Il decreto legislativo 30 giugno 2003, n. 196, noto come il “Codice in materia di protezione dei dati personali”, è considerato, a buona ragione, uno dei pilastri della tutela normativa in materia di privacy. Il testo è stato adottato in conformità alla direttiva europea 95/46/CE, al fine di armonizzare le disposizioni in materia di privacy tra gli Stati membri dell’Unione Europea. Il corpo della norma, stabilisce quindi i principi fondamentali per il trattamento dei dati personali e la loro necessaria protezione. Il tema assume particolare rilevanza in quest’epoca in cui il rischio della diffusione di dati non autorizzati è significativamente alto.
Gli obblighi posti a tutela dei dati
In pratica, i titolari del trattamento, sono tenuti ad adottare adeguate misure di sicurezza per proteggere i dati personali dalle perdite, dall’accesso non autorizzato, dalla divulgazione e dalla distruzione illecita. In base a questa normativa, inoltre, i soggetti interessati hanno il diritto di conoscere quali dati personali vengono trattati, possono avere accesso agli stessi, correggerli o cancellarli, nonché di opporsi al loro trattamento in determinate circostanze. I titolari del trattamento devono ottenere il consenso esplicito degli interessati per il trattamento dei loro dati personali, ad eccezione di alcune specifiche situazioni previste dalla legge. Il D.lgs. 196/03 si applica a tutte le attività di trattamento dei dati personali effettuate da soggetti pubblici o privati, sia in forma automatizzata che manuale.
Le sanzioni previste in caso di violazione
La violazione delle disposizioni del D.lgs. 196/03 può comportare sanzioni amministrative, penali o civili, a seconda della gravità della violazione stessa. Pertanto, è di fondamentale importanza per le organizzazioni e gli individui che trattano dati personali conformarsi a questa normativa al fine di evitare sanzioni e proteggere la privacy delle persone.
Alcune incompatibilità presunte
Non sono in pochi, gli addetti ai lavori, che nutrono seri dubbi sulla conformità del d.lgs. 196/03 al Regolamento comunitario GDPR – Regolamento 2016/679. Ci sono, infatti, alcuni vistosi casi di disapplicazione della disciplina nazionale sulla protezione dei dati per contrasto con il diritto dell’Unione (es. di recente G.i.p. Roma, decr. 25 aprile 2021, giud. Sabatini rispetto all’art. 132 Codice). Ciò accade perché molte disposizioni contenute nel d.lgs. 196/03 sono incompatibili con la disciplina comunitaria e interessano temi non di lieve impatto sui diritti e le libertà individuali. L’applicazione del GDPR dal 25 maggio 2018 e gli interventi di adeguamento realizzati con il d.lgs. 101/2018 le hanno talvolta amplificate.
La regola dell’alternatività delle tutele
Una delle criticità più evidenti e certamente una delle più gravi, riguarda la regola dell’alternatività delle tutele. L’istituto dell’alternatività, disciplinato dall’art. 140-bis d.lgs. 196/03, impone all’interessato, di fare una scelta. A propria tutela, colui che pensa di essere stato leso nei suoi diritti, deve scegliere tra il proporre un rimedio amministrativo (reclamo al Garante) o giurisdizionale (ricorso al giudice civile). Un’azione preclude ovviamente l’altra e già questo entra in contrasto con quanto disposto dall’art. 24 della costituzione: “Tutti possono agire in giudizio per la tutela dei propri diritti e interessi legittimi. La difesa è diritto inviolabile in ogni stato e grado del procedimento. Sono assicurati ai non abbienti, con appositi istituti, i mezzi per agire e difendersi davanti ad ogni giurisdizione”. E con l’art. 19 TUE, che dispone: “Gli Stati membri stabiliscono i rimedi giurisdizionali necessari per assicurare una tutela giurisdizionale effettiva nei settori disciplinati dal diritto dell’Unione”. Si potrebbe parlare di una tutela preclusa dall’esperimento di un legittimo rimedio amministrativo. Una condizione che impone la rinuncia a un’altra tutela, peraltro connotata da caratteristiche intrinsecamente diverse.
