Il Regolamento UE n. 679/2016 sulla protezione dei dati personali

Il presente lavoro tratta il Reg. (UE) 2016/679, c.d. Regolamento Generale sulla Protezione dei Dati e noto anche come GDPR, divenuto applicativo lo scorso 25 maggio 2018, il quale introduce importanti novità nel sistema della protezione dei dati personali pur non modificando in modo essenziale l’impianto preesistente. Si presenta, dunque, un’introduzione a tale normativa tentando di delineare il contesto nel quale essa si colloca e i suoi presupposti ideali. Vengono inoltre esposte sinteticamente le più rilevanti novità e individuate alcune questioni rilevanti per il diritto del lavoro. In conclusione si propongono alcune valutazioni che si ritengono utili nella prospettiva della prossima emanazione del decreto attuativo.

Indice

  1. La “Società dell’Informazione” in UE tra presente e futuro.
  2. Il regolamento quale disciplina della circolazione dei dati personali piuttosto che quale disciplina di protezione della persona.
  3. I principî del trattamento e il parametro della liceità.
  4. I «diritti dell’interessato».
  5. Una valutazione critica del bilanciamento operato dal regolamento.
  6. Corte giustizia Unione Europea Sez. III, 18 luglio 2013, n. 201: il valore dello sport nell’ordinamento europeo.

[download id=”111095″]

 1. La “Società dell’Informazione” in UE tra presente e futuro.

Alcuni anni addietro, compiendo un veloce bilancio dei primi dieci anni di applicazione della disciplina sulla tutela della persona rispetto al trattamento dei dati personali, Giusella Finocchiaro annoverava tra gli effetti positivi la creazione di una cultura della privacy[1].

La valutazione è pienamente condivisibile, anche se è forte la sensazione che negli ultimi anni la tensione intellettuale sul tema si sia allentata e che quella cultura non abbia compiuto i progressi che era legittimo attendersi alla luce del fervore dei primi anni, precedenti e immediatamente successivi alla l. 31 dicembre 1996, n. 675[2] e, seppure in misura minore, ancora all’indomani dell’entrata in vigore del d.lgs. 30 giugno 2003, n. 196, codice in materia di protezione dei dati personali (cod. privacy)[3].

Il regolamento generale sulla protezione dei dati personali 2016/679 del 27 aprile 2016 si presenta come figlio di questa stagnazione culturale. Sia chiaro, il testo normativo non è né peggiore né migliore della media degli interventi normativi di diritto privato europeo ed è tutto immerso nell’attuale stagione che si potrebbe definire di positivismo regolamentare: una stagione che si caratterizza per l’esaltazione del diritto scritto da parte del legislatore dell’Unione che si associa alla pretesa di varare testi normativi assai analitici, tanto da ricalcare le cadenze tipiche della normazione secondaria della tradizione degli Stati nazionali continentali. Con tutta evidenza, le istituzioni europee nutrono maggiore fiducia nel fatto che l’obiettivo dell’uniformità giuridica possa conseguirsi con più celerità ed efficacia per il canale della regolazione dall’alto piuttosto che per la via della sedimentazione e del consolidamento delle interpretazioni di testi ariosi e della costruzione dogmatica. Rientra, infatti, nel novero degli interventi di armonizzazione dall’alto anche la giurisprudenza della Corte di giustizia in funzione nomofilattica[4] ex art. 267 Tratt. FUE, la quale riveste un ruolo centrale e di cruciale importanza nella strategia regolativa dell’Unione europea al punto da imprimere all’assetto istituzionale europeo una sostanziale connotazione mista: in parte legalistica in parte judge made[5].

Ovviamente nel caso del regolamento 2016/679 il giudizio va calibrato sulla natura dell’atto normativo: non uno strumento di armonizzazione ma di uniformazione, che, dunque, rende più giustificato il ricorso a una regolazione analitica, assai dettagliata. E, tuttavia, non si realizza una buona operazione culturale se non ci si sofferma sull’elaborazione di categorie ordinanti che condensino il senso complessivo di una ricca e intricata tela normativa, di cui i non addetti ai lavori rischiano di non cogliere o di smarrire facilmente il significato generale. Il tema dell’uniformazione si presenta, tuttavia, assai complesso, in quanto il regolamento lascia margini consistenti alle autonome scelte dei diritti nazionali. Si pensi alla delega a individuare le ipotesi di trattamenti fondati sulla necessità di adempiere a un obbligo legale al quale è assoggettato il titolare (art. 6, comma 1°, lett. c) reg. 2016/679), nonché le ipotesi di trattamenti necessari per l’esecuzione di un compito di interesse pubblico o connesso all’esercizio di pubblici poteri di cui è investito il titolare (art. 6, comma 1°, lett. e) reg. 2016/679).

E si pensi anche al ruolo che nella disciplina del trattamento delle categorie particolari di dati personali è riservata ai diritti nazioni, cui l’art. 9, comma 2°, reg. 2016/679 affida: a) la scelta se rendere sufficiente a tal fine il consenso esplicito dell’interessato, ovviamente limitatamente a finalità specifiche, come, per regola di default, sancisce il regolamento; b) l’autorizzazione al trattamento di tali dati per l’assolvimento di obblighi e per l’esercizio di diritti del titolare o dell’interessato in materia di diritto del lavoro, della sicurezza e protezione sociali; c) l’individuazione dei motivi di interesse pubblico che giustificano il trattamento di tali categorie particolari in assenza di consenso, nel rispetto, però, della sua proporzionalità alla finalità perseguita e preservando l’essenza del diritto alla protezione dei dati, oltreché adottando le misure appropriate e specifiche per tutelare i diritti fondamentali e gli interessi dell’interessato; d) l’individuazione delle finalità di medicina preventiva o di medicina del lavoro, di valutazione della capacità lavorativa del dipendente, di diagnosi, assistenza o terapia sanitaria o sociale, e ancora di gestione dei sistemi e servizi sanitari o sociali che giustificano il trattamento di categorie particolari di dati; e) l’individuazione dei motivi di interesse pubblico nel settore della sanità pubblica al medesimo fine; f) l’individuazione delle finalità di archiviazione nel pubblico interesse, di ricerca scientifica o storica o a fini statistici in conformità dell’art. 89 reg. 2016/679. Inoltre, sempre l’art. 9 reg. 2016/679, al comma 4°, consente ai diritti nazionali di mantenere o di introdurre ulteriori condizioni, comprese limitazioni, per quanto concerne al trattamento dei dati genetici, biometrici e relativi alla salute[6].

A una valutazione d’assieme, il regolamento generale sulla protezione dei dati personali potrebbe apparire di primo acchito come una sorta di Restatement della normativa scritta previgente, contenuta nella dir. 95/46 del 24 ottobre 1995 e nei provvedimenti nazionali di recepimento, dell’elaborazione giurisprudenziale intorno ad essa, soprattutto da parte delle Autorità garanti europee, e della riflessione scientifica, sollecitata soprattutto dal progresso scientifico e tecnologico e, dunque, dall’esigenza di adeguare le soluzioni normative a forme sempre nuove e più invasive di utilizzazione delle informazioni di carattere personale relative a individui[7]. Basti pensare alla positivizzazione di regole frutto del rovello interpretativo in sede di applicazione della dir. 95/46, quali: la specifica attenzione riservata ai minori[8], specie in sede di prestazione del consenso al trattamento (artt. 6, lett. f, e 8 reg. 2016/679); la privacy by design e la privacy by default (art. 25 reg. 2016/679), gemmate per specificazione dal principio di necessità (v. art. 3 cod. privacy); le binding corporate rules (art. 47 reg. 2016/679); l’obbligo di accountability e di compliance del titolare del trattamento legato al diverso approccio al tema del rischio nel trattamento dei dati personali (art. 24, comma 1°, reg. 2016/679); gli obblighi di notifica della violazione dei dati personali all’autorità garante (art. 33 reg. 2016/679) e di comunicazione della medesima all’interessato (art. 34 reg. 2016/679) a carico del titolare del trattamento; l’introduzione del responsabile della protezione dei dati (artt. 37 ss. reg. 2016/679); il riconoscimento esplicito del diritto all’oblio (art. 17 reg. 2016/679), etc.. In altri termini, il regolamento rappresenta una poderosa opera di riorganizzazione e di riformulazione del diritto europeo sulla protezione dei dati personali a un livello di generalizzazione adeguato a un testo normativo che mira a essere il perno, o ancor meglio la cornice, della legislazione europea in materia. In questo quadro, assume un senso più chiaro l’insistenza sul dettaglio, che costituisce l’eco della matrice casistica di alcune delle regole e dei principî consacrati nel regolamento.

2. Il regolamento quale disciplina della circolazione dei dati personali piuttosto che quale disciplina di protezione della persona

Nel compiere l’impresa della ridefinizione del diritto europeo sulla protezione dei dati personali, il regolamento non ha operato però scelte neutrali: non si è limitato a restituire il diritto vigente in chiave prevalentemente ricognitiva, come nella tradizione dei Restatement[9], ma ha compiuto scelte significative di politica del diritto.

La più eclatante sembra l’enfasi sul momento circolatorio dei dati personali rispetto alla sottolineatura delle implicazioni personalistiche del dato personale e alla conseguente istituzione delle premesse per giungere ad affermare una prevalenza assiologica delle seconde sulle ragioni sottese alla fruizione generale delle informazioni.

Ciò si presenta in linea con lo Zeitgeist che sembra affaticarsi nel ridimensionamento della dimensione più autenticamente personalistica formalizzata nel diritto alla privacy[10] ora per puro calcolo ora per un eccesso di realismo, che porta ad assumere l’esposizione dell’individuo all’attenzione di una società sempre più occhiuta come un dato inoppugnabile e come un processo inarrestabile. Addirittura si è giunti a contestare la consistenza filosofica del diritto alla privacy a causa dell’impossibilità di reperire come suo fondamento un unico interesse specifico, dal momento che nel discorso morale, sociale e politico privacy finisce per indicare interessi a tal punto eterogenei da non risultare suscettibili di unificazione in una categoria unitaria. Il difetto di una propria sostanza suggerisce di negare autonomia al concetto di privacy e di ridurla ad altre nozioni fondamentali come quelle di solitudine, intimità e anonimato[11].

Sotto il profilo dell’impostazione di fondo, rispetto alla dir. 95/46 il regolamento si atteggia in maniera più accentuata come una disciplina della circolazione dei dati personali, pur sensibile alle possibili conseguenze del trattamento sull’interessato, piuttosto che come un’ulteriore tappa del lungo e accidentato percorso del riconoscimento giuridico della centralità della persona e della predisposizione di strumenti di realizzazione della personalità umana e di salvaguardia contro le interferenze esterne. Se ne trae conferma dalla minuziosa attenzione riservata alla liceità del trattamento, che non è contenuta soltanto nel Capo II, specificamente dedicato ai principî, ma in parte anche nel Capo III, relativo ai diritti dell’interessato, fortemente incentrato sui profili delle informazioni e dell’adozione di modalità trasparenti, e ancor di più nell’assai ampio Capo IV. Quest’ultimo, nel delineare le figure del titolare e del responsabile del trattamento, sciorina alcuni degli adempimenti più significativi destinati a integrare il requisito della liceità, come, ad. es., l’obbligo di tenuta dei registri delle attività svolte (art. 30 reg. 2016/679); l’obbligo di adozione di misure di sicurezza (art. 32 reg. 2016/679); l’obbligo di notifica (art. 33 reg. 2016/679) e di comunicazione (art. 34 reg. 2016/679) della violazione di dati personali; l’obbligo di valutazione di impatto in talune fattispecie di trattamento, delineate dall’art. 35, par. 3, reg. 2016/679, cui si collega l’obbligo di consultazione preventiva dell’autorità garante nel caso in cui la valutazione d’impatto abbia rivelato un rischio elevato e il titolare non abbia adottato misure specifiche per attenuarlo (art. 36 reg. 2016/679).

Concorrono a delineare il paradigma della liceità anche gli obblighi del responsabile del trattamento (art. 39 reg. 2016/679), nonché le previsioni dei codici di condotta, i quali sono «destinati a contribuire alla corretta applicazione del presente regolamento, in funzione della specificità dei vari settori di trattamento e delle esigenze specifiche delle micro, piccole e medie imprese».

Il quadro complessivo restituisce la centralità conferita dalla nuova disciplina alla prospettiva del titolare del trattamento e questa rielaborazione della materia lascia la sensazione che, per adoperare le categorie luhmaniane[12], il tipo di problema prescelto e regolato dal legislatore europeo consista – come si è anticipato – in misura prevalente nella disciplina della circolazione delle informazioni relative alle persone identificate o identificabili. E ad alimentare questa sensazione non è tanto l’art. 1, comma 3°, reg. 2016/679, quando afferma che «La libera circolazione dei dati personali nell’Unione non può essere limitata né vietata per motivi attinenti alla protezione delle persone fisiche con riguardo al trattamento dei dati personali», poiché la disposizione è riproduttiva dell’art. 1, comma 2°, dir. 95/46; quanto piuttosto il senso complessivo del regolamento. Certo, non può passare sotto silenzio l’espunzione dall’art. 1, reg. 2016/679, del riferimento al diritto alla vita privata dell’interessato, che invece figurava nell’art. 1, comma 1°, dir. 95/46, sostituito dal richiamo espresso al diritto alla protezione dei dati personali, il quale – come si avrà modo di chiarire nel prosieguo – rappresenta, però, una situazione giuridica essenzialmente strumentale.

