Come si è arrivati al GDPR: dalla privacy al Regolamento

30 giugno 2020
Tempo di lettura stimato: 10'
Come siamo arrivati al GDPR? Non è che chi fa le norme europee un giorno ha deciso di regolamentare la questione del trattamento dei dati personali così, tanto per rendere la vita difficile a tutte le imprese, gli enti e i professionisti d’Europa. No, la storia della protezione delle informazioni personali inizia molto tempo prima dell’UE, molto tempo prima del Codice Privacy e soprattutto non inizia nel Vecchio Continente, ma negli Stati Uniti di fine ‘800 quando, per la prima volta, si è iniziato a parlare di privacy
In questo articolo, estratto da un intervento del Professor Pizzetti, ripercorriamo le tappe che hanno portato al GDPR. 
Attenzione. Spoiler. Privacy e protezione dei dati personali non sono sinonimi. Nell’opinione comune sono considerati sostanzialmente equivalenti ma, come vedremo, non è così.
Dicevo che tutto è iniziato negli Stati Uniti di fine ‘800, a Boston, quando due avvocati, Warren e Brandeis, pubblicano sulla rivista Harvard Law Review il primo articolo sul diritto alla privacy.


1890, “The Right to Privacy” e la differenza tra protezione del dato e diritto alla privacy

Adesso immaginati la Boston di fine ‘800. Ci sono ancora le carrozze. La radio praticamente non esiste (Marconi e gli altri ci stanno ancora lavorando). Niente TV. La tecnologia più avanzata in campo media è la fotografia. Il mezzo di comunicazione più diffuso è la stampa. Bene. Ad un certo punto i giornali iniziano a pubblicare le foto delle signore dell’alta società con i loro gonnelloni e i cappellini mentre partecipano agli eventi mondani. È un caso che si inizi a parlare di informazioni personali proprio in questa situazione? No, perché se guardiamo la cosa dal punto di vista della protezione dei dati, vediamo che ci sono un’infrastruttura tecnologica e dei dispostivi – cioè la stampa e le macchine fotografiche – che possono diffondere in maniera massiccia – attraverso i giornali - le immagini delle persone. Oggi lo chiameremmo trattamento e diffusione di dati su larga scala
Intendiamoci, il dato personale non nasce con la tecnologia. È da quando è comparso sulla terra che l’uomo produce dati. Anche le pitture rupestri sono dei dati personali, che non possiamo ricondurre a chi le ha realizzate – non c’è la firma, almeno per quanto ne sappiano noi – ma sono comunque dati (anonimi). Quindi produciamo dati personali a prescindere e li proteggiamo da sempre. 
Cosa è cambiato nella Boston di fine ‘800? 
Lo sviluppo tecnologico. La diffusione del dato non è più limitata alla piazza cittadina, alle chiacchiere nelle sale da tè o al club per gentiluomini. Le foto delle signore belle ed eleganti finiscono sul giornale che tutti possono vedere. Non è la tecnologia di per sé, ma l’uso che se ne fa a creare un problema per i singoli individui. 
Un problema che è cresciuto con le tecnologie informatiche, perché possono diffondere il dato in modo massiccio. Un conto è il pettegolezzo delle vecchiette che spiano dalla finestra, un altro è la foto del paparazzo che pubblica la tresca dell’attricetta sui giornali, un altro ancora è l’immagine postata sui Social, visibile a milioni di persone.
Ma torniamo a Warren e Brandeis.
Colpiti da questa intrusione nella vita delle persone, Warren e Brandeis scrivono un articolo “The Right to Privacy” dove dicono sostanzialmente questo: c’è un diritto della persona alla vita privata e al rispetto della vita privata. È uno spazio di autonomia, di sfera chiusa, che va tutelato dall’intrusione di altri, che siano terzi o lo Stato. 
Quindi la privacy è un concetto legato alla riservatezza. C’è un limite oltre il quale non si può andare, dove l’accesso è consentito solo agli autorizzati. Vuoi entrare nel giardino di casa mia? Senza il mio consenso non lo puoi fare. È un concetto simile a quello della protezione del dato personale, ma non identico. 


