in cui
trasferire e conservare file.
OneDrive, uno dei tanti servizi disponibili, è il Cloud di Windows 10.
È subito disponibile in maniera gratuita per tutti gli utenti con account Microsoft.
Se ne hai già uno per aver utilizzato lo store di Windows o Windows Phone, Hotmail, Xbox
Live o Skype, quei dati di login andranno benissimo per OneDrive.
Diversamente, iscriversi alla pagina dedicata.
Creato l’account, entra nel servizio online e salva i tuoi file nella cartella di OneDrive.

Essendo online, potrai accedervi anche da altri dispositivi e PC.
Oltre alle funzioni integrate, puoi utilizzare software gratuiti molto performanti,
come, ad esempio, EaseUS Todo Backup Free (compatibile anche con Windows Vi-
sta e Windows XP) o fwbackups, per chi utilizza Linux; ce ne sono, comunque,
molti altri.
3.2 Il ripristino di sistema

Se continui a visualizzare messaggi di errori che fino a ieri non c’erano o hai installato una
serie di programmi che credi possano aver minato la stabilità del tuo PC, puoi risolvere tutto
riportando il tuo PC alle condizioni di qualche giorno fa, quando non avevi alcun problema.
3.2.1 Il ripristino su Windows 10

Hai a disposizione una funzione che ti consente di tornare indietro e ripristinare il tuo PC così
come era qualche giorno, settimana o, addirittura, qualche mese fa.
1. Digita Ripristino in Cortana.

2. Clicca sulla voce che esce in alto, per aprire la finestra di dialogo Ripristino del Pannello di
Controllo.
3. Clicca su Apri ripristino configurazione di sistema. Si apre una finestra. Scegli se:
• Tornare al punto di ripristino immediatamente precedente, mantenendo selezionata
l’opzione Ripristino consigliato.
• Sfogliare i diversi punti di ripristino disponibili, spuntando Scegli un punto di ripristi-
no diverso.
4. Clicca su Avanti.
Se hai selezionato la seconda opzione, vedrai l’elenco di tutti i punti di ripristino

disponibili. Scegli Mostra ulteriori punti di ripristino o Cerca programmi interessanti per
affinare la ricerca.
5. Seleziona il punto di ripristino che fa più al caso tuo, clicca su Avanti > Fine > Si.
L’operazione può richiedere diversi minuti.
Il PC si riavvia automaticamente e all’accesso successivo (che sarà più lento del solito) visua-
lizzerai un messaggio che conferma il ripristino alla data che hai scelto.
Prima di iniziare, devi verificare, inoltre, che il disco su cui stai ripristinando i dati abbia di-
mensione uguale o superiore al disco che intendi ripristinare (questo vale anche nel secondo
caso). In questa sede, ci soffermiamo sul secondo tipo di ripristino, riferendoci a quello dei soli
file.
IL RISPRISTINO DEL SISTEMA | 35

3.2.2 Il ripristino di sistema su Mac
Se vuoi ripristinare l’intero sistema del tuo Mac, devi riavviarlo in modalità ripristino.
1. Clicca sull’icona della mela in alto a sinistra, nella barra dei menu e seleziona Riavvia.
2. Non appena il Mac si riavvia, tieni premuto Cmd+R fino a quando non compare il logo di
Apple.
3. Quando viene visualizzata la schermata per la selezione della lingua, clicca su Usa l’italiano
come lingua principale.
4. Clicca sulla freccia in basso.
5. Nel menu di ripristino, seleziona Ripristina da backup di Time Machine e clicca su Continua
per due volte.
6. Scegli il disco di Time Machine, clicca su Continua e seleziona la data del backup da ripri-
stinare.
7. Clicca su Continua, seleziona il disco su cui è installato MacOS e clicca su Ripristina per
avviare la procedura.
3.3 Eliminare in modo permanente i dati dalle memorie di massa o dai

dispositivi
Quando un dato non ti serve più, è buona norma cancellarlo, piuttosto che intasare il tuo com-
puter o il tuo device con file inutili che, a lungo andare, ne limitano le prestazioni.
Per farlo, spostalo nel cestino.
3.3.1 Il cestino
Il cestino è una cartella speciale che contiene tutti i file eliminati. Bada bene, però: questi file
sono tutti facilmente recuperabili (tecnicamente, si dice ripristinabili).
Se vuoi ripristinare file cancellati, apri la cartella cestino, seleziona i file e clicca su uno dei co-
mandi indicati di seguito.