E d’altro canto, sin dai primi commenti, è stato sottolineato che l’impianto della direttiva 95/46, sebbene avesse recepito le punte più avanzate della riflessione sul rapporto tra tutela della persona e circolazione delle informazioni sul suo conto, risulta pur sempre figlia della sua epoca, presentandosi imperniata su una concezione sostanzialmente statica del trattamento dei dati personali e, soprattutto, per lo più binaria, in cui le informazioni procedono prevalentemente dall’interessato al titolare[13]. Da una tale concezione il regolamento si è invece discostato per rifondarsi sul presupposto che, in una società dominata dall’interconnessione e dalla condivisione, sollecitate da social network, motori di ricerca, smartphone, le informazioni personali si presentano sin dall’origine destinate alla circolazione globale. E, tuttavia, nonostante l’ammodernamento del sistema delle regole al fine di fare fronte al mutamento del contesto socio-economico, fondato sull’economia della Rete, a sua volta caratterizzata dalla forte interconnessione tra gli operatori economici e tra questi e gli utenti, il giudizio complessivo sul regolamento vede prevalere gli scuri sui chiari, soprattutto a causa del mancato superamento della prospettiva prevalentemente individuale che ha sin qui caratterizzato la disciplina europea della circolazione dei dati personali[14]. La circolazione dei dati personali vira, però, in maniera sempre più accentuata verso la dimensione sovra-individuale propria della big data analytics, la quale non si concentra sul singolo individuo ma ha di mira i comportamenti di interi gruppi di individui, peraltro per lo più privi di una specifica connotazione sociale ma aggregati sulla base dei fini specifici del trattamento grazie a complessi algoritmi. È evidente che un fenomeno sovra-individuale qual sta divenendo in maniera sempre più marcata il trattamento dei dati personali non può essere contrastato soltanto né principalmente mediante strumenti individuali, come, ad es., i diritti degli interessati e in particolare il dispositivo del consenso al trattamento. La dimensione sovra-individuale impone una strategia di regolazione e di tutela in cui il piano privatistico va integrato da quello pubblicistico, non limitandosi alla previsione delle Autorità garanti e del loro coordinamento – peraltro questo costituisce un apprezzabile progresso fatto segnare dal regolamento (artt. 51 ss. e in part. artt. 60 ss. reg. 2016/679) – né alla predisposizione di un sistema sanzionatorio a presidio del rispetto delle regole di liceità e di correttezza del trattamento (art. 83 reg. 2016/679), ma facendo segnare un salto di qualità nella dimensione pubblicistica della protezione dei dati personali.

Il controllo della circolazione delle informazioni di carattere personale va istituito, infatti, come un problema di interesse generale in termini ancora più penetranti di quanto non sia fin qui accaduto, magari facendone oggetto di un’apposita funzione pubblica dello Stato.

A ciò andrebbe affiancato un piano del controllo di natura privatistica affidato, però, a corpi intermedi che si dovrebbero prendere carico della salvaguardia collettiva dei diritti e degli interessi dei cittadini rispetto alla circolazione delle informazioni di carattere personale, ponendosi come soggetti di controllo di quello straordinario potere privato detenuto dagli enti, pubblici e privati, che sono in possesso delle capacità tecnologiche e degli strumenti informatici per accumulare e processare un numero eccezionale di informazioni in modo sempre più complesso e oscuro[15]. D’altro canto, già da tempo i giuristi più avveduti hanno raccomandato un ripensamento sull’apparato concettuale in materia di diritti e di poteri risalente alla tradizione romanistica e esaltato dalla dottrina liberalista classica. Quest’ultima identifica i poteri con quelli pubblici secondo una concezione restrittiva che esclude l’esistenza di poteri privati, i quali vengono fatti coincidere con le libertà individuali, mettendoli così al riparo da quelle forme di controllo e di limitazione cui vengono sottoposti, invece, i poteri pubblici.

In altri termini, l’evoluzione del contesto socio-economico impone di affidare la tutela della persona in relazione alla circolazione delle informazioni sul suo conto non soltanto alla tradizionale dimensione individuale ma anche a una dimensione collettivo-pubblicistica, nell’ottica del controllo e del contenimento dei poteri digitali tanto pubblici quanto privati. Resta, dunque, centrale nel quadro della disciplina della circolazione dei dati personali la salvaguardia dell’individuo e non come un stanco refrain ideologico né come un ipocrita feticcio che nasconde invece un disincantato approccio alle informazioni personali come beni economici, ma come ragione sostanziale della rilevanza dei dati personali. Sono proprio le implicazioni, le vedute e le ricadute sull’agire degli individui a rendere economicamente e socialmente appetibili le informazioni di carattere personale e, di conseguenza, questo inscindibile legame con la persona non può essere poi obliato sul piano della regolazione giuridica facendo leva sull’elemento di bruta fattualità costituito dall’oggettiva rilevanza economica dei dati personali, dalla loro autonoma circolazione e dall’indifferenza con la quale il soggetto medio li diffonde o addirittura li cede.

Nel rinnovato orizzonte che si è qui cercato di abbozzare, il regolamento generale sulla protezione dei dati personale si presenta come una retrocessione sul terreno della protezione della persona, poiché reitera forme di salvaguardia dell’individuo per lo più di matrice individuale (consenso, diritti degli interessati, risarcimento del danno, etc.) ma, nonostante l’evoluzione dei trattamenti dei dati personali, non percorre in maniera adeguata la via della difesa dei diritti individuali della persona sul piano pubblico e addirittura trascura il versante della tutela collettiva. E non si possono considerare delle risposte adeguate ed esaustive ai nuovi problemi posti dal progresso scientifico e tecnologico applicato al trattamento dei dati personali né quella incentrata sull’incremento della trasparenza dei processi, sull’attribuzione di maggiori responsabilità agli autori degli stessi e sull’adozione dei sistema della certificazione (artt. 42 e 43 reg. 2016/679) né quella fondata sulla centralità della gestione del rischio, considerata dagli specialisti più autorevoli come il tratto di maggiore novità e sostanzialmente più significativo della nuova tutela.

Giusto per segnalare alcuni degli indici testuali che concorrono a influenzare il senso complessivo del regolamento nella direzione qui suggerita, basti pensare alla specifica attenzione dedicata dall’art. 6, comma 4, reg. 2016/679 al giudizio di compatibilità tra la finalità originaria del trattamento e la diversa finalità delle successive operazioni sui dati – anch’esse ammesse e lecite ai sensi dell’art. 5, comma 1°, lett. b), reg. 2016/679, ove per l’appunto svolte per finalità non incompatibili con la finalità prima – il che è indice di una sensibilità più accentuata e di un’attenzione più concentrata al pieno sfruttamento dei dati personali anche a discapito della protezione dell’individuo. E ancora si pensi alla sottolineatura dei limiti al diritto di opporsi al trattamento dei dati, rispetto tanto all’art. 14, comma 1°, lett. a), dir. 95/46 quanto all’art. 7, comma 4, cod. privacy, compiuta dall’art. 21, comma 1°, reg. 2016/679, dove è sancito che «L’interessato ha il diritto di opporsi in qualsiasi momento, per motivi connessi alla sua situazione particolare, al trattamento dei dati personali che lo riguardano ai sensi dell’articolo 6, paragrafo 1, lettere e) e f) (ossia il trattamento necessario per l’esecuzione di un compito di interesse pubblico o connesso all’esercizio di pubblici poteri di cui è investito il titolare del trattamento, e il trattamento necessario per il perseguimento del legittimo interesse del titolare del trattamento o di terzi, a condizione che non prevalgano gli interessi o i diritti e le libertà fondamentali dell’interessato che richiedono la protezione dei dati personali, in particolare se l’interessato è un minore: n.d.a.), compresa la profilazione sulla base di tali disposizioni. Il titolare del trattamento si astiene dal trattare ulteriormente dati personali salvo che egli dimostri l’esistenza di motivi legittimi cogenti per procedere al trattamento che prevalgono sugli interessi, sui diritti e sulle libertà dell’interessato oppure per l’accertamento, l’esercizio o la difesa di un diritto in sede giudiziaria». Sul punto si tornerà di qui a breve.

Si pensi ancora al superamento del meccanismo dell’autorizzazione preventiva al trattamento delle categorie particolari di dati personali – quelle che la legislazione italiana ha ribattezzato dati sensibili – reso possibile dall’art. 8, comma 2°, lett. a), dir. 95/46, che consentiva agli Stati di prevedere che il consenso dell’interessato fosse necessario ma non sufficiente, e attuato dall’art. 26 cod. privacy mediante la previsione della regola generale del concorso di consenso e autorizzazione dell’autorità Garante e di due deroghe: le ipotesi di sufficienza del solo consenso e le ipotesi di sufficienza della sola autorizzazione[16]. Il sistema autorizzatorio – in parte svuotato di significato dalla proliferazione delle autorizzazioni generali previste dall’art. 40 cod. privacy – è stato accantonato dal regolamento, il quale all’art. 9, par. 2, lett. a) reputa sufficiente al superamento del divieto generale di trattamento delle categorie particolari di dati il consenso dell’interessato, senza lasciare alcuno spazio per l’introduzione di requisiti ulteriori. Né si può trascurare il c.d. diritto alla portabilità dei dati, di cui all’art. 20 reg. 2016/679, grazie al quale l’interessato è legittimato a pretendere dal titolare del trattamento la messa a disposizione dei propri dati personali da questi detenuti e a ottenerli in un formato strutturato, di uso comune e leggibile da dispositivo automatico, per poterli poi trasmettere a un altro titolare senza alcun impedimento, nel caso di trattamenti fondati sul consenso oppure di quelli fondati sulla necessità di eseguire un contratto di cui è parte l’interessato stesso o di svolgere le relative trattative, e sempre che si tratti di operazioni svolte con mezzi automatizzati.

La disposizione si rivela assai utile, specie con riferimento alla tutela giurisdizionale dei diritti: basti pensare alle controversie di diritto del lavoro che spesso richiedono l’accesso a informazioni relative al lavoratore e detenute dal datore, per ottenere le quali non di rado è necessario formulare la richiesta di ordini giudiziali di esibizione. La norma ha, tuttavia, una portata ovviamente più ampia e si inserisce, contribuendovi, nel processo di reificazione delle informazioni. Un processo delicato perché la circolazione dei dati personali rappresenta un dato di fatto inconfutabile e di per sé, ovviamente, non pernicioso, ma non implica per necessità logica la traduzione dell’informazione di carattere personale in un bene[17].

Un tale esito comporta, infatti, l’accentuazione della dimensione oggettiva del dato personale rispetto alla dimensione personalistica, giacché il bene giuridico, anche quando immateriale, è per definizione altro dal soggetto: è oggetto, per l’appunto, e, come tale, recide la sua derivazione dalla persona e la sua stessa implicazione in quest’ultima, riducendo i margini per il titolare di influenzarne la circolazione, se del caso inibendola[18]. La china della reificazione delle informazioni di carattere personale presenta, a ben vedere, rischi notevoli[19]. In primo luogo, si deve tenere conto che il “bene” informazione forma un tutt’uno con le tecnologie che ne consentono la raccolta e le successive operazioni di elaborazione e interconnessione e ciò lo rende un’entità manipolabile, priva di una struttura costante. Per di più, l’informazione è illimitatamente riproducibile, duplicabile, e, dunque, non v’è rivalità nel suo impiego.

Questa caratteristica incide profondamente sulle strategie normative in quanto l’informazione intesa come bene sembra sfuggire ad ogni tentativo di esclusione dei terzi[20]. Il ius excludendi alios e lo sfruttamento in esclusiva rappresentano, però, il nucleo delle forme di appartenenza individualistica, di cui la proprietà è soltanto il prototipo – sia chiaro: esistono altre forme di appartenenza, come quelle collettive che danno luogo alla c.d. proprietà sociale, tipica dei beni comuni e contrapposta alla proprietà privata e a quella pubblica, figlie queste ultime della medesima matrice – e ciò solleva il problema dell’attribuzione in titolarità. È ragionevole ritenere che l’informazione in sé per sé costituisca un’entità di cui non sia predicabile la titolarità ma soltanto il possesso, inteso come potere efficiente che sussiste finché permane effettivo.

3. I principî del trattamento e il parametro della liceità.

Nell’attuale quadro del diritto europeo sulla circolazione dei dati personali, trova conferma l’impostazione di fondo secondo cui è del tutto velleitario – e neppure auspicabile – l’obiettivo di controllare e impedire l’acquisizione e l’impiego di dati personali da parte di soggetti terzi poiché ciò equivarrebbe a limitare la vita: vivendo, in quasi ogni suo più insignificante gesto, l’uomo contemporaneo sparge dietro di sé una scia di informazioni relative alla sua persona e alle sue azioni. Per il fatto stesso di vivere, l’uomo solleva “polvere” di informazioni personali che in passato non lasciavano in larga misura traccia, ma che il progresso scientifico e tecnologico ha reso intelligibili. Questo irrefutabile dato di fatto, abbinato alla particolare natura dell’informazioni quale entità suscettibile per lo più di possesso e non confinabile in una sfera giuridica conchiusa, impedisce di prescegliere una chiave normativa per la materia dei dati personali incentrata su forme di controllo e di preclusione ex ante, in ossequio alla logica proprietaria o, in alternativa, alla logica del rispetto della persona come valore che dal punto di vista giuridico sorge realizzato[21].

Per di più, nel quadro odierno, non v’è attività tanto economica quanto istituzionale che non esiga l’accesso e l’impiego di informazioni di carattere personale, con riflessi, talora, sull’esercizio dei diritti fondamentali della persona e talaltra sull’esplicazione delle pubbliche funzioni e sull’erogazioni dei servizi dello Stato sociale. In un contesto in cui gli ordinamenti non sono in grado di garantire all’individuo – né in effetti sembrano neppure tentare di perseguirlo – il controllo sull’accesso altrui ai propri dati personali, l’esaltazione del consenso al trattamento, sollecitata in Italia dalla scelta del legislatore nostrano, tanto nel 1996 quanto nel 2003, di enfatizzarne, anche sotto il profilo topografico, il ruolo rispetto all’impianto della dir. 95/46, rischia di rivelarsi un tributo alla retorica del personalismo, tanto più quando il trattamento riguarda i big data; mentre con maggiore rigore e con una salutare professione di realismo andrebbe riconosciuto che il consenso è soltanto uno dei presupposti di liceità del trattamento[22] e, al limite, base giuridica applicabile di default nei casi dubbi.