La differenza tra privacy e protezione del dato personale


Antonio - GDPR Privacy

Privacy e protezione del dato non sono la stessa cosa, perché quando parliamo di privacy e di riservatezza intendiamo la tutela della sfera privata secondo la tradizione americana, mentre la protezione del dato riguarda tutte le informazioni su una persona
Facciamo un esempio - Se Antonio a casa sua gira in mutande, con la cuffia da doccia rosa in testa e la giarrettiera, sono fatti suoi, è la sua privacy. Se per lavoro Antonio deve comprare un biglietto del treno per andare da Reggio Emilia a Milano, dove sopra c’è scritto come si chiama, a che ora parte e qual è il suo posto a sedere, è un trattamento di dati personali. 
È una differenza sottile, ma importante. Perché nel testo del GDPR non si parla mai di privacy
Bene. Ad un certo punto, questo concetto di privacy e di tutela della sfera privata delle persone arriva anche in Europa. Ma qui il contesto è molto diverso. Se negli USA l’idea è difendersi dall’intrusione di privati - giornali, aziende, altre persone - in Europa l’idea è quella di difendersi dall’intrusione dello Stato


Costituzione italiana (1947) e Convenzione CEDU (1950): tutela della sfera privata dallo Stato

Quando il concetto di privacy arriva in Europa, non si parla ancora di dato personale - siamo nell’Europa post-bellica e dovremo aspettare circa 30 anni per la prima legge sulla protezione dei dati – e gli Stati totalitari sono ancora una cosa fresca. Il regime fascista in Italia e quello nazista in Germania sono appena caduti, l’Unione Sovietica è più attiva che mai. È chiaro. La sfera privata va protetta dallo Stato
Oggi non è più così, lo sappiamo. 
Google, Facebook, Amazon e gli altri colossi del web sono soggetti privati che ormai hanno dimensioni gigantesche, quasi degli Stati di fatto. Sono poteri privati: società private che hanno un potere enorme sulla nostra identità digitale. 
Ma torniamo alle tappe del GDPR e guardiamo agli anni tra il secondo dopo guerra e l’inizio della Guerra Fredda. Concentriamoci sull’Italia e sul resto d’Europa. Vengono emanate 2 norme fondamentali che riguardano la sfera privata: l’articolo 8 della CEDU e l’articolo 2 della nostra Costituzione. 
1 – L’articolo 8 della Convenzione Europea dei Diritti dell’Uomo (CEDU) del 1950 sancisce il diritto al rispetto della vita privata. 
Occhio a non confondere la CEDU con la CE, la CEE, l’UE eccetera eccetera. Sarò breve: la CEDU è una Convenzione internazionale redatta e adottata nell'ambito del Consiglio d'Europa, che non è né il Consiglio dell’Unione né il Consiglio Europeo - lo so è complicato… – quindi non c’entra con l’Unione Europea. È un'organizzazione internazionale che promuove la democrazia, i diritti umani, l'identità culturale europea e la ricerca di soluzioni ai problemi sociali in Europa, con sede a Strasburgo. Ne fanno parte alcuni Stati che rientrano nell’UE e altri che invece sono fuori dall’UE. Per essere chiari, hanno aderito alla CEDU sia la Turchia che la Russia, che se non fosse chiaro non sono Stati dell’Unione Europea. 

2 – l’articolo 2 della Costituzione italiana del 1947 sancisce il rispetto dei diritti inviolabili dell’uomo. La persona è centrale rispetto allo Stato, possiede dei diritti inviolabili che la Repubblica deve riconoscere e garantire. 


