Profilazione, diritto alla privacy e tutela del minore

Il GDPR definisce tre forme di tutela per l’interessato: il reclamo all’autorità di controllo per una violazione del regolamento da parte del trattamento che lo riguarda (art. 77); il ricorso giurisdizionale avverso le decisioni vincolanti dell’autorità di controllo (art. 78); il ricorso giurisdizionale “diretto” nei confronti del titolare o del responsabile del trattamento per la violazione dei propri diritti riconosciuti dal regolamento in seguito a un trattamento (art. 79).
Questi strumenti di tutela assicurano il «diritto a un ricorso effettivo» (quindi, dinanzi a un giudice indipendente e imparziale, in un giudizio equo ed entro un termine ragionevole) previsto all’art. 47 della Carta dei Diritti Fondamentali dell’Unione Europea, la cui forza vincolante è stata riconosciuta dal Trattato di Lisbona.
Per ciò che concerne il primo mezzo di tutela, il ricorso sarà rivolto all’Autorità pubblica indipendente (chiaramente, l’Autorità Garante per la Protezione dei Dati Personali in Italia) dello Stato membro in cui risiede abitualmente, lavora o dove si è verificata la presunta violazione – tuttavia è necessario menzionare che nelle bozze del Regolamento era stata prevista la possibilità di ricorrere all’Authority di qualsiasi Stato membro, scelta poi accantonata per evitare che sorgessero incertezze sull’autorità che avrebbe dovuto occuparsi dell’istanza²⁰³.
Il criterio di competenza basato sul luogo in cui si è presumibilmente verificata la violazione riconosce la possibilità di adire l’Autorità anche a soggetti che non risiedono o non lavorano in uno degli Stati membri. Se la violazione è avvenuta online, invece, parte della dottrina²⁰⁴ ritiene che la competenza territoriale vada individuata con riferimento al luogo in cui titolare (o il responsabile) svolge la propria attività, perché è lì che si presume siano state adottate le decisioni – ciò appare però in contrasto con l’orientamento della giurisprudenza della Cassazione²⁰⁵ che, invece, riferendosi ai casi di illeciti commessi tramite l’utilizzo di «mezzi di comunicazione a diffusione multipla e generalizzata» (nella fattispecie riportata, la diffamazione a mezzo stampa), individua il forum commissi delicti nel luogo in cui si sono verificati i danni derivanti dall’evento, «ovvero nel luogo in cui il soggetto offeso aveva il proprio domicilio all’epoca del fatto» perché rappresenta lo spazio in cui ricadono gli effetti negativi della lesione della reputazione.
Il ricorso è stato dettagliatamente disciplinato, nel nostro ordinamento, all’art. 142 del Codice della Privacy che ne ha previsto i contenuti e la possibilità per l’interessato di sottoscriverlo autonomamente e difendersi senza l’assistenza di un difensore tecnico – per tale scopo al co. 4 è stabilito che il Garante predisponga un «modello per il reclamo» a favore del ricorrente. Il successivo art. 143 prevede che il Garante, entro il termine di 9 mesi dalla presentazione del ricorso, definisca il procedimento con una decisione, – verso la quale è ammesso il ricorso giurisdizionale in linea con quanto previsto all’art. 78 del Regolamento – e che nei casi di non manifesta infondatezza e in sussistenza dei relativi presupposti l’Autorità possa esercitare i «poteri correttivi» di cui all’art. 58, co. 2 del Regolamento UE: avvertimenti e ammonimenti verso il titolare, ingiunzioni a soddisfare le richieste dell’interessato e a conformare il trattamento alle disposizioni previste, nonché la possibilità di limitare o vietare il trattamento e ordinare la rettifica o la cancellazione dei dati personali.
La seconda tipologia di ricorso, rivolto all’autorità giurisdizionale dello Stato membro in cui è stabilita l’autorità di controllo, ha ad oggetto le decisioni giuridicamente vincolanti di quest’ultima, il mancato esame da parte della stessa di un reclamo o il fatto che essa non ottemperi all’obbligo di informare, entro tre mesi, del reclamo proposto dal ricorrente ai sensi dell’art. 77. Quest’ultimo caso configurerebbe un «silenzio-inadempimento» da parte dell’Autorità che priverebbe l’interessato di una rapida tutela che l’art. 78 cerca di ripristinare²⁰⁶.