Da qui la necessità, avvertita dal diritto europeo sin dalla prima forma di regolazione, di abbandonare sia il modello culturale dell’esclusione degli altri dalle informazioni di carattere personale sia i moduli concettuali dell’appartenenza di queste ultime al soggetto alle quali esse si riferiscono. Ne è scaturita la scelta di fondare la normativa sui dati personali su basi più adeguate, o per lo meno più praticabili: quelle della disciplina di quell’attività di trattamento che non si può e, peraltro, non si vuole impedire, così da porre i presupposti, per un verso, dell’esercizio del potere di intervento dell’individuo sulla circolazione dei propri dati mediante lo strumento dei diritti dell’interessato – sui quali si tornerà di qui a breve – e, per altro verso, della “giustiziabilità” mediante la creazione delle condizioni affinché l’interessato possa sindacare le forme di esercizio del trattamento[23]. Se il conferimento dei poteri di controllo e di intervento sul trattamento mira a consentire all’interessato di seguire, valutare e compartecipare alla circolazione delle informazioni sul proprio conto in una dimensione diacronica nella quale si riespande quella libera determinazione che non può sempre essergli garantita, invece, in sede di accesso dei terzi alle proprie informazioni di carattere personale, sino a rendere possibile la loro riappropriazione da parte dell’interessato, alla “giustiziabilità” degli interessi coinvolti nel trattamento dei dati personali è affidata, invece, la tutela in senso stretto dell’interessato.

Questo complesso meccanismo istituisce e alimenta il bilanciamento tra il riconoscimento dell’interesse dei privati alla circolazione delle altrui informazioni di carattere personale e l’interesse del soggetto a cui le informazioni si riferiscono a poter vegliare su tale circolazione e a esserne protetto dalle possibili ricadute sul piano personale e sociale[24]. A tal fine, il legislatore europeo ha individuato una gamma di basi giuridiche dalle quali dipende la liceità del trattamento (artt. 6 e 9 reg. 2016/679) e, inoltre, ha fissato una serie di canoni e criteri ai quali quest’ultimo va improntato, pena, nonostante la sussistenza di una base giuridica, l’illiceità del trattamento (art. 5 reg. 2016/679): canoni e criteri che, alla luce della loro indeterminatezza e soprattutto del loro carattere di direttive fondamentali della disciplina, vengono designati come principî del trattamento.

Infine, il legislatore scende sul terreno della regolazione minuziosa delle modalità del trattamento, imponendo obblighi di informazione, di comunicazione (artt. 12-15 reg. 2016/679); di registrazione dell’attività di trattamento (art. 30 reg. 2016/679); di adozione di misure tecniche e organizzative di sicurezza (art. 32 reg. 2016/679), nonché di notifica all’Autorità di controllo e di comunicazione all’interessato delle eventuali violazioni dei dati personali (artt. 33 e 34 reg. 2016/679); di valutazione d’impatto sulla protezione dei dati (art. 35 reg. 2016/679), etc. Ne emerge una nozione assai articolata di liceità, una liceità a falde, sull’auspicabilità della quale è più che legittimo dubitare[25], ma che è chiaramente concepita per perseguire l’obiettivo, esso sì cruciale, di limitare la libertà del titolare del trattamento, tramite una rielaborazione giuridica di tale concetto nei termini di un’attività regolamentata, di cui è, quindi, possibile contestare lo svolgimento.

La logica della “giustiziabilità” degli interessi coinvolti e lesi, o anche soltanto compressi, dalla circolazione e dall’impiego dei dati personali si presenta interna all’attività stessa del trattamento e consiste nel porre limiti all’arbitrio del titolare, riconducendolo nell’alveo della discrezionalità. Ed, infatti, laddove sono posti parametri di liceità e di correttezza, lì vi sono anche criteri per sindacare lo svolgimento del trattamento, contestandone gli esiti e pretendendone la correzione per il tramite di quelle situazioni sostanziali e di quei rimedi che onel lessico specialistico della disciplina della protezione dei dati personali vengono etichettati come «diritti dell’interessato»[26].

Certo esistono anche approcci non reattivi ma proattivi alla circolazione dei dati personali, come la privacy by design, la quale esprime il principio secondo cui le tecnologie adoperate per il trattamento dei dati personali devono essere, in primo luogo, progettate e, poi, impiegate in maniera tale da ridurre al minimo le possibilità di individuare il soggetto al quale tali informazioni si riferiscono, ricorrendo a tecniche di criptazione, anonimizzazione e non tracciabilità delle medesime (art. 25, par. 1, reg. 2016/679). Una “privacy incorporata nell’architettura” che persegue il mito della tecnologia che aggiusta sé stessa, sul quale molti dubbi è lecito, però, nutrire. Ad essa si associa la regola della privacy by default che impone al titolare di adottare misure tecniche e organizzative in grado di garantire, per impostazione predefinita, il trattamento dei soli dati strettamente necessari alla specifica finalità perseguita, sotto il profilo sia della quantità, sia dell’ampiezza del loro trattamento, sia ancora del periodo di conservazione e del grado di accessibilità (art. 25, par. 2, reg. 2016/679). Si tratta di specificazioni del principio di necessità di indubbia rilevanza ed espressione di un atteggiamento più maturo e responsabile al governo delle tecnologie legate allo sfruttamento delle informazioni, ma va anche detto che esse non rappresentano il nocciolo più significativo della disciplina della circolazione dei dati personali: in altri termini, non ne modificano la cifra.

In piena continuità con la dir. 95/46, la via percorsa dal regolamento è proprio quella della disciplina minuta della circolazione dei dati personali, ora affidata a un reticolo di disposizioni ancora più dettagliate che in passato, le quali fissano presupposti e limiti dell’attività di trattamento, criteri organizzativi dell’attività, obblighi di condotta, obblighi di documentazione, etc.[27]. Ne emerge il conferimento alla relazione tra titolare e responsabile del trattamento, da un lato, e interessato, dall’altro lato, della veste di un complesso rapporto giuridico, il che dovrebbe spazzare vie le ultime resistenze alla qualificazione dell’eventuale responsabilità per danni prodotti da trattamenti illeciti o scorretti, di cui ora all’art. 82 reg. 2016/679, come responsabilità per inadempimento.

A dispetto della diffusa qualificazione aquiliana[28], con ogni probabilità inadeguata a conferire veste giuridica alla vicenda dannosa che consegue al trattamento dei dati, qui non si è al cospetto di un’attività libera, o semplicemente regolamentata mediante l’imposizione di doveri generali, di cui l’esercente può essere chiamato a rispondere qualora si riveli dannosa, perché non svolta nel rispetto di quelle generiche regole di condotta riassunte nei criteri di imputazione del dolo e della colpa oppure in quando riconducibile alla fattispecie tipica su cui è imperniata la responsabilità oggettiva.

Qui si è in presenza di un’attività minuziosamente regolata, costellata di obblighi specifici che precedono l’eventuale produzione del pregiudizio e che rientrano nella controversa categoria delle obbligazioni ex lege, inclusa nella generica terza famiglia di fonti delle obbligazioni di cui all’art. 1173 c.c., nota sin dal diritto romano – è dibattuto se classico o post-classico – come variae causarum figurae. Sia chiaro, si tratta per lo più di obblighi di natura procedimentale e non di obblighi finali, ossia di obblighi che, isolatamente considerati, non attribuiscono all’interessato una specifica utilità, ma che proiettano comunque la relazione tra questi e il titolare e il responsabile del trattamento nella dimensione del rapporto obbligatorio. E una tale qualificazione regge sia nel caso in cui la base giuridica del trattamento risieda nel consenso specifico dell’interessato o in un rapporto negoziale o pre-negoziale, sia nel caso in cui la base giuridica vada rintracciata, invece, in uno degli altri presupposti di cui all’art. 6, par. 1, reg. 2016/679. E, infatti, nella prima ipotesi la fonte del rapporto è originaria e volontaria, collegata com’è alla prestazione del consenso o all’instaurazione delle trattative; mentre negli altri è successiva e scaturisce dalla legge, la quale impone in ogni caso al titolare del trattamento l’adempimento di obblighi informativi tanto nel caso in cui i dati personali siano raccolti presso l’interessato (art. 13 reg. 2016/679) quanto nel caso in cui essi non siano stati ottenuti presso l’interessato (art. 14 reg. 2016/679). Al più tardi in questo momento[29], si instaura tra interessato e titolare un rapporto giuridico di cui gli obblighi informativi devono precisare i tratti determinativi: a) l’identità e il contatto del titolare e del suo rappresentante; b) l’identità e il contatto del responsabile; c) la base giuridica e la finalità del trattamento; d) gli eventuali destinatari o le categorie di destinatari dei dati; e) l’eventuale intenzione del titolare di trasferire i dati personali a un paese terzo o a un’organizzazione internazionale; e, nella fattispecie dell’acquisizione dei dati non dall’interessato, anche f) le categorie di dati ottenuti[30].

I principî che devono governare questo rapporto sono sanciti nell’art. 5 reg. 2016/679 e consistono: a) nella liceità, correttezza e trasparenza; b) nella limitazione della finalità del trattamento; c) nella minimizzazione dei dati, che si traduce nell’acquisizione di dati adeguati, pertinenti e limitati a quanto strettamente necessario alla finalità del trattamento; d) nell’esattezza, che include anche l’eventuale aggiornamento dei dati e l’adozione di misure ragionevoli per cancellarli o rettificarli ove inesatti rispetto alla finalità per cui sono trattati; e) nella limitazione della conservazione dei dati in forma identificativa dell’interessato solo per l’arco temporale necessario al conseguimento della finalità del trattamento[31]; f) nell’integrità e riservatezza, intese come l’obiettivo della sicurezza dei dati perseguito tramite l’adozione di misure tecniche e organizzative in grado di prevenire i trattamenti non autorizzati o illeciti, la perdita o la distruzione dei dati, i danni accidentali; g) nella responsabilizzazione del titolare, intesa come onere di comprovare il rispetto di tutti i requisiti summenzionati. Il quadro dei principî non diverge da quello delineato dall’art. 6 dir. 95/46, se non per una maggiore specificazione; ma la continuità non deve in alcun modo stupire giacché i principî riaffermati dal regolamento sono quelli della lunga tradizione internazionalistica in materia di privacy, fondata su trattati universali, come la Dichiarazione universale dei diritti umani adottata dalle Nazioni Unite nel 1948 e il Patto per i diritti umani e politici del 1966, e su trattati regionali, come la Convenzione europea dei diritti dell’uomo del 1950.

A dispetto della topografia un poco ingenua del regolamento che relega testualmente la liceità del trattamento nel solo – per quanto importantissimo – art. 6 reg. 2016/679 relativo alle basi giuridiche del trattamento, va sottolineato che tutti i principî dell’art. 5 reg. 2016/679, a esclusione della buona fede/correttezza, dotata di una sua autonomia[32], concorrono a definire il parametro della liceità, il quale subisce – come si è anticipato – un’ulteriore declinazione, in termini generali, negli articoli dal 7 al 40 e, inoltre, negli articoli dal 44 al 50. Questa ipertrofia del requisito della liceità offre il segno più evidente che l’essenza normativa del regolamento risiede nel predisporre una disciplina dell’attività: quell’attività consistente nel trattamento dei dati personali, la quale, a sua volta, presuppone e incoraggia l’attitudine alla circolazione esibita dai dati personali. Circolazione presupposta, in quanto il trattamento origina dalla raccolta di dati o presso l’interessato o presso terzi già detentori dei dati personali altrui; e circolazione incoraggiata, in quanto il trattamento non si esaurisce nell’estrazione, nella consultazione, nell’uso, nel raffronto e nell’interconnessione dei dati, ma include la comunicazione a soggetti diversi dal titolare e dall’interessato (detti destinatari) mediante trasmissione, diffusione o qualsiasi altra forma di messa a disposizione.

Un rilievo a sé merita, però, proprio l’art. 6 reg. 2016/679 il quale delinea le basi giuridiche generali della liceità del trattamento, da coniugare con l’art. 9 reg. 2016/679 che integra tali basi nel caso di trattamento delle categorie particolari di dati personali. L’art. 6 reg. 2016/679 delinea un quadro assai ampio ed eterogeneo di basi giuridiche del trattamento che abbraccia: a) il consenso dell’interessato per una o più specifiche finalità (le cui caratteristiche sono delineate dall’art. 7 reg. 2016/679[33]); b) il carattere necessario del trattamento all’esecuzione di un contratto di cui sia parte l’interessato o allo svolgimento della fase precontrattuale; c) il carattere necessario del trattamento all’adempimento di un obbligo legale imposto al titolare dal diritto dell’Unione europea o dal diritto dello Stato membro cui egli è assoggettato; d) il carattere necessario del trattamento alla salvaguardia degli interessi vitali dell’interessato o di altra persona fisica; e) il carattere necessario del trattamento all’assolvimento di un compito di interesse pubblico o connesso all’espletamento di una pubblica funzione di cui è investito il titolare sulla base del diritto dell’Unione europea o del diritto dello Stato membro cui egli è assoggettato; f) il carattere necessario del trattamento al perseguimento del legittimo interesse del titolare o di terzi, sempre che non prevalgano gli interessi, i diritti e le libertà fondamentali dell’interessato collegati alla protezione dei dati personali, specie se quest’ultimo sia un minore.