1978 e 1981. Le prime norme sulla protezione dei dati personali

Passano quasi 30 anni dalla CEDU e nel 1978, nella Germania Federale, il Land dell’Assia emana la prima legge nazionale per la protezione dei dati personali. È un caso? No. Non è un caso. A Berlino c’è ancora il muro, l’Unione Sovietica controlla i cittadini – hai presente il film Le vite degli altri? Ecco, hai capito di cosa stiamo parlando – e la norma nasce per reazione al pericolo della dittatura. Il pericolo è che lo Stato, trattando dati personali, possa rafforzare la dittatura. 
Poi, nel 1981, il Consiglio d’Europa (quello della CEDU che abbiamo visto prima) adotta la Convenzione 108 – oggi Convenzione 108 Plus – che è il più grande documento a livello europeo per la protezione dei dati personali e che oggi si applica ai paesi terzi, cioè agli Stati che non fanno parte dell’Unione Europea. 
Perché proprio nel 1981? Perché comincia a diffondersi l’informatica di massa: le persone iniziano ad avere un PC in casa. La Convenzione 108 dà anche una definizione di che cos’è un dato personale: è un dato relativo ad una persona fisica identificata o identificabile. Ed è un concetto legato al diritto alla libertà. Una libertà che va protetta da un controllo esterno (da parte di privati o da parte dello Stato). Poi la convenzione 108 parla anche di trattamenti con elaborazione automatizzata e del diritto delle persone di conoscere i trattamenti fatti sui loro dati e da quali soggetti. Parla pure di qualità del dato trattato. 
Insomma, se mastichi un po’ di concetti del GDPR, capisci perché la Convenzione 108 è così importante.


1992. CE, Mercato unico, libera circolazione delle merci, delle persone e dei dati personali

Nel 1992 il processo di integrazione del mercato unico europeo arriva al culmine con il Trattato di Maastricht e la creazione della Comunità Europea. Vengono istituiti due nuovi ambiti di competenza: la Politica estera di sicurezza comune e la Cooperazione nella giustizia e negli affari comuni. Viene istituito anche il sistema di libera circolazione delle persone e delle merci: l’area Schengen. 
Ma nasce un problema. Quello di avere una normativa quadro a livello europeo sulla protezione dei dati personali perché, se c’è un mercato unico, anche i dati devono poter circolare liberamente.
Come fare? Bisogna armonizzare le norme per la protezione dei dati anche a livello nazionale per evitare la polarizzazione: da una parte Stati con regole troppo lasche per attirare imprese e investitori – e quindi fare dumping –, dall’altra Stati con regole troppo rigide che impediscono ai dati di circolare. La CE adotta la Direttiva 46 del 1995, oggi sostituita dal GDPR.
Perché una direttiva? 
Facciamo una brevissima digressione, altrimenti non è chiaro.


La differenza tra direttive e regolamenti

Le direttive e i regolamenti sono due dei più importanti atti giuridici della Comunità Europea. Ma sono due cose ben diverse fra loro e con importanti implicazioni sugli Stati:
  • Le direttive sono vincolanti per gli Stati nei fini, ma non nei mezzi; quindi fissano l’obiettivo, ma lasciano ai singoli Paesi uno spazio di interpretazione molto ampio e la possibilità di adottare norme nazionali che recepiscono le indicazioni della direttiva.
  • I regolamenti sono immediatamente vincolanti in tutto il territorio dell’UE, senza atti di recepimento, in modo uniforme (quindi è come se fossero delle leggi emanate dal Parlamento, solo che valgono per tutti i paesi dell’Unione). 


Direttiva 46 del 1995, Codice Privacy e Trattato di Lisbona (2007)

La scelta di emanare una direttiva (Direttiva 46/1995) non è casuale. All’epoca la protezione dei dati era agli inizi. Se ne sapeva ancora poco. Non era possibile adottare una norma uniforme e vincolante per tutti gli Stati. Ecco perché si è preferito emanare una direttiva che indicasse gli obiettivi ma che lasciasse spazio ai legislatori nazionali. È il motivo per cui in Italia abbiamo adottato il Codice Privacy, che oggi è stato modificato come novellato e quindi c’è ancora, ma fa molte meno cose rispetto al passato, perché sostituito dal GDPR. Ma lo vedremo fra poco.
Nel frattempo, tra la Direttiva 46/1995 e il GDPR succede un’altra cosa. È il 2007 e gli Stati firmano il Trattato di Lisbona che, tra le altre cose, dà valore giuridico alla Carta di Nizza del 2001, che è la Carta dei diritti fondamentali dell’Unione Europea. 
Anche qui è complicato, lo so. 
Quello che è importante sapere per i temi che trattiamo è questo: all’articolo 8 la Carta di Nizza inserisce nuovi diritti e fra questi anche quello alla protezione dei dati personali. È su questo che il GDPR trova il suo ancoraggio giuridico. 

