La protezione dei dati all'interno dell'Unione europea: un'introduzione al GDPR

Con l'avvento di internet sono bastati solo pochi anni perché la protezione dei dati si evolvesse da esigenza del tutto marginale (e spesso trascurata) a diritto riconosciuto a livello europeo.

È pertanto profondamente mutata la concezione stessa del "dato personale", un tempo considerato mero elemento fattuale ed oggi, invece, sempre più spesso interpretato anche in chiave economica. I dati degli utenti sono perciò diventati un'ambita merce di scambio per le aziende che, proprio grazie all'analisi dei dati relativi alle abitudini dei consumatori, individuano una precisa porzione di soggetti cui indirizzare i propri beni e servizi. A chi non è capitato di cercare un prodotto online e ritrovarlo, qualche tempo dopo, proposto sotto forma di inserzione in un sito web totalmente diverso? Il caso della cosiddetta pubblicità comportamentale è solo una delle situazioni più evidenti in cui i dati vengono raccolti e rielaborati, ma si potrebbero fare decine di altri esempi: si pensi all'uso dei social network, alle e-mail, alle telefonate o, più semplicemente, agli insistenti banner che compaiono all'apertura di qualsiasi sito con la richiesta di un consenso al trattamento dei nostri dati personali, un consenso che – quasi meccanicamente – tutti finiscono per prestare. Il risultato è che gli interessati si ritrovano ad aver acconsentito ad una quantità indefinita di trattamenti senza averne precisa contezza, e senza poter in alcun modo tracciarne il percorso.

In tale contesto, l'Unione europea ha voluto continuare ad assicurare la possibilità di tali trattamenti, consapevole dell'importante impatto che essi presentano sull'economia, ma non ha potuto trascurare l'altra faccia della medaglia, ovvero la tutela dei soggetti cui appartengono questi dati. Si assiste così ad un progressivo mutamento della normativa europea in materia di data protection: è l'avvento del GDPR nel 2016 – il regolamento principe della protezione dei dati – a sancire l'inizio di un rinnovato approccio in tema di privacy e di riservatezza in generale, con particolare riguardo ai dati personali, appurata la sopravvenuta inadeguatezza del previgente apparato normativo.

I regolamenti europei, per loro definizione, sono direttamente applicabili in tutti gli Stati membri dell'Unione senza che vi sia bisogno che siano recepiti dalle singole legislazioni nazionali tramite un atto di diritto "domestico" (come avviene, invece, nel caso delle direttive). Il ricorso ad un regolamento in luogo della precedente direttiva 95/46 presenta pertanto l'indubbio vantaggio di eliminare alla radice la possibilità di qualsiasi incongruenza in materia di data protectiontra le legislazioni degli Stati membri, assicurando un'uniformità di tutela.

Tuttavia, la mera adozione di un regolamento non esaurisce le eventuali problematiche che potrebbero emergere dalla sua applicazione. Infatti, è proprio nel momento in cui si passa dalla teoria alla pratica che intervengono ulteriori ed imprevedibili variabili: tra queste, l'interpretazione di alcuni concetti (quali "consenso" o "archivio"), declinati in base alle concrete esigenze del singolo caso. O ancora, la problematica del bilanciamento del diritto alla protezione dei dati con altri ed egualmente importanti diritti. Il regolamento può prevedere astrattamente la possibilità di una collisione tra diritti e libertà, ma è dovere del giudice individuare un nuovo punto di equilibrio in ragione della fattispecie concreta. La manifestazione più eclatante della variabile "ulteriore e imprevedibile" è la situazione sanitaria relativa all'epidemia da Covid-19, che ha coinvolto più interessi del solo diritto alla salute; tra questi, anche il diritto alla protezione dei dati. Un argomento ad oggi di grande attualità, visto il diffuso scetticismo circa il trattamento riservato ai dati degli utilizzatori.

Il regolamento si occupa anche della tematica dell'esportazione all'estero di dati europei: un tema particolarmente delicato, se si considera che la protezione dei dati viene sfilata alla competenza europea per essere consegnata ad un altro ordinamento che, nella maggior parte dei casi, è ispirato a principi diversi da quelli che governano l'Unione, che non accetta che i dati soggetti alla normativa comunitaria possano subire una diminuzione del livello di protezione e, pertanto, subordina il trasferimento a stringenti e specifici requisiti.

L'elaborazione di una tutela e disciplina del trasferimento di dati extra UE si è resa necessaria anche con riguardo alla sicurezza pubblica: in seguito agli attentati dell'11 settembre, i vettori aerei hanno iniziato a raccogliere e conservare i cosiddetti PNR (Passenger Name Record), ovvero i dati dei passeggeri derivanti dalle loro prenotazioni, con finalità di prevenzione del terrorismo e altri reati gravi. Un siffatto trattamento (eccessivo dal punto di vista del regolamento europeo, se si considera che vi sono sottoposti indistintamente tutti i passeggeri, al di là di eventuali sospetti), dev'essere regolamentato con riguardo sia alla normativa interna che a quella esterna, tramite la conclusione di accordi con i maggiori paesi extra europei. Accordi estremamente complessi da concludere, come si evince dal parere 1/15 della Corte di giustizia che si è pronunciata sul trasferimento dei PNR tra Unione europea e Canada.