Ciò che maggiormente impressiona in un atto normativo di uniformazione, qual è il regolamento, è – come si è anticipato – l’ampio margine di regolazione autonoma riconosciuta agli Stati membri quando la base giuridica del trattamento poggia su un interesse generale. L’art. 6, parr. 2 e 3, reg. 2016/679 consente, infatti, agli Stati membri di mantenere o di introdurre disposizioni più specifiche relative ai trattamenti di cui alle lett. c) ed e) volte a individuarne con maggiore precisione i requisiti specifici e le ulteriori misure destinate a integrare i requisiti della liceità e della correttezza. A ciò va aggiunto che spetta non soltanto al diritto dell’Unione europea ma anche ai diritti nazionali individuare la base giuridica dei trattamenti legati al perseguimento di interessi generali, specificandone pure la finalità, con l’ulteriore possibilità di dettare disposizioni di dettaglio volte all’adeguamento della disciplina contenuta nel regolamento sul versante: delle condizioni della liceità del trattamento; della tipologia di dati da trattare; dell’individuazione della categoria degli interessati; dell’individuazione dei soggetti cui i dati possono essere comunicati e della finalità della comunicazione; delle limitazioni della finalità; dei periodi di conservazione dei dati e delle operazioni e procedure del trattamento, incluse le misure necessarie per quelle speciali tipologie di trattamento contemplate del Capo IX del regolamento (artt. 85 ss. reg. 2016/679).

Il quadro si complica ulteriormente non soltanto alla luce delle più specifiche previsioni sulle basi giuridiche dei trattamenti delle categorie particolari di dati contenute nell’art. 9 reg. 2016/679, alle quali si è già accennato, ma anche in considerazione della possibilità di un ampliamento del perimetro della liceità del trattamento contemplata dall’art. 23 reg. 2016/679.

Tale disposizione consente al diritto dell’Unione europea e ai diritti nazionali di limitare per via normativa la portata dei diritti dell’interessato e degli obblighi del titolare e del responsabile del trattamento, in maniera tale da rispettare, però, l’essenza dei diritti e delle libertà fondamentali dell’individuo, e sempreché tale limitazione si riveli una misura necessaria e proporzionata in una società democratica alla salvaguardia: a) della sicurezza nazionale; b) della difesa; c) della sicurezza pubblica; d) della prevenzione, dell’indagine, dell’accertamento e del perseguimento di reati o dell’esecuzione di sanzioni penali, incluse la salvaguardia e la prevenzione di minacce alla sicurezza pubblica; e) degli altri importanti obiettivi di interesse pubblico generale dell’Unione o di uno Stato membro, con particolare riguardo ai rilevanti interessi economici o finanziari dell’Unione o di uno Stato membro, anche in materia monetaria, di bilancio e tributaria, di sanità pubblica e sicurezza sociale; f) dell’indipendenza della magistratura e dei procedimenti giudiziari; g) delle attività volte a prevenire, indagare, accertare e perseguire violazioni della deontologia delle professioni regolamentate; h) delle funzioni di controllo, d’ispezione o di regolamentazione connesse, anche occasionalmente, all’esercizio di pubblici poteri nei casi di cui alle lettere da a) a e) e g); i) della tutela dell’interessato o dei diritti e delle libertà altrui; j) dell’esecuzione delle azioni civili[34].

Alla luce della possibilità che più fonti di legittimazione si intersechino nel delineare le basi giuridiche e il paradigma della liceità del trattamento, nonché in considerazione dell’ampio margine riconosciuto alle deroghe della disciplina unitaria, non sembra azzardato sostenere che il regolamento generale sulla protezione dei dati personali si presenti come una cornice normativa unitaria: una sorta di Magna Charta della circolazione dei dati personali e della protezione della persona rispetto a questo pervasivo fenomeno che funge, per un verso, da fondamento della disciplina europea e, per altro verso, da quadro di riferimento e di contenimento del particolarismo giuridico in materia.

4. I «diritti dell’interessato»

Con la locuzione «diritti dell’interessato» si designa una serie di prerogative di natura diversa, ora poteri sostantivi ora rimedi di natura specifica, ai quali la disciplina europea affida il compito di consentire all’interessato di seguire, controllare e indirizzare la circolazione delle proprie informazioni di carattere personale[35]. Sono funzionali all’esercizio dei «diritti dell’interessato» gli obblighi di informazione di cui all’art. 14 reg. 2016/679, imposti al titolare quando i dati personali non siano stati ottenuti presso l’interessato e chiaramente preordinati a creare quella condizione di piena consapevolezza in ordine alla circolazione di informazioni sul proprio conto che si rivela imprescindibile per consentirgli di avvalersi degli strumenti giuridici di controllo e di indirizzo. Il primo «diritto dell’interessato» consiste in una posizione sostanziale e consente all’interessato di ottenere dal titolare la conferma dello svolgimento o meno di un trattamento dei propri dati personali e di accedere a questi ultimi mediante rilascio, senza spese, di una copia. Tale diritto si estende anche all’ottenimento di una serie di informazioni relative, in parte, alle caratteristiche dei dati e del trattamento, con particolare riferimento alle garanzie previste dall’art. 46 reg. 2016/679 nel caso che sia ammesso il trasferimento dei dati a un Paese terzo o a un’organizzazione internazionale, e, in parte, ai diritti riconosciuti all’interessato dall’ordinamento[36].

In attuazione del principio dell’esattezza, sancito dall’art. 5, par. 1, lett. d), l’art. 16 reg. 2016/679 attribuisce all’interessato il diritto a ottenere senza ritardo dal titolare la rettifica dei propri dati personali inesatti, ma anche l’integrazione di quelli inesatti alla luce della finalità del trattamento, anche mediante il rilascio di una dichiarazione integrativa.

Grande risalto è stato riservato dal regolamento generale al diritto alla cancellazione in quanto mezzo per l’esercizio del diritto all’oblio dell’interessato, ossia del potere di riappropriarsi delle informazioni di carattere personale non soltanto come strumento di reazione a un trattamento illecito o scorretto (art. 17, par. 1, lett. d), reg. 2016/679) o come rimedio per ottenere l’adempimento dell’obbligo legale di cancellazione imposto al titolare dal diritto dell’Unione europea o dello Stato membro di appartenenza, ma anche come potere sostanziale di autodeterminazione informativa[37]. La cancellazione dei dati personali può essere richiesta, infatti, anche in presenza di un trattamento lecito o corretto in conseguenza della scelta libera e consapevole dell’interessato di interrompere il trattamento dei propri dati personali in ordine a una o più finalità determinate in quanto l’impiego e la circolazione di tali informazioni non vengono più reputati opportuni, o comunque non risultano più graditi o ancora confliggono con gli obiettivi e le strategie dell’interessato in ordine alla costruzione o all’evoluzione della propria identità personale o anche soltanto con più limitati fini specifici. Ecco perché l’art. 17 reg. 2016/679 consente la cancellazione: a seguito di revoca del consenso da parte dell’interessato, a meno che il trattamento non poggi anche su un’altra base giuridica che ne giustifichi la prosecuzione [lett. a)]; in conseguenza dell’opposizione al trattamento di cui all’art. 21 reg. 2016/679 – sul quale si tornerà a breve – a meno che non prevalga l’interesse legittimo del titolare alla prosecuzione [lett. b)]; in caso di trattamento di dati personali raccolti nell’ambito dell’offerta diretta di servizi della società dell’informazione ai minori che abbiano compiuto almeno sedici anni, ai sensi dell’art. 8, par. 1, reg. 2016/679 [lett. f)]. La cancellazione dei dati resi pubblici dal titolare implica anche l’adozione delle misure ragionevoli e proporzionate[38], anche di natura tecnica, necessarie a informare gli ulteriori titolari che stanno trattando i dati personali della richiesta dell’interessato di cancellare qualsiasi link, copia o riproduzione dei suoi dati personali (art. 17, par. 2, reg. 2016/679).

Va annoverato, invece, tra i mezzi di reazione al trattamento illecito o scorretto, e dunque tra i rimedi, il diritto alla limitazione del trattamento di cui all’art. 18 reg. 2016/679, cui l’interessato può ricorrere quando: a) egli contesti l’esattezza dei dati personali, per il periodo necessario al titolare del trattamento per verificare l’esattezza di tali dati personali; b) il trattamento sia illecito e l’interessato si opponga alla cancellazione dei dati personali, preferendo che ne sia limitato l’utilizzo; c) benché il titolare del trattamento non ne abbia più bisogno ai fini del trattamento, i dati personali siano necessari all’interessato per l’accertamento, l’esercizio o la difesa di un diritto in sede giudiziaria; d) l’interessato si sia opposto al trattamento ai sensi dell’articolo 21, par. 1, reg. 2016/679, in attesa della verifica in merito all’eventuale prevalenza dei motivi legittimi del titolare del trattamento rispetto a quelli dell’interessato.

La limitazione del trattamento consiste nel mutamento ad opera dell’interessato del regime giuridico circolatorio, drasticamente circoscritto alla mera conservazione dei dati oppure a una circolazione assai limitata, giacché possibile solo a seguito dell’esplicito consenso dell’interessato oppure quando esso si riveli necessario all’accertamento, all’esercizio o alla difesa di un diritto in sede giudiziaria o anche alla tutela dei diritti di un’altra persona fisica o giuridica o ancora al perseguimento di un interesse pubblico rilevante dell’Unione o di uno Stato membro. La limitazione è tuttavia revocabile dal titolare, il quale, però, deve darne avviso in anticipo all’interessato. Se le ipotesi di limitazione previste dall’art. 18 reg. 2016/679 a)b) e d) rivestono senza dubbio natura di rimedi, la fattispecie della lett. c) si presenta come una situazione soggettiva sostanziale, che conferisce al titolare il potere di reimpiegare i propri dati personali per esigenze legate alla tutela giurisdizionale dei propri diritti in ossequio all’esigenza di economicità dei mezzi giuridici. In caso di rettifica, di cancellazione e di limitazione del trattamento scatta per il titolare l’obbligo di comunicazione delle operazioni effettuate ai destinatari cui sono stati trasmessi i dati, a meno che ciò non si riveli impossibile o implichi sforzi sproporzionati (art. 19 reg. 2016/679)[39].

Di particolare interesse, specie – come si è già anticipato – per le indicazioni che fornisce sul significato complessivo della disciplina unitaria e per le ricadute sul dibattito sulla reificazione dei dati personali, si rivela la previsione del diritto alla portabilità dei dati di cui all’art. 20 reg. 2016/679. All’interessato è riconosciuto il diritto di ricevere in un formato strutturato, di uso comune e leggibile da dispositivo automatico, i dati personali che lo riguardano forniti a un titolare del trattamento al fine di trasmetterli a un altro titolare del trattamento, senza impedimenti da parte del primo, nelle fattispecie di trattamento fondato sul consenso o sulla strumentalità all’esecuzione di un contratto o alla svolgimento della fase precontrattuale oppure di trattamento effettuato con mezzi automatizzati. Si è in presenza del riconoscimento di un tipico potere di disposizione, qual è la prerogativa di cedere a terzi il diritto di sfruttamento di un’entità su cui si possa esercitare un controllo che prevale sull’altrui interesse all’utilizzazione in esclusiva. Tale diritto di trasmissione a terzi dei propri dati personali raccolti e detenuti da soggetto determinato si correla ad ipotesi di trattamento fondate in maniera più o meno esplicita sull’intenzionalità dell’interessato oppure è il riflesso del mezzo tecnico autonomizzato prescelto dal titolare. Ove possibile dal punto di vista tecnico, la trasmissione dei dati disposta dall’interessato deve avvenire in forma diretta dal titolare originario a quello indicato dall’interessato medesimo e, soprattutto, non deve ledere i diritti e le libertà altrui.

Infine, merita una particolare attenzione il diritto di opposizione, quale espressione massima del potere di riappropriazione delle informazioni di carattere personale da parte dell’interessato in forza della circostanza che quest’ultimo rappresenta l’elemento di realtà di cui il dato personale è solo immagine[40]. Non a caso il regolamento dedica al diritto di opposizione una sezione a sé, condivisa col diritto di non essere sottoposto a una decisione basata soltanto su un trattamento automatizzato di cui all’art. 22 reg. 2016/679, il quale subisce una ridefinizione in senso dispositivo rispetto alla previsione dell’art. 15 dir. 95/46. Il diritto di opposizione al trattamento dei dati personali esce in parte ridimensionato dalla regolazione dell’art. 21 reg. 2016/679. In primo luogo, perché la nuova veste circoscrive l’ambito di applicazione ai trattamenti di cui all’art. 6, par. 1, lett. e) e f), reg. 2016/679, mentre l’art. 14, par. 1, lett. a), dir. 95/46 accordava il diritto di opposizione per lo meno nelle fattispecie di cui all’art. 7, lett. e) e f), dir. 95/46 – corrispondenti alle attuali figure di trattamento di cui all’art. art. 6, par. 1, lett. e) e f), reg. 2016/679 – non escludendolo nei trattamenti ancorati a basi giuridiche diverse, tant’è che l’art. 7, comma 4, lett. c), cod. privacy ha potuto estendere tale diritto a qualunque trattamento. Inoltre, il secondo periodo dell’art. 21, par. 1, reg. 2016/679 consente al titolare del trattamento di proseguirlo, non dando corso all’opposizione, quando abbia motivi legittimi cogenti in tal senso. Questi ultimi rischiano di coincidere in larga misura con quel legittimo interesse che costituisce il fondamento del trattamento ai sensi dell’art. 6, par. 1, lett. f), reg. 2016/679, sicché è verosimile che l’opposizione verrà accordata quando qualche fatto sopravvenuto alteri in senso favorevole all’interessato quell’iniziale valutazione comparativa conclusasi a favore del titolare del trattamento e idonea a rendere lecito il medesimo in assenza di consenso.