Nel nostro ordinamento, per quanto riguarda la competenza territoriale, il D.Lgs. n. 150/2011 («Disposizioni complementari al codice di procedura civile») il legislatore la attribuisce, ai sensi dell’art. 10, al tribunale del luogo in cui ha la residenza il titolare del trattamento dei dati per richiamo espresso all’art. 152 del Codice della Privacy che si occupa della giurisdizione dei ricorsi di cui agli artt. 78 e 79 del Regolamento. La scelta operata dal legislatore nazionale in quest’ultima disposizione, di affidare tali controversie alla giurisdizione esclusiva dell’autorità giudiziaria ordinaria, è condivisa da gran parte della dottrina perché, al contrario, l’ipotesi di distinguerla da quella del giudice amministrativo in base alla situazione giuridica soggettiva che rileva nel ricorso avrebbe fatto sorgere diverse problematiche nei casi controversi²⁰⁷. Inoltre, è parso preferibile²⁰⁸ attribuire alla giurisdizione del giudice ordinario la tutela di posizioni individuali significative come la categoria dei diritti della personalità.
È inoltre da menzionare che, secondo l’opinione della Suprema Corte²⁰⁹, in ciascuno dei due casi previsti dall’art. 79, l’Autorità Garante sarebbe legittimata a integrare il contradittorio del giudizio innanzi all’autorità giurisdizionale opponendosi al ricorrente per far valere il medesimo pubblico interesse che il legislatore gli ha riconosciuto nel procedimento di cui all’art. 77, durante il quale, essendo di natura amministrativa, non gli viene affidata una posizione di terzietà equiparabile a quella del giudice nel corso del processo («il garante non è un giudice»).
Infine, l’ultimo ricorso previsto dal capo VIII è una tutela promossa dinanzi all’autorità giurisdizionale dello Stato membro in cui il titolare (o il responsabile) del trattamento, nei confronti del quale è rivolta l’azione, ha uno stabilimento. È proponibile dall’interessato qualora egli ritenga che i diritti a lui riconosciuti ai sensi del Regolamento siano stati violati a seguito di un trattamento.
Il già citato art. 10 del D.Lgs. n. 150/2011 prevede che le controversie sorte con questo ricorso siano regolate dal rito del lavoro con alcune peculiarità disposte dalla stessa norma: ad esempio, si prevede che la sentenza che definisce il giudizio possa prescrivere le misure necessarie anche in deroga al divieto di modifica o revoca del provvedimento amministrativo²¹⁰ e anche in relazione all’eventuale atto del soggetto pubblico titolare del trattamento. Su tale punto della disciplina parte della dottrina si è orientata verso un’interpretazione diretta a riconoscere all’autorità giurisdizionale ordinaria «tutti i poteri necessari ad affrontare le violazioni» previste dalla legge²¹¹ e dunque anche sugli atti amministrativi sottostanti che ledono il diritto alla riservatezza – altrimenti, seguendo un’interpretazione restrittiva, non si garantirebbe all’interessato una tutela completa da parte del giudice sulle situazioni giuridiche innanzi all’autorità indipendente²¹². È, in ogni caso, garantita la possibilità per il giudice di sospendere l’efficacia del provvedimento dell’Autorità Garante per «gravi e circostanziate ragioni esplicitamente indicate nella motivazione».

L’art. 79 precisa infine al secondo par. che, per quanto concerne il profilo della competenza territoriale, le azioni possono essere «in alternativa» promosse innanzi alle autorità dello Stato membro in cui l’interessato ha abituale residenza salvo che il titolare sia un’autorità pubblica che agisce nell’esercizio di pubblici poteri – per stabilire il giudice competente all’interno dello Stato individuato, successivamente, è necessario fare riferimento alle disposizioni previste dalla normativa interna.
Per quanto attiene al profilo della responsabilità (e della risarcibilità del danno), il caposaldo è costituito dall’art. 82 del Regolamento secondo il quale «chiunque subisca un danno materiale o immateriale causato da una violazione del presente regolamento ha il diritto di ottenere il risarcimento del danno dal titolare del trattamento o dal responsabile del trattamento».
