La tutela dei diritti fondamentali della persona è inestricabilmente legata alla sicurezza dei dati personali. Nello spazio digitale, molto più che in quello fisico, il controllo sulla circolazione dei propri dati – in cui si sostanzia il diritto alla privacy – deve necessariamente fare i conti con la maggiore esposizione al rischio di interferenze illecite.
L’utilizzo improprio dei canali di comunicazione virtuali, e in particolare delle community social, può comportare serie conseguenze, a volte irreversibili, ai danni degli utenti soggetti alla cannibalizzazione della propria identità virtuale, troppo spesso intesa come altra da quella reale e, per questo, sottratta alle regole della civile convivenza.
La proliferazione delle espressioni d’odio sui social network è in continua crescita e gli approcci tradizionali alla sicurezza sul web non offrono più un porto sicuro per la privacy degli utenti.
Proprio la complessità dei temi legati alla protezione dei dati ai tempi del web e la necessità di uniformare i livelli di tutela in una dimensione sovranazionale, ha condotto al puntuale intervento da parte del Legislatore europeo, che trova compiuta attuazione nel Regolamento Generale sulla Protezione dei Dati (General Data Protection Regulation – GDPR), già entrato in vigore e pienamente esecutivo a partire dal 25 maggio 2018.
Tra gli obiettivi del Regolamento, emerge con evidenza l’intento di far percepire ai soggetti del trattamento i rischi associati alla violazione della privacy e la conseguente necessità di adottare ogni misura necessaria per evitare la divulgazione non autorizzata dei dati personali degli interessati.
Certamente, anche il Codice per la protezione dei dati personali (D. Lgs. 196/2003) condivide la stessa attenzione per la sicurezza dei dati oggetto di divulgazione online e per le conseguenze negative che possono derivarne agli interessati. L’ambito di applicazione materiale del Codice privacy, d’altra parte, esclude “il trattamento di dati personali effettuato da persone fisiche per fini esclusivamente personali”, a meno che i dati stessi siano “destinati ad una comunicazione sistematica o alla diffusione” (art. 5, comma 3). Come accade, precisamente, nel caso della pubblicazione sul web.
Tutto sotto controllo, quindi? Non del tutto. Apprendiamo con inquietante frequenza che la rete internet, e in particolare i social network, sono il (non) luogo privilegiato di ambientazione di fenomeni come l’aggressione verbale – preferibilmente gratuita e con connotazioni misogine o razziste – il cyberbullismo, il revenge porn e altre simili amenità. Qualcosa, evidentemente, non funziona. E non è difficile indovinare il motivo: se a rispondere del comportamento trasgressivo è l’utente che posta commenti, immagini e video contenenti dati personali altrui, senza o contro il volere degli interessati, la probabilità di identificare e sanzionare la persona dietro il nickname e, quand’anche vi si riesca, ad assicurare giusto ristoro a chi patisce l’offesa, non è così semplice. Se poi la ricerca riguarda non uno, ma migliaia di frequentatori del web, è comprensibile che, il più delle volte, si rinunci a reagire.
Nel nuovo sistema di regole stabilite dal Regolamento europeo, però, qualcosa è cambiato. Vero è che, analogamente al Codice privacy, il GDPR Qnon si applica ai trattamenti “effettuati da una persona fisica per l’esercizio di attività esclusivamente privata” (art. 2, paragrafo 2, lettera c)), ma il Considerando n. 18, che precede le disposizioni regolamentari, specifica che esso “si applica ai titolari del trattamento o ai responsabili del trattamento che forniscono i mezzi per trattare dati personali nell’ambito di tali attività a carattere personale o domestico”, in cui sono espressamente comprese “la corrispondenza e gli indirizzari, o l’uso dei social network e attività online intraprese nel quadro di tali attività”.
La disposizione appena riportata introduce una novità di grande rilievo: se è vero che i trattamenti di dati svolti per scopi personali, come quelli inerenti alla corrispondenza, agli indirizzari o alla socializzazione in rete, esulano dall’ambito di applicazione del nuovo Regolamento, al contrario, chi fornisce i mezzi per trattare i dati personali, come ad esempio un internet service provider (ISP), deve necessariamente rispettarlo.
Questa impostazione risponde pienamente ai principi generali che caratterizzano l’impianto precettistico del Regolamento europeo: in particolare, va incontro alla volontà del Legislatore europeo non tanto di deresponsabilizzazione dei singoli che agiscono per finalità esclusivamente personali, quanto di individuazione, in caso di condotte lesive o illecite degli stessi, di un soggetto responsabile dell’illecito trattamento in grado di garantire una tutela solida ed effettiva per il danneggiato.
Tuttavia, nonostante sia possibile affermare che anche i providers, a norma dei basilari principi di imputazione della responsabilità civile e penale, rispondano degli illeciti direttamente derivanti dalla propria condotta attiva, la stessa natura dei servizi che essi forniscono agli utenti impone la necessità di contemperare diritti e libertà fondamentali: da un lato la libertà di manifestazione del pensiero dell’utente, dall’altro la dignità dell’interessato, con particolare riferimento alla riservatezza, all’identità personale e al diritto alla protezione dei dati personali (art. 2 del Codice privacy).
Proprio questa esigenza di bilanciamento ha determinato, a livello europeo e interno, la previsione di norme specifiche relative al tema della responsabilità degli ISP: a tal fine, in particolare, è stata adottata la cd. direttiva e-commerce (Dir. UE. n. 2000/31/CE) recepita in Italia attraverso il decreto legislativo n. 70 del 2003 che sposa il principio generale “della neutralità”, secondo il quale i providers non sono ritenuti responsabili per il contenuto delle informazioni immesse dagli utenti, salva la sussistenza di circostanze che ne rendano manifesta l’illiceità.
Nonostante una normativa generale di riferimento in materia, tanto i giudici europei, quanto quelli italiani hanno fornito interpretazioni diverse sulla questione dell’attribuzione della responsabilità agli ISP per contenuti immessi da terzi sui loro server, specie nei casi in cui l’esenzione dei providers dal dovere generale di controllo sulla condotta degli utenti si scontra con la tutela dei dati personali, intrecciandosi, così, con la normativa sulla privacy.
Proprio al fine di evitare che le violazioni del diritto alla protezione dei dati personali commesse sul web restino, in definitiva, prive di un responsabile e che, di conseguenza, i danni derivanti da un “uso scorretto del web” non ottengano giusto ristoro, il Regolamento europeo ha posto obblighi specifici e configurato un’ipotesi di responsabilità autonoma in capo ai providers.
Così, il Regolamento europeo rende effettiva la tutela della persona, mettendo in pratica la lezione di Filippo Turati: “le libertà sono tutte solidali. Non se ne offende una senza offenderle tutte”.
Facebook Comments