In tal modo, però, si altera, nella sostanza, la cadenza che l’art. 21 reg. 2016/679 ha per lo meno a livello formale impresso all’esercizio del diritto di opposizione, accordandolo all’interessato, in linea di principio, senza limitazioni a priori a meno che il titolare non provi l’esistenza di un suo interesse prevalente. Se ne ha una conferma nell’art. 18 reg. 2016/679 che, al par. 1, lett. d), prevede la possibilità per l’interessato di ottenere la limitazione del trattamento – ossia l’azione del contrassegnare i dati personali conservati con l’obiettivo di limitarne il trattamento in futuro (art. 4, n. 3), reg. 2016/679) – nel caso di formalizzazione dell’opposizione del trattamento «in attesa della verifica in merito alla prevalenza dei motivi legittimi del titolare del trattamento rispetto a quelli dell’interessato».

Per di più, era auspicabile che la pur opportuna previsione della possibilità per il titolare di proseguire il trattamento in presenza di un proprio interesse legittimo di rilevante consistenza fosse collegata a un giudizio di prevalenza tra quest’ultimo e il diritto dell’interessato alla riappropriazione dei propri dati, inteso come componente significativa e qualificante del diritto al rispetto della vita privata e familiare di cui all’art. 7 Carta dei diritti fondamentali, che, con un tasso di approssimazione accettabile, può essere etichettato come diritto alla privacy[41]. Questo è uno snodo davvero decisivo. Qui si sarebbe dovuta compiere quell’auspicata chiarificazione del rapporto tra diritto alla privacy e diritto alla protezione dei dati personali (artt. 8 Carta dei diritti fondamentali e 16, comma 1°, Tratt. FUE). Con un tasso di approssimazione altrettanto accettabile, si può definire quest’ultimo come il diritto alla circolazione dei propri dati personali nel rispetto dei requisiti di liceità e di correttezza, inclusivo non soltanto della pretesa alla sicurezza dei dati, così da scongiurare il rischio di trattamenti non autorizzati o illeciti oppure quello della perdita, della distruzione o dei danni accidentali (v. art. 5, par. 1, lett. f), reg. 2016/679), ma anche del potere di essere costantemente informato e di controllarne gli impieghi. Si tratta, con ogni evidenza, di un diritto personale dal contenuto composito che, per un verso, è senza alcun dubbio funzionale a sostenere la fiducia dei privati nel concedere le proprie informazioni di carattere personale necessarie allo sviluppo economico (qui prevale la dimensione della sicurezza); ma, per altro verso, si presenta strumentale a garantire la pienezza e l’effettività del diritto alla privacy. Il diritto alla protezione dei dati personali si atteggia, dunque, come una situazione soggettiva sotto ogni profilo strumentale; ma mentre la funzionalizzazione alle ragioni di un’economia sempre più tecnologica e informatica – sia chiaro, assolutamente legittima e addirittura inevitabile – sembra rispettata in maniera adeguata, non altrettanto si può sostenere per la funzionalizzazione all’esercizio del diritto alla privacy[42].

Quest’ultima non va più confinata entro il perimetro della sola preservazione dell’intimità della propria sfera personale e familiare, ma include il riconoscimento della possibilità di compiere senza condizionamenti scelte che incidono sulla definizione della propria identità personale e della propria rappresentazione sociale: la riservatezza costituisce, in altri termini, la precondizione per l’esercizio delle libertà individuali e dei diritti civili e per la piena affermazione della dignità umana[43]. Se v’è un luogo normativo nel quale il diritto alla riservatezza avrebbe dovuto emergere, questo è, oltre alla revoca del consenso (art. 17, par. 1, lett. a), reg. 2016/679), proprio la disciplina del diritto di opposizione che, ove fosse finalizzata all’appagamento dell’interesse alla riappropriazione regolata dei propri dati da parte dell’interessato, conferirebbe contenuto effettivo al diritto alla privacy e renderebbe giustizia alla sua natura di diritto fondamentale.

Se questa prospettiva è corretta, ecco allora che l’art. 21, par. 1, reg. 2016/679 avrebbe dovuto istituire il giudizio di comparazione tra il motivo legittimo e cogente del titolare al proseguimento del trattamento, nonostante l’opposizione, e l’interesse alla riappropriazione dei dati da parte del soggetto cui essi si riferiscono e non già, genericamente, con i suoi diritti e le sue libertà.

5. Una valutazione critica del bilanciamento operato dal regolamento.

In chiave generale, il diritto alla privacy e il diritto alla protezione dei dati personali, così come emergono dal regolamento generale, non si presentano in senso pieno: né come diritti fondamentali, intesi nell’accezione tradizionale di diritti di libertà, ossia di sfere di immunità del singolo dall’invasione occhiuta del potere pubblico e, ora, anche nei confronti dei forti potentati economici privati[44]; né come diritti inviolabili, intesi come posizioni soggettive assiologicamente superiori rispetto alle situazioni soggettive di contenuto squisitamente economico; né come diritti sociali, ossia come pretese dell’individuo uti civis nei confronti dello Stato e dell’Unione europea all’erogazione di prestazioni attive alla sua preservazione al cospetto dell’invasività della tecnica, in quanto parte integrante della rete di protezione sociale, al pari dell’istruzione, della sanità, delle pensioni, della previdenza sociale e dei servizi socio-assistenziali. Forse proprio quest’ultima prospettiva presenta le maggiori potenzialità di sviluppo e meriterebbe una più lunga e seria riflessione.

Nella dimensione più strettamente privatistica, la riconosciuta natura fondamentale e inviolabile tanto del diritto alla privacy quanto del diritto alla protezione dei dati personali non si può esaurire – come sinora prevalentemente è accaduto nel dibattito, specie dottrinale – nella presa d’atto dell’inanità della lettura che pretende di concepire tali posizioni come incomprimibili[45] dinanzi non solo – com’è ovvio – ad esigenze personalistiche altrui di pari rango (tutela dei diritti fondamentali, diritto a essere informato, diritto a informare, etc.), ma anche a interessi di natura economica, tanto individuali quanto generali. Non v’è dubbio che, in ordinamenti pluralistici quali sono quelli della western legal tradition, i diritti fondamentali vadano sottoposti a operazioni di bilanciamento in quanto non ne può essere garantita la realizzazione nella misura massima consentita dal loro contenuto; ma il bilanciamento al quale spesso ci si riferisce è, per lo più, quello judge made, operato dalle Corti costituzionali o comunque di livello apicale, ossia un bilanciamento caso per caso, che pertanto non determina equilibri normativi definitivi e che, quando viene effettuato in sede di vaglio della legittimità di un testo normativo, lascia spazio al ri-esercizio della funzione legislativa in materia.

Il bilanciamento costituisce, però, anche una delle tecniche di normazione adottate dal legislatore e, in questa applicazione, esso comporta l’istituzione di un ordine stabile di priorità, mediante la previsione di regole di prevalenza e di soccombenza tra gli interessi in conflitto. È su questa forma di bilanciamento che bisogna soffermarsi perché essa pervade il regolamento generale sulla protezione dei dati, come sempre accade nei fenomeni di riappropriazione della materia da parte del legislatore.

La disciplina a impianto analitico che il regolamento offre non può certo eliminare la mediazione giudiziale per l’intrinseca natura pratica del diritto, inteso come fenomeno generale: la norma – com’è oramai noto a tutti – è d’altro canto il prodotto dell’interpretazione e non la precede. Dal canto suo, il regolamento mira a ridurre sensibilmente lo spazio della discrezionalità del giudice, come emerge dal ricorso non esasperato, come invece è accaduto in altri prodotti del diritto privato europeo, a concetti indeterminati o a clausole generali. La più significativa di queste ultime è certamente il riferimento alla buona fede/correttezza compiuto nell’art. 5 reg. 2016/679[46], ma esso si presenta in una certa misura sterilizzato, in parte, dalla preponderanza assegnata al requisito della liceità e, in parte, dal collegamento tra buona fede e codici di condotta (art. 40 reg. 2016/679). Sembra che il legislatore europeo abbia deciso di contenere le potenzialità applicative della clausola generale di buona fede in materia di trattamento dei dati personali ancorandone la concretizzazione – tradizionalmente affidata al giudice – a quella particolare e suggestiva forma di normazione che promana dalle stesse categorie professionali coinvolte nel trattamento dei dati personali costituita dai codici di condotta. L’esito di un connubio siffatto vede una norma di contenuto indeterminato, e formulata con termini valutativi, ricevere contenuto da una regolazione a fattispecie chiusa.

Non si può trascurare, infine, che la normativa sulla protezione della persona con riferimento al trattamento dei dati personali, per sua lunga tradizione, fa ricorso a disposizioni normative che autorizzano bilanciamenti giudiziali o dell’autorità garante[47] e ciò a causa delle particolari caratteristiche dei conflitti che possono coinvolgere il diritto alla riservatezza o il diritto all’autodeterminazione in ordine alla circolazione delle informazioni sul proprio conto: conflitti che vedono tali interessi protetti contrapporsi con altrui diritti e libertà fondamentali e che, dunque, risulta oltremodo arduo risolvere una volta per tutte mediante l’istituzione di un ordine stabile di prevalenza e di soccombenza degli interessi contrapposti.

Talune norme di rinvio al bilanciamento giudiziale investono addirittura le basi normative del trattamento lecito, come, ad es., l’art. 6, par. 1, lett. f), reg. 2016/679 che – come si è già chiarito – ammette il trattamento quando esso si rivela necessario al perseguimento del legittimo interesse del titolare del trattamento medesimo o di terzi, a meno che non prevalgano gli interessi o i diritti o le libertà fondamentali dell’interessato, specie se questi è un minore[48]. Per non parlare poi del già menzionato – e alquanto infelice – art. 21, par. 1, reg. 2016/679 sui limiti del diritto di opposizione al trattamento dell’interessato, nonché dell’art. 17, par. 3, reg. 2016/679 sul limite del diritto alla cancellazione coincidente con la necessità del trattamento per l’esercizio della libertà di espressione e di informazione. L’errore assai diffuso consiste nel ritenere che, giacché il legislatore a volte sospende il giudizio e rimette il bilanciamento alla valutazione giudiziale, allora il bilanciamento possa essere elevato a forma generalizzata di giudizio nel diritto civile.

Proprio le caratteristiche della tecnica normativa adottata dal regolamento rendono particolarmente significativo l’esame di quei bilanciamenti non affidati al giudice o all’autorità garante ma realizzati direttamente dal legislatore, così da verificare se il grado di sacrificio potenziale dell’interesse alla preservazione dell’intimità personale e familiare, presupposto dalla nuova cornice normativa, sia o meno ragionevole. La conclusione alla quale si deve pervenire allo stato, ossia in assenza della valutazione degli interventi di coordinamento e di completamento ad opera delle legislazioni nazionali e dell’integrazione del tessuto regolativo prodotta dagli orientamenti delle autorità garanti e dei giudici, non soltanto in sede di bilanciamento, indica che le possibilità di incisione e di compressione soprattutto del diritto alla privacy consentite dal regolamento ne appannano la natura di diritto fondamentale e inviolabile proclamata dai Trattati europei. Il diritto non ha una specifica responsabilità culturale, ma concorre a definire la cultura di un popolo. Nella sua costante rincorsa della storia, il diritto il più delle volte insegue, limitandosi a registrare gli equilibri già raggiunti dalla società indipendentemente dal sistema delle regole, consacrandoli in disposizioni, che, all’atto della loro entrata in vigore, sono già l’istantanea di un tempo passato; ma alcune volte raggiunge e precede i grandi movimenti sociali, concorrendo a indirizzarli. Era legittimo attendersi che questo sforzo normativo dell’Unione europea fosse indirizzato a imprimere un orientamento, piuttosto che limitarsi a riorganizzare l’esistente, con qualche buona sortita tecnica.

Il tema più delicato è certamente quello dell’adozione di misure che alimentino la percezione individuale e collettiva del valore rivestito dalle informazioni di carattere personale, nel tentativo di arginare, o per lo meno di rendere più consapevole, l’attuale tendenza della persona a barattare con estrema leggerezza le proprie informazioni con servizi o beni immateriali o, addirittura, a renderle manifestamente pubbliche, specie tramite i social media, consentendo in tal modo a terzi il loro trattamento senza la preventiva richiesta di consenso, anche quando i dati appartengono alle categorie particolari (v. art. 9, par. 2, lett. e), reg. 2016/679). Questi atteggiamenti alimentano un tipo di attività d’impresa che è stata definita propria del “capitalismo estrattivo”[49] in quanto ottiene ricavi strabilianti grazie all’impiego di risorse acquisite senza alcun costo – o con costi infinitesimali – perché cedute da chi le produce senza la percezione di stare immettendo nei rapporti socio-economici vere e proprie risorse strumentali ad attività economiche. Sul terreno della circolazione dei dati personali è possibile squarciare il velo di molte delle ipocrisie che percorrono le astratte e ineffettive proclamazioni di centralità della persona di cui sono popolati i discorsi dei giuristi. Su questo terreno si gioca una battaglia culturale di carattere epocale: quella dell’attribuzione sociale di valore a entità prive di un preciso valore economico, per lo meno per chi le produce; quella della creazione di un’alternativa al mercato, dimostrando che quest’ultimo non è l’unico dispositivo sociale di conferimento di un valore misurabile. Una battaglia della quale il regolamento generale sulla protezione dei dati personali non sembra essere parte.