2016. Regolamento generale sulla protezione dei dati (GDPR) e Codice novellato

Siamo arrivati alla fine di questo excursus su trattati, norme e leggi. Grazie per aver resistito fin qui! Ora l’evoluzione del GDPR dovrebbe esserti più chiara. Dovresti anche aver capito perché è sbagliato parlare di privacy e protezione dei dati personali come se fossero la stessa cosa. 
Bene. Adesso riprendiamo le fila e passiamo al GDPR.
Nel 2016 esce il Regolamento generale sulla protezione dei dati che sostituisce la vecchia direttiva. Ormai di protezione dei dati se ne sa abbastanza: ha senso continuare a demandare agli Stati i mezzi per applicarla? I legislatori europei pensano di no e passano dalla direttiva al regolamento. Un regolamento che vale per tutti gli Stati dell’Unione europea, in modo uniforme e cogente - il GDPR riguarda tutti – e che diventa direttamente applicabile il 25 maggio del 2018. Ma c’è un però. Il Regolamento non interviene proprio su tutto. Alcune cose le lascia ai legislatori nazionali. 
Infatti, il Codice Privacy, che in Italia abbiamo adottato per recepire la Direttiva 45/1996, non è sparito, ma è stato rivisto. Si dice novellato. In parole povere è stato modificato su singoli punti e con riforme parziali.
A cosa serve e come metterlo insieme alle disposizioni del GDPR?
Il Codice novellato interviene in quegli spazi che il legislatore europeo ha voluto rimandare ai singoli Stati. Quindi l’UE stabilisce la cornice, ma spetta poi al legislatore nazionale adottare le norme. 
Questi spazi sono:
  • Il trattamento di dati sensibili (oggi particolari): dati genetici, dati sulla salute, l’orientamento sessuale, le convinzioni religiose, le opinioni politiche eccetera.
  • La disciplina dell’Autorità: ogni Stato ha un’autorità – un organo nazionale - che garantisce la tutela dei dati personali, ma l’UE non può imporre un modello unico uguale per tutti i Paesi. Ogni Stato alle sue regole costituzionali. Per esempio, in Italia l’Autorità Garante viene nominata dal Parlamento. Quindi questo aspetto resta in capo ai singoli Stati. 
  • Parte della disciplina sulle sanzioni. L’UE non ha competenze penali, che spettano ai singoli Stati – è il principio di Sovranità dello Stato – quindi può comminare solo sanzioni amministrative. Una sorta di multa. Però, nei casi più gravi, ha dato la possibilità ai singoli Stati dell’UE di prevedere una sanzione penale che viene data dal giudice, non dall’Autorità Garante (che resta un organo amministrativo e che quindi non si occupa di reati penali).
  • Il sistema della Soft Law, cioè di tutti gli atti che non provengono dal legislatore – nel caso italiano dal Parlamento - ma da altri soggetti. Questi atti sono strumenti che servono a rispettare gli obblighi di legge. Per esempio, in Italia sono i codici deontologici delle varie categorie professionali, le autorizzazioni generali del Garante, le normative di condotta e i sistemi di certificazione. 
Ora dovresti avere un quadro più chiaro di come e perché siamo arrivati al GDPR. Non è stato un percorso breve, ma è servito per tutelare alcuni diritti fondamentali delle persone, non certo per danneggiare imprese ed enti, come alcuni continuano a credere.
RIPRODUZIONE RISERVATA. Ne è consentito un uso parziale, previa citazione della fonte.

Le categorie

Gli argomenti dei nostri articoli

La guida di PrivacyLab

Per orientarti tra i nostri articoli

Resta informato su quello che succede.

Lasciaci la tua email e riceverai le nostre comunicazioni informative e commerciali

informativa sulla privacy