È necessario premettere che nel nostro ordinamento, prima dell’armonizzazione al Regolamento ad opera del D.Lgs. n. 101/2018, il Codice in materia di Privacy prevedeva all’art. 15 («danni cagionati per effetto del trattamento», oggi abrogato) che il danno causato dal trattamento di dati personali dovesse essere risarcito ai sensi dell’art. 2050 del Codice Civile, relativo alla responsabilità extracontrattuale durante lo svolgimento di un’attività pericolosa. Assimilando il data processing alle attività pericolose, l’onere della prova a carico dell’interessato era alleggerita rispetto al danneggiato che rientrava nella fattispecie generale di cui all’art. 2043 c.c. – di conseguenza, quest’ultimo doveva limitarsi a riportare l’evento dannoso e il nesso di causalità col danno, mentre il titolare del trattamento doveva dimostrare di aver adoperato tutte le possibili misure idonee a non far sorgere il danno.
Analizzando la disciplina attuale, rilevano come figure soggettive responsabili, e chiamate al risarcimento, le stesse già menzionate nel precedente capitolo: il titolare, il responsabile del trattamento e gli eventuali co-titolari e co-responsabili, tra i quali sorge un’obbligazione risarcitoria solidale per il danno subito dall’interessato. All’interno del rapporto che intercorre tra loro, invece, va distinto il diverso apporto causale alla verificazione dell’evento lesivo²¹³. È tuttavia specificato dal legislatore²¹⁴ che vi è un esonero di responsabilità per queste figure se esse sono in grado di dimostrare che l’evento dannoso «non gli è in alcun modo imputabile».
Le responsabilità rilevabili vanno differenziate: se il titolare risponde per il danno cagionato dal suo trattamento che viola le norme del Regolamento (tra cui i principi di cui agli artt. 5 e 6, già citati), il responsabile risponde per il danno causato dal trattamento se non adempie agli obblighi a lui direttamente riconosciuti dalla legge o «se ha agito in modo difforme o contrario rispetto alle legittime istruzioni del titolare […]».
Il campo delle violazioni risarcibili è però, in realtà, più ampio di quello che risulta dalle sole disposizioni del GDPR, essendo chiarito al considerando 146 che non sono pregiudicate le azioni di risarcimento di danni che derivano dalla violazione di altre norme UE o degli Stati membri. L’ambito riguarda infatti «anche il trattamento non conforme agli atti delegati e agli atti di esecuzione adottati in conformità del presente regolamento e alle disposizioni del diritto degli Stati membri […]».





_{203 CANDINI A., Gli strumenti di tutela, in FINOCCHIARO G. (a cura di), Il nuovo Regolamento europeo sulla privacy e sulla tutela dei dati personali, Zanichelli Editore, Bologna, 2017, p. 576.
204 PELLINO E., Le tutele e il danno risarcibile, in BISTOLFI C., BOLOGNINI L., PELINO E., Il regolamento privacy europeo. Commentario alla nuova disciplina sulla protezione dei dati personali, Giuffrè Editore, Milano, 2016, p. 579.
205 Cfr. Cass., 1 dicembre 2004, n. 22586; Cass., 23 settembre 2005, n. 18665; Cass. 13 ottobre 2009, n. 21661.
206 GIORDANO R., La tutela amministrativa e giurisdizionale dei dati personali, in CUFFARO V., D’ORAZIO R., RICCIUTO V. (a cura di), I dati personali nel diritto europeo, G. Giappichelli Editore, Torino, 2019.
207 CARRATTA A., Aspetti processuali della disciplina sul trattamento dei dati personali, in Rivista di diritto processuale, 2000, p. 139.
208 PROTO PISANI A., La tutela giurisdizionale dei diritti della personalità: strumenti e tecniche di tutela, in Il Foro Italiano, Vol. 113, V, 1990, p. 23.
209 Cass. 20 maggio 2002, n. 7341, Garante per la protezione dei dati personali c. Soc. Assitalia, in Il Foro Italiano, Vol. 125, n. 10, p. 2682.
210 L. n. 2248/1865, Allegato E, art. 4, co. 2.
211 LUISO F. P., Tutela amministrativa e giurisdizionale, in CUFFARO V., RICCIUTO V., ZENO- ZENCOVICH V. (a cura di), Trattamento dei dati e tutela della persona, Giuffrè, Milano, 1998, p. 680.
212 PERINI A., Autorità amministrative indipendenti e tutela giurisdizionale, in Diritto amministrativo, 1994, p. 98.
213 TOSI E., La responsabilità civile per trattamento illecito dei dati personali, in TOSI E. (a cura di), Privacy digitale. Riservatezza dei dati personali tra GDPR e nuovo Codice Privacy, Giuffrè Francis Lefebvre, Milano, 2019, p. 650.
214 Reg. (UE) 2016/679, Considerando 146.}