E tornano alla mente le riflessioni che Dmitrij Gurov, il protagonista de La signora col cagnolino di Anton Čechov, compie tra sé e sé mentre accompagna la figlia al ginnasio, prima dell’incontro con Anna Sergeevna: «per un singolare concorso di circostanze, forse casuale, tutto ciò che per lui era importante, interessante, necessario, in cui era sincero e non ingannava se stesso, che rappresentava il nucleo della sua vita, avveniva all’insaputa degli altri, mentre tutto ciò che in lui era falso, l’involucro nel quale si avvolgeva per nascondere la verità, come ad esempio il suo lavoro in banca, le discussioni al circolo, la sua “razza inferiore”, la sua partecipazione ai ricevimenti in compagnia della moglie, tutto ciò avveniva alla luce del sole.

E sul proprio esempio egli giudicava gli altri, non credeva a quanto vedeva e supponeva sempre che ogni uomo vivesse la sua vera vita, la più interessante, sotto il velo della segretezza, come sotto un velo di tenebre. L’esistenza di ognuno si regge sul mistero, e forse è in parte per questo che l’uomo civile si adopera tanto convulsamente perché venga rispettato il segreto individuale». All’antropologia dell’uomo civile contemporaneo non si attaglia il giudizio di Čechov (la prima edizione de La signora col cagnolino è del 1899) e, allora, il recupero di un più equilibrato dosaggio tra intimità e diffusione delle informazioni personali non può più essere rimesso esclusivamente alle scelte individuali di vita, ma deve essere impostato come un problema istituzionale.

6. Corte giustizia Unione Europea Sez. III, 18 luglio 2013, n. 201: il valore dello sport nell’ordinamento europeo

La sentenza pone in rilievo, direttamente e indirettamente, la funzione sociale dello sport, spingendosi a una tutela che potrebbe in ipotesi essere considerata come un limite all’autonomia dello sport. Ciò in contrapposizione all’interpretazione che gli organismi sportivi e la dottrina prevalente hanno da sempre dato alla specificità[50] dello sport, riconoscendola come ragione di autonomia e così di distacco dello stesso rispetto all’ordinamento generale (statale ed europeo).

La miglior conferma di tale autonomia è stata desunta dal nuovo art. 165 Tfue, in quanto si è ritenuto che l’inserimento del termine specificità dello sport all’interno dei Trattati comporti un riconoscimento, a livello normativo europeo, dell’indipendenza del diritto sportivo. Ma la formulazione dell’art. 165 Tfue, se interpretata senza fermarsi al mero dato testuale della norma (tra l’altro contenuta nell’ambito ben circoscritto delle azioni di sostegno e coordinamento), non pare giustificare un’esenzione dello sport dalla disciplina generale, come vorrebbero gli organismi sportivi. In ogni caso un’interpretazione completa e attuale deve tener conto anche della giurisprudenza della Corte di Giustizia che, occupandosi di sport fin dagli anni ’70, ha assoggettato il fenomeno sportivo, inizialmente soltanto per quel che riguarda la rilevanza economica dello stesso, alla disciplina generale dei Trattati. Ma non basta. Infatti, proprio dalla stessa giurisprudenza della Corte di giustizia post Lisbona si evince che la portata sociale dello sport può talvolta far rientrare la singola questione nell’ambito delle eccezioni previste in generale dai Trattati, sia con riferimento alle libertà fondamentali, sia con riferimento alle regole della concorrenza[51]. È in questo contesto che deve essere analizzata la sentenza della Corte di giustizia dell’Unione Europea, terza sezione, n. 201 del 18 luglio 2013, secondo la quale non viola l’art. 86, par. 1, Tce (ora art. 106, par. 1, Tfue) la decisione di uno Stato membro di vietare la trasmissione in esclusiva degli incontri del Campionato europeo di calcio su una televisione a pagamento, al fine di consentire al proprio pubblico di seguire tali eventi su una televisione ad accesso libero, in quanto la restrizione della libertà di prestazione dei servizi e di stabilimento è giustificata dal diritto all’informazione e dall’interesse generale diretto ad assicurare un ampio accesso del pubblico alle relative trasmissioni televisive di particolare rilevanza per la società.

Il caso, sottoposto alla Corte di giustizia, può essere così sintetizzato.

Con decisione del 25 giugno 1998 il Ministro della cultura, dei mezzi d’informazione e dello sport del Regno Unito e Irlanda del Nord ha predisposto un elenco di eventi di particolare rilevanza, in cui è stata ricompresa l’intera fase finale della Uefa Euro (Campionato europeo di calcio). Infatti, in base all’art. 3-bis, paragrafo 1, della direttiva 89/552 del Consiglio[52], la trasmissione televisiva di detti eventi poteva non essere riservata a taluni canali (titolari di un diritto di esclusiva appositamente acquistato), ma poteva essere assicurata su canali liberamente accessibili. In base al paragrafo 2 dello stesso articolo, l’elenco è stato trasmesso alla Commissione, deputata a verificare che tali misure fossero compatibili col diritto comunitario. La Commissione ha ritenuto legittime le misure adottate dal Regno Unito, in quanto proporzionate a giustificare una deroga al principio della libera prestazione di servizi, destinate a rispondere a un motivo imperativo di pubblico interesse e cioè ad assicurare l’ampio accesso dei telespettatori alla trasmissione di eventi di particolare importanza per la società. Proprio detta decisione della Commissione è alla base della controversia in esame[53].

È utile ricordare che il Tribunale di prima istanza aveva già preso in considerazione, riconoscendone la sussistenza, il potere discrezionale di ogni Stato membro di scegliere come “proteggere il diritto di informazione”[54]. Il Tribunale aveva richiamato, in particolare, i considerando 18-22 della direttiva 97/36, i cui contenuti oggi sono ripresi nei considerando 48-55 della nuova direttiva, che, al fine di tutelare il diritto di informazione, individuano alcuni eventi di particolare rilevanza: “i giochi olimpici, il campionato del mondo di calcio e il campionato europeo di calcio”. Già dalla stessa sentenza si evinceva, dunque, che detti eventi devono essere assicurati al pubblico e che il compito degli Stati membri è proprio quello di regolare l’esercizio delle emittenti televisive al riguardo. In altri termini il singolo ordinamento giuridico dovrebbe essere libero sia di scegliere quali eventi ritiene di grande rilevanza, sia di stabilire regole interne di selezione, ma allo stesso tempo dovrebbe impedire che vi sia un eccessivo limite al diritto di informazione, rimanendo così in capo alla Commissione il solo ruolo di controllo estrinseco, limitato al sindacato sull’errore manifesto e senza alcun potere di sostituzione[55].

La sentenza della Corte, riprendendo l’iter logico seguito dal Tribunale e respingendo l’impugnazione, riconosce non solo il giusto operato della Commissione, ma anche la piena legittimità dell’elenco predisposto dagli Stati membri, così sancendo inevitabilmente l’espansione del diritto di informazione e la compressione del diritto di proprietà dell’organizzatore dell’evento. Un diritto di informazione che cela al proprio interno l’importanza sociale dello sport, poiché, se quest’ultima caratteristica non fosse di rilievo, non ci sarebbe nessun diritto d’informazione (e d’interesse pubblico) da tutelare.

Nel complesso, dunque, le sentenze del Giudice europeo (Tribunale e Corte) si caratterizzano per avere espressamente preso in considerazione lo sport (o almeno taluni eventi sportivi) come materia rilevante per il Trattato, non già per il suo profilo economico (con conseguente assoggettamento alla disciplina generale in tema di libertà fondamentali e di regole di concorrenza), ma per il suo profilo di pubblico interesse. Infatti, quando l’interesse ad un avvenimento sportivo è proprio della pluralità di individui della comunità costitutiva dell’ordinamento giuridico di riferimento si verte nell’ipotesi del pubblico interesse, con conseguente deroga o eccezione alla disciplina delle libertà fondamentali e della libera concorrenza.

Il punto di particolare interesse non è tanto che vi possano essere restrizioni alla libera prestazione dei servizi e di stabilimento giustificate dal diritto all’informazione e dalla necessità di assicurare così un più ampio accesso del pubblico alle trasmissioni televisive, poiché tale tutela (c.d. pluralismo dei media) è già stabilita dall’art. 11 della Carta dei diritti fondamentali dell’Unione europea.

Quel che rileva è ciò che sta alla base dell’informazione e cioè l’interesse generale di questi eventi sportivi, che deriva esclusivamente dal valore sociale che viene riconosciuto allo sport. Tale valore sociale sussiste nel momento in cui i cittadini manifestano uno specifico interesse a tali avvenimenti sportivi (in questo caso al calcio). Infatti la Uefa non ha contestato la direttiva 98/552 nella parte in cui, all’art. 3-bis, paragrafo 1[56], autorizza gli Stati membri a qualificare taluni eventi come “eventi di particolare rilevanza”, nonostante fosse la disposizione di quest’articolo a comportare un ostacolo alla libera prestazione dei sevizi, alla libertà di stabilimento, alla libera concorrenza e al diritto di proprietà. La principale censura avanzata dalla Uefa ha riguardato, viceversa, l’estensione degli eventi sportivi, per i quali poteva valere il divieto di cessione in esclusiva dei diritti televisivi.

È importante quindi sottolineare come l’istituto introdotto dal citato art. 3-bis non sia stato messo globalmente in discussione. Secondo la Uefa tale norma non consentiva di ampliare l’ambito del divieto a tutta la fase finale dell’Euro, limitandolo alle sole partite di “gala”[57]. Considerato che la decisione della Commissione non aveva impedito tale ampliamento (disposto dal governo inglese), l’impugnazione era stata diretta proprio a censurare il difetto di verifica della Commissione e il suo giudizio finale di compatibilità delle misure adottate dal Regno Unito con il diritto comunitario. Tuttavia, la Corte ha riconosciuto la legittimità della decisione della Commissione, considerando che nella specie il Regno Unito aveva adeguatamente motivato in ordine all’interesse del pubblico inglese (anche di quello che abitualmente non segue il calcio) sull’intera (intesa come fase finale) manifestazione sportiva.

Ne deriva che non solo si è realizzata in tal modo una deroga al principio della libera prestazione di servizi (vicenda, questa, già contemplata nell’istituto dell’art. 3-bis citato), ma anche che tale deroga risulta modulata dalle determinazioni di uno Stato membro e dalla decisione della Commissione: la sua fonte, infatti, non si esaurisce nella direttiva che, anzi, pare aver lasciato un ampio margine di apprezzamento, non limitando l’ambito di applicazione ai campionati mondiali ed europei di calcio, ritenuti meramente esemplificativi. La Corte riconosce così che qualsiasi evento sportivo possa rientrare in astratto nell’elenco di ciascuno Stato membro, poiché ciò che rileva è l’interesse generale che genera tale evento, che non può che derivare dall’importanza sociale che gli viene riconosciuta in forza dell’interesse specifico manifestato dagli abitanti dello Stato.

Dunque, per la prima volta (in modo esplicito) un evento sportivo è stato considerato idoneo a giustificare la riferita deroga alle libertà fondamentali, in altri termini, un evento di interesse pubblico generale, che consente l’applicazione degli artt. 52 e 63 Tfue (già 46 e 55 Tce).

La giurisprudenza, del resto, da tempo ha riconosciuto che i motivi di ordine pubblico, di pubblica sicurezza e di sanità pubblica non esauriscono le cause di giustificazione di deroghe alle libertà fondamentali. Infatti, è la stessa giurisprudenza che, per le misure non discriminatorie, ha ammesso deroghe alle libertà sancite dal Trattato nel momento in cui vi siano esigenze imperative di interesse generale, così come riconosciute di volta in volta dalla stessa Corte di giustizia. Tuttavia, ai fini dell’ammissibilità della deroga[58], non basta che le misure perseguano un interesse generale, ma vi si deve riscontrare anche una coerenza tra gli effetti restrittivi e lo scopo perseguito, che deve quindi rispettare il c.d. principio di proporzionalità. Proprio questo bilanciamento di interessi era stato compiuto dal Regno Unito, che aveva già sottolineato, nella comunicazione delle misure adottate e notificate alla Commissione, come la fase finale dell’EURO fosse di grande interesse anche per le persone che abitualmente non seguono il calcio, così giustificando le ragioni dell’interesse generale alla base della stessa decisione nazionale.

La sussistenza dell’interesse generale, del resto, non appare nemmeno confutata dalla stessa Uefa, che addirittura l’ha implicitamente confermata nel momento in cui ha preteso che tali eventi sportivi rientrassero nell’ambito dei diritti televisivi in via esclusiva. È indubbio che se tali eventi sportivi non fossero stati ritenuti importanti, sarebbe mancato l’interesse ad includerli in trasmissioni a pagamento.

È certo, comunque, che la Uefa abbia fondato la propria domanda giudiziale sul diritto di proprietà avente ad oggetto gli eventi sportivi. Tale diritto è stato riconosciuto dal Giudice europeo che, però, ha ritenuto legittimo il limite imposto dall’interesse generale al pieno esercizio del diritto soggettivo (ex art. 17 della Carta dei diritti fondamentali dell’Ue). Ciò che rileva, quindi, è che la Corte ha sottolineato nuovamente come lo sport, con la sua valenza sociale, possa rientrare nell’interesse generale, per il quale la tutela del diritto fondamentale di proprietà non risulta una prerogativa assoluta. Infatti, assistere alla riproduzione televisiva di un avvenimento sportivo, considerato di grande rilevanza, risponde non solo ad un’aspettativa di essere informati, ma anche di partecipazione, per quanto passiva, all’evento stesso, vivendo il fenomeno sportivo e fruendo degli entusiasmi e dei messaggi che dallo stesso promanano.

In definitiva, la sentenza, sinteticamente analizzata, attribuisce all’evento di grande interesse pubblico, in cui ricomprende il calcio ad alto livello, un’importanza tale da poter essere riconosciuto come un limite alla libertà di impresa, facendo prevalere l’interesse pubblico all’informazione sull’aspetto economico. La Corte giunge così a privilegiare, con riguardo alla necessaria ponderazione degli interessi in gioco, l’accesso del pubblico all’informazione rispetto all’autonomia contrattuale. Una tutela indiretta dello sport che, attraverso il suo valore sociale, posto alla base dell’interesse pubblico da garantire, viene offerta sia dalle stesse norme dei trattati, sia dalle direttive.

