Privacy e segreto industriale: come la tecnologia ridefinisce il controllo sui nostri dati personali

La Corte di giustizia dell’Unione europea (27 febbraio 2025) affronta il conflitto tra diritto di accesso ai dati personali e tutela del segreto industriale, ribadendo che il bilanciamento tra diritti contrapposti deve privilegiare, ove possibile, modalità di comunicazione che non ledano diritti altrui. Spetterà al giudice nazionale o all’autorità di controllo valutare gli interessi in gioco e, caso per caso, autorizzare o meno una divulgazione.

________

Il Regolamento europeo sulla protezione dei dati personali (Reg. UE n. 2016/679 - Gdpr) riserva un’attenzione specifica e approfondita al tema dell’informazione e dell’accesso ai dati personali da parte dell’interessato. Dedica un’intera sezione alla disciplina non solo dei contenuti che il titolare del trattamento è tenuto a comunicare qualora i dati siano raccolti direttamente presso l’interessato (art. 13) o, al contrario, ottenuti da fonti diverse (art. 14), ma soprattutto delle modalità e condizioni attraverso cui l’interessato può esercitare un proprio diritto fondamentale: l’accesso ai dati personali che lo riguardano e alle informazioni sul trattamento in corso (art. 15). Tale diritto assume un ruolo centrale nell’impianto normativo europeo, configurandosi come uno strumento imprescindibile per garantire trasparenza, consapevolezza e controllo effettivo da parte degli interessati sul trattamento dei propri dati.

Al riguardo, le parole di Stefano Rodotà risuonano ancora efficaci: «Il titolare del diritto alla privacy può esigere forme di ‘circolazione controllata’, e non solo interrompere il flusso delle informazioni che lo riguardano». Il cuore della protezione dei dati non è un controllo tout court bensì una circolazione controllata. Il considerando 63 del Gdpr esplicita questa impostazione riconoscendo all’interessato uno strumento «per essere consapevole del trattamento e verificarne la liceità». Proprio per tale ragione, per via di questa codificazione della ragione fondante dell’accesso, gli interessati non sono tenuti a motivare o giustificare la loro richiesta. Questa è motivata by default.

La strumentalità del diritto di accesso viene in luce anche in rapporto ad altri diritti. Esso riveste un ruolo fondamentale per consentire all’interessato l’effettivo esercizio di ulteriori diritti, il suo diritto di rettifica, il suo diritto alla cancellazione («diritto all’oblio»), il suo diritto di limitazione di trattamento, diritti questi che gli sono riconosciuti, rispettivamente, dagli articoli 16, 17 e 18 del Gdpr, nonché il suo diritto di opposizione al trattamento, previsto all’articolo 21 del Gdpr, e il suo diritto di agire in giudizio nel caso in cui subisca un danno, previsto agli articoli 79 e 82 del Gdpr. Affinché tali diritti non rimangano meri enunciati teorici, ma si traducano in strumenti concreti di tutela, è indispensabile che l’interessato sia adeguatamente informato circa gli elementi essenziali del trattamento che lo riguarda.

In linea con quest’approccio, la Corte di cassazione (sen. 24 febbraio 2023, n. 9313) ha chiarito che in materia di trattamento dei dati personaliil destinatario dell’istanza di accesso è tenuto a riscontrare l’istanza dell’interessato sempre, anche in termini negativi, dichiarando espressamente di essere, o meno, in possesso dei dati di cui si richiede l’ostensione. L’informazione va resa sempre.

Com’è noto, il diritto di accesso degli interessati è sancito espressamente dalla Carta dei diritti fondamentali dell’Unione Europea, dall’art. 8 dedicato alla protezione dei dati di carattere personali. Per comprenderne natura e funzioni occorre richiamare pure il «diritto al rispetto della vita privata e familiare», previsto dall’art 7 della medesima Carta, con il quale il citato art. 8 presenta uno stretto legame che origina dalla prospettiva della persona nella sua dimensione sociale, all’interno di uno schema di relazione, di condivisione intersoggettiva continua, in cui si avverte il bisogno di proteggere i dati che nella interazione con altri inevitabilmente si manifestano. Ecco il bisogno dell’affermazione di un regime di protezione per il quale i dati siano trattati «secondo il principio di lealtà, per finalità determinate e in base al consenso della persona interessata o a un altro fondamento legittimo previsto dalla legge. Ogni individuo ha il diritto di accedere ai dati raccolti che lo riguardano e di ottenerne la rettifica».

In altri termini, la tutela del diritto fondamentale al rispetto della vita privata (art. 7) implica che qualsiasi persona fisica possa assicurarsi, grazie al diritto di accesso, che i dati personali che la riguardano siano esatti e che siano trattati in maniera lecita (art. 8). È al fine di effettuare le necessarie verifiche che la persona interessata gode di un diritto di accesso ai dati oggetto di trattamento.