Sebbene il regolamento tratti disgiuntamente i trasferimenti dei dati tra Stati membri e quelli verso Paesi terzi, nella realtà dei fatti si assiste ad una commistione tra di essi: in un mondo globalizzato come quello del XXI secolo i trasferimenti di dati personali sono all'ordine del giorno, e non è infrequente che una società debba trattare, ad esempio, dati di interessati localizzati in uno Stato membro, ma dislocati su server extraeuropei. Un fenomeno enormemente diffuso, alimentato, inter alia, dall'avvento del cloud computing, che permette di elaborare dati e informazioni direttamente nella rete internet. A tal proposito, Francia e Germania hanno avviato un progetto di cloud europeo, Gaia-X, in grado di tener testa agli operatori cloud mondiali, essenzialmente statunitensi, tra cui figurano colossi come Amazon, Microsoft e Google. Un sistema basato su regole standard e comuni che, coerentemente con il GDPR, permetterà di gestire i dati e di farli circolare in totale sicurezza, favorendone l'interoperabilità. Una delle tante innovazioni figlie del "nuovo" mercato unico digitale europeo.

Al di là dell'annosa irrisolta vicenda sul trasferimento dei dati verso gli USA (di cui la Corte di giustizia, giova ricordarlo, si occupa sin dal 2015 con il caso Schrems, che ha avuto origine dalle celebri dichiarazioni di Edward Snowden), le prospettive future dell'Europa appaiono incoraggianti: la Commissione von der Leyen aveva preannunciato già nel 2019 che, tra i propri obiettivi, figurava un'ambiziosa riforma dello spazio digitale. Un primo risultato è certamente stato raggiunto appena un anno dopo, a fine 2020, con la presentazione delle proposte di un Digital Services Act (DSA) e di un Digital Markets Act (DMA): due pacchetti di norme che si occuperanno di regolamentare l'operato delle principali società, limitatamente al solo settore digitale, all'interno dell'Unione europea, con l'obiettivo di creare uno spazio digitale più sicuro che tenga conto anche dei diritti fondamentali degli utenti, e di stabilire condizioni di parità tra attività che offrano servizi online analoghi, favorendo l'innovazione, la crescita e la competitività, sia sul mercato unico europeo che a livello mondiale.

La Commissione ambisce ad ottenere una società europea alimentata da soluzioni digitali improntate sui valori dell'UE, che possano contribuire alla creazione di uno spazio che garantisca la sicurezza e la libertà dei propri cittadini: pertanto le due proposte per il DSA e il DMA ben si collocano nel contesto della strategia della Commissione europea, che intende sfruttare la tecnologia mettendola al servizio «delle persone, delle imprese e del pianeta».
Una siffatta riforma non può che incidere anche sulla protezione dei dati personali, fattore centrale nel processo di digitalizzazione europeo. Infatti, la crescente attenzione europea alla questione della data protection non ha fatto altro che evidenziare la pervasività di tale tematica, che si ripropone nei più disparati ambiti: il diritto alla protezione dei dati ha assunto rilevanza anche in situazioni dove, prima facie, non sembrava essere direttamente coinvolto, come nel bilanciamento con il diritto alla salute nel corso dell'emergenza Covid-19, come si è anticipato poc'anzi.

L'introduzione di normative di questo tipo non è di poco conto, se si considera che l'Unione europea si è più volte trovata a pronunciarsi circa l'attività di colossi di internet, quali Facebook o Google: un regolamento specificamente indirizzato a tali soggetti creerebbe sicuramente un terreno più fertile anche per quanto riguarda la corretta applicazione delle norme in materia di data protection.

Sulla scorta del GDPR, la proposta di regolamento avvicina l'Europa all'agognato "mercato unico digitale", permettendo un'efficace cooperazione tra gli Stati membri anche nel campo digitale, senza sacrificare in alcun modo i diritti e i valori su cui l'Unione si fonda. Il regolamento (se dovesse essere approvato), allineerebbe ancor di più il GDPR all'e-commerce e alle piattaforme online.

Ciò considerato, ritengo che al momento dovrebbero essere valutate le conseguenze derivanti dal valore economico del dato personale. Un problema attuale (e destinato ad acuirsi), se si considera che le grandi compagnie si basano su modelli di analisi sempre più invasivi, e che spesso si appropriano dei dati personali dei propri utenti demolendo il confine che sussiste, almeno in linea teorica, tra titolarità del trattamento e titolarità del dato personale. Il risultato è che l'interessato non ha alcun controllo sui propri dati disseminati sul web, non essendo in grado né di rintracciarli né di individuarli: uno scenario preoccupante, se si pensa che tali dati sono oggi equiparati ad un vero e proprio bene con un preciso valore economico di mercato.

Su tali considerazioni si fonda, ad esempio, la Self Sovereign Identity, un modello di identità digitale che permette all'utente di essere l'unico a possedere i propri dati personali e di decidere quali condividere, senza che sia più necessario frammentare le proprie informazioni, lasciandole nella disponibilità dei fornitori dei servizi cui ci si rivolge. Tale strumento sfrutta l'identità decentralizzata, che consente all'utente di avere il pieno controllo delle proprie informazioni, contenute in un "wallet" personale, indirizzandole e divulgandole con cognizione di causa. Una sfida tanto impegnativa quanto ambiziosa, quella della Self Sovereign Identity, di certo cruciale nel futuro prossimo e destinata a generare una grande quantità di evoluzioni sia normative che giurisprudenziali.

Il percorso di regolamentazione del diritto alla protezione dei dati personali nell'ambito di una società digitale è appena cominciato e il GDPR sembrerebbe solo uno dei primi tasselli di una tutela estremamente sfaccettata ed in continua e rapida evoluzione: solo negli ultimi mesi sono intervenute diverse importanti pronunce della Corte di giustizia e alcune proposte legislative in materia. E altre, ne sono sicura, non tarderanno ad aggiungersi.