Deve peraltro essere sottolineato come non si tratti di una decisione isolata, poiché ad analoghe conclusioni la Corte era già giunta con la sentenza del 22 gennaio 2013, causa C-283/11, in tema di realizzazione di brevi estratti di cronaca. Attraverso l’analisi congiunta di queste sentenze sembra possibile individuare un primo recepimento nella giurisprudenza europea dell’importanza della tutela del valore sociale dello sport anche in sede giudiziale.

L’apporto innovativo della sentenza è dato dalla collocazione nell’ambito dell’interesse generale del valore sociale dello sport[59], poiché in precedenza quest’ultimo rientrava nella c.d. specificità dello sport ed era considerato, dagli organismi sportivi, come punto di forza per sottolineare la loro autonomia. Infatti, come è ben noto, e come si è in precedenza accennato, i primi interventi della Corte, antecedenti all’entrata in vigore del Trattato di Lisbona, si sono occupati dello sport nella sua valenza economica, ritenendolo in quanto tale tenuto a rispettare sia le libertà fondamentali, sia le regole della concorrenza. Il che escludeva che vi fosse già, almeno sotto questo profilo, un’assoluta autonomia o comunque un’esenzione rispetto alla disciplina generale europea. Tuttavia, il ruolo sociale dello sport, nonostante fosse già stato oggetto di reiterata attenzione da parte delle Istituzioni europee, continuava ad essere incluso in quella “specificità”[60] sottratta alla giurisdizione della Corte e che di per sé portava alla non applicazione dei principi stabiliti dai Trattati.

Restava così un problema aperto: capire i limiti di questa c.d. sporting exception, che finiva per tradursi in sporting exemption.

Ora, con l’entrata in vigore dell’art. 165 Tfue, il valore sociale non può più essere considerato un principio di esenzione dalla disciplina generale, poiché non scaturisce più dall’autonomia delle federazioni, ma direttamente dalle disposizioni del Trattato e su di esso può intervenire la Corte. Un riconoscimento, dunque, che è testuale per quel che concerne le azioni di sostegno e che è, invece, inquadrabile nelle eccezioni previste in generale dai Trattati medesimi, nel momento in cui la componente sociale dello sport rientri nell’interesse generale (previsto appunto come eccezione dagli articoli del Tfue 101, paragrafo 3, per la concorrenza e 52, paragrafo 1, per le libertà fondamentali, così come interpretati in maniera estensiva dalla giurisprudenza per le misure non discriminatorie).

Per questi motivi la specificità dello sport, così come inserita nel Trattato, non deve essere più interpretata come una completa autonomia del sistema, ma deve essere intesa come un riconoscimento, da parte dell’ordinamento europeo, di un aspetto complesso, che ha molteplici sfaccettature, alcune delle quali trovano tutela diretta da parte dei principi europei e altre sono affidate alla regolamentazione tecnica delle federazioni. Con una importante precisazione e cioè che la disciplina tecnica, in quanto ricompresa nella specificità, oggi riconosciuta dal Trattato, non può più essere svincolata dai principi fondamentali dello stesso Trattato, nel cui ambito la stessa specificità è contemplata.

Diversamente, se si ritenesse di proseguire nella pregressa concezione della specificità sportiva, attribuendo alla autonomia delle Istituzioni sportive anche la piena discrezionalità nel perseguire la funzione sociale dello sport, si finirebbe col vanificare tutto il percorso tracciato dalle Istituzioni comunitarie che, seppur con atti non vincolanti, hanno cercato di «mantenere la funzione sociale dello sport in seno all’Unione europea»[61]Ma non solo. Infatti, si dovrebbe anche attribuire al legislatore europeo una formulazione confusa, se non addirittura contraddittoria, del nuovo art. 165 Tfue là dove, al primo paragrafo, è stato inserito il compito dell’Unione di contribuire alla promozione dello sport. La norma in esame impone all’Unione di tener conto della “specificità”, delle “strutture fondate sul volontariato” e della “funzione sociale ed educativa”. Tre diversi aspetti dello sport che finirebbero per dover confluire uno nell’altro, al di là di quello che è il significato letterale e logico della nuova disposizione.

Se il legislatore avesse inteso condizionare la promozione dei profili europei dello sport alla specificità, intesa globalmente e ricomprensiva di tutte le caratteristiche dell’attività sportiva, non avrebbe avuto alcuna necessità di fare espresso ed autonomo riferimento sia alle strutture fondate sul volontariato sia alla funzione sociale. Tali due specifici aspetti sono evidentemente stati considerati al di fuori della specificità e così diversi ed ulteriori rispetto alla disciplina tecnica del diritto sportivo.

Solo caso per caso si potrà stabilire se la singola vicenda, appartenente al mondo dello sport, sia assoggettata – per la sua valenza economica – alle regole generali sulle libertà fondamentali e sulla libera concorrenza; ovvero se – per la sua componente sociale – sia ravvisabile quell’interesse generale, che consente di derogare a detta disciplina.

Le considerazioni fin’ora tratteggiate inducono a chiedersi se il nostro ordinamento statale possa dirsi conforme al nuovo assetto europeo del diritto sportivo. Si deve analizzare, anche alla luce dei principi comunitari sanciti dalla sentenza in commento, l’art. 117, c. 3, della Costituzione, che, da un lato, riconosce esplicitamente lo sport come un “ordinamento” e, dall’altro, lo inserisce nelle materie di competenza concorrente regionale.

Il legislatore sembra, a prima vista, aver condiviso e aver fatto proprio l’orientamento della dottrina prevalente in ordine all’ordinamento sportivo. Ciò si desume non solo dalla riforma costituzionale, ma anche dalla l. n. 280/03 che ha riconosciuto il principio di autonomia[62] che regola i rapporti fra l’ordinamento sportivo e quello della Repubblica. Tuttavia, non sembra compatibile con l’autonomia – che dovrebbe essere tipica di ogni ordinamento -, l’assoggettamento dello sport alla disciplina statale, di derivazione non solo nazionale, ma anche regionale. Oggi si tratta, dunque, di capire come debba essere interpretata quest’autonomia: se rafforzativa del concetto di ordinamento e quindi come sovranità e indipendenza, oppure se esige uno specifico riconoscimento da parte degli ordinamenti sovraordinati (in questo caso quello statale), finendo per essere un’autonomia derivata. Se si propendesse per questa seconda interpretazione, si potrebbe dedurre che il legislatore con l’espressione ordinamento sportivo non intendesse un ordinamento in senso originario, ma un «ordinamento settoriale nell’ambito del più generale ordinamento giuridico della Repubblica»[63]. Viceversa, si giungerebbe a un paradosso: un ordinamento autonomo, ma che non soltanto deve sottostare alle norme statali, ma anche a quelle regionali.

Tale ricostruzione si può dire analoga a quella che si ritrova a livello comunitario. Infatti, se si volesse intendere la specificità dello sport, sancita dall’art. 165 Tfue, come il riconoscimento di un ordinamento separato, si giungerebbe allo stesso paradosso. Se, quindi, da un lato l’art. 165 Tfue inserisce il termine specificità accanto al termine sport, dall’altro lato lo sport è menzionato dall’art. 6 del Tfue, che elenca gli ambiti in cui l’Unione «ha competenza per svolgere azioni intese a sostenere, coordinare o completare l’azione degli Stati membri». È infatti noto che nelle competenze complementari le Istituzioni comunitarie hanno capacità integrativa, nei limiti del principio di sussidiarietà: nei limiti in cui si intende che una disciplina comunitaria a livello sovranazionale consenta un miglior assetto della materia, ritenendo pertanto insufficienti le normative dei singoli Stati membri.

Si può quindi dedurre che esiste una specificità dello sport, ma, dopo l’entrata in vigore del Trattato di Lisbona, non può più essere intesa né come esenzione, né come estraneità al diritto europeo. Il carattere venutosi a delineare della specificità la configura, addirittura, come una possibile eccezione alle garanzie stabilite dal Trattato sia in materia di libertà fondamentali, sia in materia di concorrenza. Quest’eccezione, però, non deriva più da un’autonomia dettata dall’esistenza di un ordinamento sportivo, ma può derivare dall’interesse generale perseguito, che può derogare alle norme europee grazie all’applicazione dei principi giurisprudenziali ricordati. Del resto che quest’eccezione non sia propria di un ordinamento separato lo si evince anche dalla constatazione che non rientra nell’interesse tutelato lo sport in sé considerato, ma lo sport in quanto presenti un rilievo sociale ed educativo: quegli stessi valori riconosciuti allo sport dal nuovo art. 165 Tfue. In questo contesto, infatti, la “specificità” non è ricollegata allo sport in quanto “ordinamento”, che come tale non risulta affatto menzionato, a differenza di quel che accade nella già richiamata normativa costituzionale italiana. Tale dato testuale conforta la conclusione già accennata nelle pagine che precedono in ordine all’impossibilità di riconoscere nella disciplina dello sport un ordinamento autonomo e separato da quello nazionale e sovranazionale[64].

In conclusione, attraverso l’analisi del nuovo art. 165 Tfue, alla luce anche della sentenza in esame, il diritto sportivo, lungi dall’essere estraneo ed autonomo rispetto al diritto dell’Unione, vi rientra pienamente non solo perché è assoggettabile alle sue regole generali, ma anche perché può avvalersi delle relative eccezioni.


Note:

[1] Finocchiaro, Alcune riflessioni sulle norme sul trattamento dei dati personali, in Contr. e impr., 2006, p. 1426 ss..

[2] Alpa-Markesinis, Il diritto alla “privacy” nell’esperienza di “common law” e nell’esperienza italiana, in Riv. trim. dir. proc. civ., 1997, p. 417 ss.; Zeno Zencovich, I diritti della personalità dopo la legge sulla tutela dei dati personali, in Studium Iuris, 1997, p. 466 ss..

[3] AA.VV., Libera circolazione e protezione dei dati personali, t. I e II, a cura di R. Panetta, con prefazione di S. Rodotà, Milano, 2006, 32.

[4] Castronovo, L’aporia tra ius dicere e ius facere, in Eur. e dir. priv., 2016, 1004.

[5]  Piraino, L’inadempimento dello Stato all’obbligo di attuazione delle direttive europee e il problema del risarcimento del danno, in Eur. e dir. priv., 2012, p. 707 ss..

[6] Granieri, Il trattamento di categorie particolari di dati personali nel Reg. UE 2016/679, in Le Nuove leggi civili commentate, 2017, p. 170 ss..

[7] Finocchiaro, Introduzione al Regolamento europeo sulla protezione dei dati, in Le nuove leggi civili commentate, 2017, p. 10 ss..

[8] Thiene, L’inconsistente tutela dei minori nel mondo digitale, in Studium iuris, 2012, p. 528 ss..

[9] Ajani-Pasa, Diritto comparatoCasi e materiali, Torino, 2013, p. 305.

[10] Castronovo, Situazioni soggettive e tutela nella legge sul trattamento dei dati personali, in Europa e diritto privato, 1998, p. 653 ss..

[11] Bocchiola, Privacy. Filosofia e politica di un concetto inesistente, Roma, 2014, 17.

[12] Luhmann, Il paradigma perduto, Roma, 2005, p. 73.

[13] Finocchiaro, Introduzione al Regolamento europeo sulla protezione dei dati, cit., pp. 1 s..

[14] Mantelero, Responsabilità e rischio nel Regolamento UE 2016/679, in Le nuove leggi civili commentate, 2017, p. 144 ss..

[15] Mantelero, Responsabilità e rischio nel Regolamento UE 2016/679, cit., p. 150 ss.: «L’ultima, e attuale, fase è rappresentata dallo sviluppo degli ambienti di cloud computing, dall’avvento dei Big Data analytics e dalle prime diffuse applicazioni dell’intelligenza artificiale. Dal cloud ai sistemi di apprendimento automatico (machine learning), queste innovazioni inducono un nuovo processo di centralizzazione e, nel contempo, aumentano la complessità e l’oscurità del trattamento dei dati, nonché la dipendenza dalle decisioni dei fornitori dei servizi o dei prodotti».

[16] Zeno Zencovich, Commento all’art. 22, in La tutela dei dati personali. Commentario alla legge 675/1996, a cura di E. Giannantonio, M.G. Losano,V. Zeno Zencovich, Padova, 1999, p. 274 ss.; Pellecchia, Commento sub art. 22 (Dati sensibili), in Le nuove leggi civili commentate, 1999, p. 533 ss.; Poletti, sub art. 23 (Dati inerenti alla salute), in C.M. Bianca, F.D. Busnelli (a cura di), Tutela della privacy. Commentario alla legge 675/96, Nuove leggi civ., 1999, p. 561 ss.; Gamberale, Il trattamento dei dati sensibili, in R. Panetta (a cura di), Libera circolazione e protezione dei dati personali, Milano, cit., p. 1071 ss.; Orestano, La circolazione dei dati personali, in R. Pardolesi (a cura di), Diritto alla riservatezza e circolazione dei dati personali, Milano, 2003, p. 194 ss..

[17]  Mormile, Lo statuto giuridico dei dati personali, in Libera circolazione e protezione dei dati personali, a cura di R. Panetta, cit., p. 531 ss..

[18] Di Giandomenico, Tipo negoziale e beni immateriali, in Rass. dir. civ., 2002, p. 137 ss..

[19] Zeno Zencovich, Sull’informazione come «bene» (e sul metodo del dibattito giuridico), in Riv. crit. dir. priv., 1999, p. 485 ss..

[20]  Ottolia, Privacy e social networks: profili evolutivi della tutela dei dati personali, in AIDA. Annali italiani del diritto d’autore, della cultura e dello spettacolo, 2011, pp. 372 ss..