3.2 | La cartella cestino
Per facilitare queste operazioni, ti consigliamo di visualizzare la barra degli strumenti, così come
hai vedi nella figura precedente. Per farlo, clicca su Gestisci e, poi, sull’icona freccetta in basso
sulla destra della barra dei menu.
Se, invece, vuoi che i file nel cestino siano rimossi definitivamente, clicca sul comando Svuota
cestino.
Devi sapere, però, che anche dopo aver svuotato questa cartella, sul disco rimango-
no delle tracce che software specifici (come Glary Utilities e Recuva) possono acquisi-
re per ricostruire integralmente o quasi i file rimossi, a seconda del tempo che passa
dalla loro cancellazione e dai successivi utilizzi del computer.
3.3.2 Eliminazione definitiva dei file

Il modo più sicuro per eliminare definitivamente i file è quello che vedi raffigurato nell’imma-
gine di fianco: forare con un trapano la memoria che li contiene! Devi, in pratica, distruggere
il supporto.
Esistono, comunque, delle alternative meno cruente e invasive che assicurano una cancellazio-
ne sicura.
ELIMINARE IN MODO PERMANENTE I DATI DALLE MEMORIE DI MASSA O DAI DISPOSITIVI | 37

Glary Utilities, (lo stesso programma che può recuperare i file), ha uno strumento efficace per
distruggerli in modo definitivo.
6.3 | Distruggere la memoria di massa
Il metodo usato (American Dod 5220.22-M) è sviluppato dal Dipartimento Difesa USA per rimuo-
vere i dati in sicurezza.
CCleaner è un altro software che ti permette di cancellare (ripulire, come dice il nome) dal tuo
computer tutti i file che non sono più utili. Ne abbiamo già fatto cenno: questo programma è in
grado di cancellare anche tutti i file che registrano le tracce della tua navigazione in Internet e
che vengono automaticamente salvati sul tuo PC.
Questo tipo di pulizia ha innegabili vantaggi:
•• libera spazio di memoria dall’hard disk del tuo PC,
•• difende la tua privacy,
•• rende più veloce il sistema operativo.

>> ENTE EROGATORE DEI PROGRAMMI INTERNAZIONALI DI CERTIFICAZIONE
DELLE COMPETENZE DIGITALI EIPASS
>> ENTE ACCREDITATO DAL MINISTERO DELL’ISTRUZIONE, DELL’UNIVERSITÀ

E DELLA RICERCA PER LA FORMAZIONE DEL PERSONALE DELLA SCUOLA –
DIRETTIVA 170/2016
>> ENTE ISCRITTO AL WORKSHOP ICT SKILLS, ORGANIZZATO DAL CEN

(EUROPEAN COMMITTEE FOR STANDARDIZATION)
>> ENTE ADERENTE ALLA COALIZIONE PER LE COMPETENZE DIGITALI – AGID
>> ENTE ISCRITTO AL PORTALE DEGLI ACQUISTI IN RETE DELLA PUBBLICA

AMMINISTRAZIONE, MINISTERO DELL’ECONOMIA E DELLE FINANZE,
CONSIP (L. 135 7 AGOSTO 2012) | MEPA
>> ENTE PRESENTE SU PIATTAFORMA SOFIA E CARTA DEL DOCENTE

Lingua

Privacy Sicurezza Dati

Caricato da

Informazioni sul documento

Titolo originale

Copyright

Condividi questo documento

Condividi o incorpora il documento

Opzioni di condivisione

Hai trovato utile questo documento?

Questo contenuto è inappropriato?

Copyright:

Privacy Sicurezza Dati

Titolo originale:

Caricato da

Copyright:

PRIVACY E

ACCREDITATO DAL MIUR PER LA FORMAZIONE DEL

1. Il diritto alla riservatezza: evoluzione e tutela giuridica.......................................................... 4

1.1 Le origini del diritto alla riservatezza.................................................................................. 4

1.2 La legislazione europea in materia di tutela della riservatezza..................................... 11

1.3 Il ruolo delle informazioni e il nuovo concetto di privacy.............................................. 13

1.4 Le fonti normative di rango internazionale e comunitario in materia di privacy....... 16

1.5 Il Codice della privacy......................................................................................................... 20

2. Le misure di sicurezza informatica............................................................................................. 25

2.1 Le misure di sicurezza in Internet: profili generali.......................................................... 25

2.2 Le misure di sicurezza nel Regolamento UE n. 679/2016 .............................................. 26

2.3 Privacy by design ................................................................................................................. 27