L’accesso costituisce l’istante in cui si sviluppa una consapevolezza individuale, espressione della volontà del soggetto di approfondire la conoscenza e la comprensione della propria identità digitale. È in tale frangente che devono essere garantite le più elevate forme di tutela.

La ratio di tutte tali previsioni può esser ricondotta alla libertà di autodeterminazione, la cui garanzia dipende anche dal livello di controllo sui propri dati che l’ordinamento riesce a garantire. Negli ultimi tempi, per via dell’incessante diffondersi delle nuove tecnologie di intelligenza artificiale e per via dell’intensificarsi delle relazioni che si istaurano tra queste ultime e le persone, il concetto di autodeterminazione è andato progressivamente ad arricchirsi di nuovi significati. Tradizionalmente, tale concetto era inteso come espressione di un potere di controllo esercitabile dal soggetto interessato, fondato principalmente su obblighi informativi rafforzati. Oggi, invece, tale concetto va inteso in chiave più complessa, come consapevolezza del condizionamento proveniente dall’altrui trattamento dati, quindi, come limite alla libertà degli interessati.

Non si dimentica che il diritto alla protezione dei dati personali non è assoluto. Come precisato nel Considerando 4 del Gdpr, e in coerenza con quanto stabilito all’art. 52, paragrafo 1, della Carta dei diritti fondamentali dell’Unione europea, tale diritto deve essere oggetto di un giusto bilanciamento con altri diritti fondamentali, nel rispetto del principio di proporzionalità. In questa prospettiva, anche l’esercizio del diritto di accesso ai dati personali deve essere valutato alla luce di tale necessario equilibrio. Il Considerando 63 del Gdpr enuncia che «Tale diritto non dovrebbe ledere i diritti e le libertà altrui, compreso il segreto industriale e aziendale e la proprietà intellettuale, segnatamente i diritti d’autore che tutelano il software».

Nel caso deciso dalla Corte di giustizia dell’Unione europea, Prima Sezione, sentenza 27 febbraio 2025 (causa C 203/22), si verte in tema di conflitto tra diritto di accesso e segreto industriale: il titolare del trattamento sosteneva che, a causa di un segreto commerciale protetto, non fosse tenuto a fornire ulteriori informazioni, oltre a quelle già comunicate. La Corte, in linea con i principi generali dell’ordinamento dell’Unione, ha evidenziato che il bilanciamento tra contrapposti diritti deve essere condotto privilegiando, laddove possibile, «modalità di comunicazione di dati personali che non ledano i diritti o le libertà altrui».

La questione centrale concerne le modalità concrete con cui il diritto di accesso ai dati personali può essere esercitato, in modo tale da esser compatibile con il segreto industriale. La Corte ha offerto indicazioni utili in tal senso, ricordando che «secondo la giurisprudenza, un giudice nazionale può ritenere che i dati personali delle parti o di terzi debbano essergli comunicati al fine di poter ponderare, con piena cognizione di causa e nel rispetto del principio di proporzionalità, gli interessi in gioco». In esito a questa analisi, il giudice potrà decidere – ove lo ritenga giustificato – di autorizzare la divulgazione, anche solo parziale, dei dati personali.

In definitiva, la decisione della Corte ci porta a riflettere sull’evoluzione che la protezione dei dati richiede in risposta alla complessità degli sviluppi tecnologici. La decisione va nell’auspicata direzione di consolidare forme di autodeterminazione e controllo da parte dell’interessato, approccio sul quale è fondata l’intera disciplina del Gdpr. Resta però il rischio di una “giurisdizionalizzazione” della protezione dati: delegare sistematicamente al giudice o all’autorità di controllo la valutazione del bilanciamento può rallentare l’accesso effettivo alle informazioni, scoraggiare l’esercizio del diritto da parte degli interessati (per costi, tempi e complessità procedurale). Inoltre, questa dinamica sposta l’asse della tutela dalla responsabilizzazione preventiva dei titolari del trattamento – come richiesto dal principio del by design – verso un intervento ex post delle autorità, meno sostenibile nel lungo periodo. Se l’effettività della tutela dovesse dipendere sistematicamente dall’intervento giurisdizionale, anziché da meccanismi responsabilizzazione propri di un modello di protezione by design, si assisterebbe a un indebolimento sostanziale della capacità individuale di esercitare una libertà fondamentale.

_________

*Gianluca Fasano, Consiglio Nazionale delle Ricerche (CNR-ISTC)

Se questo articolo è stato di tuo interesse ma non sei ancora abbonato a NT+ Diritto approfittane subito,prova 1 mese da € 4,90!Scopri di più