[21] Messinetti, Circolazione dei dati personali e dispositivi di regolazione dei poteri individuali, in Riv. crit. dir. priv., 1998, p. 350 ss..

[22] Koops, The Trouble with European Data Protection Law, in International Data Privacy Law, 2014, p. 250 ss..

[23] Rodotà, Tra diritti fondamentali ed elasticità della normativa: il nuovo codice sulla privacy, in Eur. e dir. priv., 2004, p. 3 ss..

[24] Orestano, La circolazione dei dati personali, cit., p. 119 ss..

[25] Granieri, Il trattamento di categorie particolari di dati personali nel Reg. UE 2016/679, cit., p. 167 ss.

[26] Bargelli, sub art. 13 (Diritti dell’interessato),in C.M. Bianca, F.D. Busnelli (a cura di), Tutela della privacy. Commentario alla legge 675/96, cit., p. 394 ss..

[27] Ubertazzi, Proprietà intellettuale e privacy, in L.C. Ubertazzi (a cura di), Il regolamento Agcom sul diritto d’autore, Quaderni di AIDA, 2014, p. 435 ss..

[28] Pinori, Internet e responsabilità civile per il trattamento dei dati personali, in Contr. e impr., 2007, p. 1568 ss..

[29] Momento che nella fattispecie del trattamento di dati personali non ottenuti dall’interessato è fissato dall’art. 14, comma 3° in: a) un tempo ragionevole dall’ottenimento, ma al più tardi entro un mese; b) nel caso in cui i dati personali siano destinati alla comunicazione con l’interessato, al più tardi al momento della prima comunicazione; c) nel caso in cui sia prevista la comunicazione a un altro destinatario, non oltre la prima comunicazione.

[30] A tali informazioni si aggiungono quelle prescritte dagli artt. 13, commi 2° e 3°, e 14, commi 2° e 4°, reg. 2016/679.

[31] L’art. 5, comma 1°, lett. e), reg. 2016/679 prosegue precisando che «i dati personali possono essere conservati per periodi più lunghi a condizione che siano trattati esclusivamente a fini di archiviazione nel pubblico interesse, di ricerca scientifica o storica o a fini statistici, conformemente all’articolo 89, paragrafo 1, fatta salva l’attuazione di misure tecniche e organizzative adeguate richieste dal presente regolamento a tutela dei diritti e delle libertà dell’interessato».

[32] Piraino, La liceità e la correttezza, in R. Panetta (a cura di), Libera circolazione e protezione dei dati personali, cit., p. 745 ss..

[33] Thobani, I requisiti del consenso al trattamento dei dati, Santarcangelo di Romagna, 2016, pp. 13-87.

[34]  Nel caso di limitazioni ex art. 23 reg. 2016/679, la medesima disposizione, al paragrafo 2, prevede che la misura legislativa che realizza la limitazione debba contenere «disposizioni specifiche riguardanti almeno, se del caso: a) le finalità del trattamento o le categorie di trattamento; b) le categorie di dati personali; c) la portata delle limitazioni introdotte; d) le garanzie per prevenire abusi o l’accesso o il trasferimento illeciti; e) l’indicazione precisa del titolare del trattamento o delle categorie di titolari; f) i periodi di conservazione e le garanzie applicabili tenuto conto della natura, dell’ambito di applicazione e delle finalità del trattamento o delle categorie di trattamento; g) i rischi per i diritti e le libertà degli interessati; e h) il diritto degli interessati di essere informati della limitazione, a meno che ciò possa compromettere la finalità della stessa».

[35] Salzano, I diritti dell’interessato, in Il codice in materia di protezione dei dati personaliCommentario sistematico al D.Lgs. 30 giugno 2003 n. 196, a cura di J. Monducci-G. Sartor, Padova, 2004, p. 19 ss..

[36] Le informazioni incluse nel diritto di accesso di cui all’art. 15 reg. 2016/679 sono: «a) le finalità del trattamento; b) le categorie di dati personali in questione; c) i destinatari o le categorie di destinatari a cui i dati personali sono stati o saranno comunicati, in particolare se destinatari di paesi terzi o organizzazioni internazionali; d) quando possibile, il periodo di conservazione dei dati personali previsto oppure, se non è possibile, i criteri utilizzati per determinare tale periodo; e) l’esistenza del diritto dell’interessato di chiedere al titolare del trattamento la rettifica o la cancellazione dei dati personali o la limitazione del trattamento dei dati personali che lo riguardano o di opporsi al loro trattamento; f) il diritto di proporre reclamo a un’autorità di controllo; g) qualora i dati non siano raccolti presso l’interessato, tutte le informazioni disponibili sulla loro origine; h) l’esistenza di un processo decisionale automatizzato, compresa la profilazione di cui all’articolo 22, paragrafi 1 e 4, e, almeno in tali casi, informazioni significative sulla logica utilizzata, nonché l’importanza e le conseguenze previste di tale trattamento per l’interessato».

[37] Thiene, Segretezza e riappropriazione di informazioni di carattere personale: riserbo e oblio nel nuovo Regolamento

 europeo, in Le Nuove leggi civili commentate, 2017, §§ 4 ss..

[38] Perlingieri, Equilibrio normativo e principio di proporzionalità nei contratti, in Rass. dir. civ., 2001, p. 334 ss..

[39] L’art. 19 reg. 2016/679 prosegue riconoscendo all’interessato il diritto di richiedere al titolare l’indicazione di tali destinatari.

[40] Piraino, La liceità e la correttezza, cit., p. 787 ss..

[41] zanou, Is Data Protection the Same as Privacy? An Analysis of Telecommunications’Metadata Retention Measures, in 17 Journal of Internet Law, 2013, p. 20 ss..

[42] Thiene, Segretezza e riappropriazione di informazioni di carattere personale: riserbo e oblio nel nuovo Regolamento

europeo, cit., § 1..

[43] Becchi, Il principio dignità umana, Brescia, 2013, 12.

[44] Ferrajoli, Diritti fondamentali. Un dibattito teorico, a cura di E. Vitale, Roma-Bari, 2008, pp. 5-48.

[45] Focarelli, La privacy, Bologna, 2015, p. 157.

[46] Navarretta, Commento sub art. 9 (Modalità di raccolta e requisiti dei dati personali), in C.M. Bianca, F.D. Busnelli (a cura di), Tutela della privacy. Commentario alla legge 675/96, cit., p. 323 ss..

[47] Iamiceli, Liceità, correttezza, finalità nel trattamento dei dati personali, in R. Pardolesi (a cura di), Diritto alla riservatezza e circolazione dei dati personali, cit., p. 419 ss..

48   Thiene, Segretezza e riappropriazione di informazioni di carattere personale: riserbo e oblio nel nuovo Regolamento europeo, cit., § 1.

[49] Sassen, Espulsioni. Brutalità e complessità nell’economia globale, Bologna, 2015, 54.

[50] Arnaut, Il rapporto indipendente sullo sport in Europa (sintesi 2006), in www.indipendentsportreview.com, p.10.

[51] Sentenze della Corte di giustizia, 4 ottobre 2011, cause C-403/08 e C-429/08; 22 gennaio 2013, causa C-283/11.

[52] Ora abrogata e sostituita nella sostanza dalla direttiva 2010/13/Ue del Parlamento europeo e del Consiglio, del 10 marzo 2010, relativa al coordinamento di determinate disposizioni legislative, regolamentari e amministrative degli Stati membri concernenti la fornitura di servizi di media audiovisivi.

[53] Bisogna ricordare che l’ampio ventaglio delle censure ha generato, peraltro, già in primo grado una precisa eccezione di ordine processuale (fatta valere dal Regno di Belgio, ma delibata d’ufficio dal Giudice comunitario, data la posizione di mero interveniente del primo) in ordine all’impugnabilità di una decisione della Commissione, che finisce inevitabilmente per scontare eventuali vizi attinenti alla fase per così dire nazionale della procedura. Come è noto, infatti, nei c.d. procedimenti di co-amministrazione è compito del Giudice nazionale, e non del Giudice europeo, sindacare sulla legittimità degli atti nazionali che si inseriscono in un procedimento che avrà poi conclusione in una decisione delle Istituzioni europee. Se, dunque, il Tribunale e la Corte avessero seguito questa impostazione generale anche per il caso in esame avrebbero dovuto ritenere irricevibile il ricorso, perché la competenza giurisdizionale sarebbe stata del Giudice inglese (avverso, ovviamente, la sola determinazione del Governo inglese).

[54] Sentenza del Tribunale dove al punto 150 si ricorda come «l’art.3-bis, n.1, della direttiva 89/552 non» enunci «gli elementi specifici che devono caratterizzare le procedure istituite a livello nazionale ai fini della redazione dell’elenco di eventi di particolare rilevanza per la società». Viene così lasciato «agli stati membri un potere discrezionale per organizzare le procedure di cui trattasi per quanto riguarda le loro fasi, l’eventuale consultazione degli interessati e l’attribuzione delle competenze amministrative, pur precisando che esse devono essere improntate alla chiarezza e alla trasparenza nel loro insieme».

[55] Conclusioni dell’Avv. Gen. Nilo Jääskinen, 12 dicembre 2012, punti 19, 20 e 21: «la portata del controllo che la Commissione è autorizzata a esercitare a titolo di controllo delle decisioni nazionali che definiscono un servizio di interesse economico generale è limitata a quello dell’errore manifesto. Si può inoltre fare riferimento, per analogia, al diritto dell’ambiente e alla ripartizione delle competenze tra gli Stati membri e la Commissione nel settore del sistema di scambio delle quote di emissione di gas a effetto serra». […] «Nella fattispecie l’intento del legislatore dell’Unione di conferire alla Commissione unicamente un potere di controllo di conformità degli elenchi nazionali e non già un potere di sostituzione o di uniformazione che includa il potere di stilare autonomamente l’elenco nazionale in base a proposte nazionali, emerge anche dai lavori preparatori della direttiva 97/36».

[56] Art. 3-bis, paragrafo 1, della direttiva 89/552 del Consiglio, sopra citata.

[57] Gli incontri “gala” dell’Euro comprendono in particolare l’incontro di apertura, le semifinali, la finale e gli incontri di una squadra nazionale del paese interessato. Gli altri incontri sono considerati “non gala”.

[58] Sono quattro le caratteristiche che deve presentare la misura nazionale per poter impedire o anche solo rendere meno attraente l’esercizio del diritto di stabilimento, così come la libera prestazione di servizi: la prima è che essa debba applicarsi in maniera non discriminatoria (misura c.d. indistintamente applicabile), la seconda è che tale misura debba essere giustificata da ragioni imperiose di interesse generale, la terza è che sia oggettivamente idonea a garantire la realizzazione dell’obiettivo prefissato, sempre che, come quarta caratteristica, non vada oltre quanto necessario per il raggiungimento di tale scopo (Cfr. Corte di giustizia, 17 novembre 2009, causa C-169/08, Presidente del Consiglio dei Ministri c. Regione Sardegna; Corte di giustizia, 10 marzo 2009, causa C-169/07, Hartlauer; Corte di giustizia, 21 aprile 2005, causa C-140/03, Commissione v. Grecia; M. Condinanzi aggiunge una quinta condizione e cioè che «la protezione dell’interesse generale sotteso non sia già garantita dalla normativa del paese di provenienza dello stabilito» (in Diritto dell’Unione europea – parte speciale, a cura di G. Strozzi, Torino, 2010, III ed., p. 199). 

[59] Smismans, The European Social Dialogue Between Costitutional and Labour Law, 32(3) European Law Review, 2007, 342.

60  Colantuoni, Diritto sportivo, Torino, 2009, p. 11.

[61] Conclusioni del Presidente del Consiglio europeo di Nizza del 2000, allegato IV, punto 1.

[62] Un’indipendenza da sempre rivendicata da parte del settore sportivo che trova il cuore della sua specialità nel c.d. “vincolo di giustizia” per il quale gli sportivi, attraverso l’inserimento di clausole compromissorie negli statuti delle federazioni sportive, devono risolvere le loro controversie, concernenti l’attività sportiva, non sotto l’egida dello Stato, ma davanti agli organi della giustizia sportiva. Cfr. M. R. Spasiano, La giustizia sportiva innanzi al giudice amministrativo: problemi aperti, in Ordinamento sportivo e calcio professionistico: tra diritto ed economia, a cura di R. Lombardi e altri, Milano 2009, p. 105 ss..

[63] Forlenza, in AA.VV., Diritto dello sport, Firenze, 2004, p. 28.

[64] Già autorevole dottrina ha preso posizione in modo netto, nei seguenti termini: «in particolare si è osservato che l’ipostatizzazione di un ordinamento distinto e quindi separato da quello dello Stato legittima in modo automatico l’esistenza di un’area fenomenica sottratta a quest’ultimo e alle sue norme, a cominciare da quelle costituzionali. Ora, se questo appare del tutto ragionevole dove l’ordinamento “altro” è, per esempio, quello di un diverso Stato, il discorso cambia, e si fa addirittura “pericoloso”, quando si tratta di una espressione del pluralismo sociale, o “formazione sociale” (ex art. 2 cost.), quale l’organizzazione sportiva». Arrivando a porre in chiara e motivata critica la concezione dello sport come ordinamento, in qualche modo anticipando gli interventi comunitari e così affermando: «qualora, infatti, l’ordinamento non fosse originario (come appunto quello degli Stati), sarebbe “derivato”, che significa “subordinato”: dunque, non risulterebbe neppure separato, e, al fondo, non risulterebbe nemmeno un ordinamento». Ferrara, Giustizia sportiva, in Enc. dir., Annali III, Milano, 2009, p. 494.

Cristina Fittipaldi

Scrivi un commento

Accedi per poter inserire un commento