2.4 Privacy by default................................................................................................................. 28

2.5 Valutazione d’impatto sulla protezione dei dati ............................................................. 29

2.6 Le violazioni delle misure di sicurezza informatica: profili di responsabilità............. 30

3. Sicurezza dei dati........................................................................................................................... 31

3.1 La gestione sicura dei dati................................................................................................... 31

3.2 Il ripristino di sistema.......................................................................................................... 35

1.1 Le origini del diritto alla riservatezza

•• l’intrusione nell’intimità spaziale dell’attore (intercettazioni di conversazioni private con

IL DIRITTO ALLA RISERVATEZZA: EVOLUZIONE E TUTELA GIURIDICA | 4

LE ORIGINI DEL DIRITTO ALLA RISERVATEZZA| 5

IL DIRITTO ALLA RISERVATEZZA: EVOLUZIONE E TUTELA GIURIDICA | 6

LE ORIGINI DEL DIRITTO ALLA RISERVATEZZA| 7

IL DIRITTO ALLA RISERVATEZZA: EVOLUZIONE E TUTELA GIURIDICA | 8

LE ORIGINI DEL DIRITTO ALLA RISERVATEZZA| 9

IL DIRITTO ALLA RISERVATEZZA: EVOLUZIONE E TUTELA GIURIDICA | 10

1.2 La legislazione europea in materia di tutela della riservatezza

LA LEGISLAZIONE EUROPEA IN MATERIA DI TUTELA DELLA RISERVATEZZA | 11

IL DIRITTO ALLA RISERVATEZZA: EVOLUZIONE E TUTELA GIURIDICA | 12

IL RUOLO DELLE INFORMAZIONI E IL NUOVO CONCETTO DI PRIVACY | 13

IL DIRITTO ALLA RISERVATEZZA: EVOLUZIONE E TUTELA GIURIDICA | 14

IL RUOLO DELLE INFORMAZIONI E IL NUOVO CONCETTO DI PRIVACY | 15

1.4 Le fonti normative di rango internazionale e comunitario in materia

IL DIRITTO ALLA RISERVATEZZA: EVOLUZIONE E TUTELA GIURIDICA | 16

1.4.1 La Convenzione di Strasburgo del 1981 e la Direttiva 46/95/CE

LE FONTI NORMATIVE DI RANGO INTERNAZIONALE E COMUNITARIO IN MATERIA DI PRIVACY | 17

IL DIRITTO ALLA RISERVATEZZA: EVOLUZIONE E TUTELA GIURIDICA | 18

1.4.2 La legge n. 675 del 1996

LE FONTI NORMATIVE DI RANGO INTERNAZIONALE E COMUNITARIO IN MATERIA DI PRIVACY | 19

1.4.3 La direttiva 2002/58 CE

1.5 Il Codice della privacy

IL DIRITTO ALLA RISERVATEZZA: EVOLUZIONE E TUTELA GIURIDICA | 20

IL CODICE DELLA PRIVACY | 21

IL DIRITTO ALLA RISERVATEZZA: EVOLUZIONE E TUTELA GIURIDICA | 22

1.5.1 La protezione dei dati e lo sviluppo tecnologico nel Regolamento Euro-

70 Rodotà. S., Tecnologie e diritti, Il Mulino, Bologna, 1995.

IL CODICE DELLA PRIVACY | 23

IL DIRITTO ALLA RISERVATEZZA: EVOLUZIONE E TUTELA GIURIDICA | 24

2.1 Le misure di sicurezza in Internet: profili generali

LE MISURE DI SICUREZZA IN INTERNET:PROFILI GENERALI | 25

2.2 Le misure di sicurezza nel Regolamento UE n. 679/2016

LE MISURE DI SICUREZZA INFORMATICA | 26

2.3 Privacy by design

2.4 Privacy by default

LE MISURE DI SICUREZZA INFORMATICA | 28

2.5 Valutazione d’impatto sulla protezione dei dati

VALUTAZIONE D’IMPATTO SULLA PROTEZIONE DEI DATI | 29

2.6 Le violazioni delle misure di sicurezza informatica: profili di

LE MISURE DI SICUREZZA INFORMATICA | 30

3.1 La gestione sicura dei dati

3.1.1 Le tecniche di protezione dei dati

I diversi tipi di storage

LA GESTIONE SICURA DEI DATI | 31

Ogni backup impegna il sistema informatico, rallentando i tempi di risposta dei

Se hai selezionato la seconda opzione, vedrai l’elenco di tutti i punti di ripristino