Il punto critico dell’incompatibilità
Il Regolamento comunitario, nello specifico agli articoli da 77 a 79, è stato redatto in modo chiaro e potremmo semplificarlo e riassumerlo per punti. Come premessa è bene anticipare che il rimedio amministrativo (reclamo all’autorità di controllo) ha lo stesso livello di importanza del rimedio giurisdizionale e quindi potrebbero essere messi sullo stesso. Nessuno dei rimedi disponibili dipende dalla necessità di esplorare un altro rimedio prima di poterlo utilizzare e non esiste un criterio di priorità tra i vari rimedi, ciascuno di essi è considerato un diritto dell’individuo interessato. Tutti i rimedi previsti costituiscono diritti dell’individuo interessato ma talvolta, come in questo caso, un’azione preclude l’altra.
La sentenza C-132/21 della Corte di giustizia dell’Unione europea ha semplicemente sottolineato questi elementi distintivi del diritto dell’Unione. Nella sentenza, viene ribadito più volte che tutti i mezzi di tutela previsti agli articoli da 77 a 79 del GDPR possono essere esercitati contemporaneamente, in modo indipendente e parallelo tra loro, senza escludersi reciprocamente.
Spetta quindi agli Stati membri trovare soluzioni per evitare conflitti giurisdizionali, mantenendo fermo quanto sopra e senza derogare ai principi esposti. È importante sottolineare che tali conflitti possono verificarsi solo tra pronunce ai sensi dell’articolo 78 e dell’articolo 79, non tra provvedimenti amministrativi e decisioni giurisdizionali. Il nostro sistema giuridico processuale già dispone di strumenti per gestire tali situazioni, quindi non sono necessarie integrazioni aggiuntive.
Rimedi simultanei per garantire un elevato livello di tutela
Il Giudice europeo, in diverse pronunce, ha collegato il requisito di esperimento simultaneo di rimedi diversi all’obiettivo di garantire “un elevato livello di tutela dei diritti sanciti dall’articolo 16 del TFUE e dall’articolo 8 della Carta dei diritti fondamentali dell’Unione europea”. Ritenendo, a buona ragione, che i diritti non possono essere considerati effettivi se non sono adeguatamente protetti durante il processo di tutela. Una tutela che non può essere preclusiva. Un GDPR limitato a una sola forma di ricorso giudiziale o amministrativo sarebbe solo un elenco di affermazioni prive di potere.
Oggi, una tutela necessaria
Oggi, la tutela della privacy ha una maggiore rilevanza rispetto al passato per diversi motivi. Innanzitutto, l’avvento delle nuove tecnologie e l’esplosione dell’era digitale hanno reso molto più facile e veloce l’accesso alle informazioni personali. La diffusione di dispositivi mobili, social media e servizi online ha portato a una crescente raccolta di dati personali, spesso senza il pieno consenso degli individui. In secondo luogo, gli episodi di abusi e violazioni della privacy hanno guadagnato una maggiore attenzione mediatica, sensibilizzando il pubblico sui rischi connessi alla divulgazione incontrollata dei propri dati. I casi di furto di identità, di sfruttamento commerciale e di sorveglianza di massa hanno sollevato preoccupazioni e richieste di maggiori garanzie. Infine, la consapevolezza dei diritti individuali e della necessità di proteggerli si è diffusa ampiamente nella società. L’opinione pubblica è diventata più consapevole della propria privacy e dell’importanza di mantenerla al sicuro. In conclusione, la tutela della privacy è diventata più rilevante oggi perché la tecnologia ha reso più facile la raccolta e la diffusione dei dati personali, le violazioni sono diventate più frequenti e il pubblico è sempre più attento alla propria privacy e ai propri diritti.
