a cura dell'Avv. Lidia Caso
L’Italia pur essendo uno dei firmatari della Convezione di Strasburgo, ha dato materialmente attuazione al fondamento giuridico della privacy quale diritto costituzionalmente tutelato, molto tardi rispetto agli altri paesi Europei. I primi riconoscimenti giurisprudenziali si sono avuti nel 1970 nella Carta dei Diritti dei Lavoratori ove all’articolo 8 si legge che “ è fatto divieto al datore di lavoro di effettuare indagini ai fini dell’assunzione, come nel corso dello svolgimento del rapporto di lavoro, sulle opinioni politiche, religiose o sindacali dei lavoratori”.
La normativa sul diritto alla privacy, arriva in Italia sia con il Trattato di Schengen che favorisce la libera circolazione delle persone (unitamente alle informazioni che le riguardano) sia con la Direttiva n. 95/46, sulla tutela dei dati personali, che impone agli Stati membri l’eliminazione dei controlli alle frontiere.
Progressivamente si è arrivati alla promulgazione della Legge 675/96, ora abrogata, che garantiva esplicitamente una tutela della dignità, dei diritti e delle libertà fondamentali delle persone, intendendosi questi come “diritti inviolabili” delle persone con particolare riferimento alla riservatezza ed all’identità personale. Tali garanzie, sono state ribadite nel D.Lgs.vo n. 196/2003 che, ha riconosciuto ad ogni persona, la garanzia della protezione dei dati personali essendo essi stessi fondamento della persona sia fisica che giuridica.
Il codice sulla privacy attualmente in vigore è composto da 186 articoli e vari allegati, con in più tre codici deontologici ed un disciplinare recante norme di sicurezza, strutturato in tre parti di cui la prima di carattere generale sul trattamento dei dati, la seconda relativa all’utilizzo dei dati personali nella pubblica amministrazione, nel campo giudiziario e sanitario, la terza relativa alle sanzioni e alla tutela della privacy (fonte: Autore: Dott. Giovanni Modesti Referente Aziendale per la Privacy c/o AUSL di Pescara Commento breve al D.LGS.VO N. 196/2003 Codice in materia di protezione dei dati personali). Nonostante la privacy tutela specificatamente ogni valore della dignità e della persona, rappresentando un vero e proprio diritto tutelato Costituzionalmente, il risarcimento del danno in caso di lesione, ha visto negli ultimi tempi un profondo ampliamento e rafforzamento in tal senso. Da tempo sia la giurisprudenza che la dottrina, hanno accomunato con l’epsressione “ diritto della personalità” tutte quelle situazioni proprie del singolo soggetto, caratterizzate da indisponibilità ed irrinunciabilità che ne garantiscono lo status di persona singola e all’interno della società. Ovviamente essendo diverse le manifestazioni della personalità dell’individuo, gli interventi e gli orientamenti dottrinali sono stati sempre tesi ad accomunare i diritti della personalità in una categoria unitaria. La tutela civilistica offerta dal Codice Privacy, prevede tra le voci di danno risarcibili sia il danno patrimoniale che quello non patrimoniale.
La Corte di Cassazione ha precisato in tal senso che il danno non patrimoniale deve essere inteso in maniera ampia, comprensiva di ogni situazione in cui sia leso ogni valore inerente la persona non limitatamente al danno morale soggettivo (Sentenza Cass. Civ. sez. III, 31 maggio 2003, n. 8828). Tra le sempre più numerose Sentenze, è stato accordato il risarcimento del danno non patrimoniale in caso di: pubblicazione di immagini senza il consenso, invio di pubblicità commerciale non richiesta, diffusione di dati senza il consenso, svolgimento di indagini sulla solvibilità svolte illecitamente, illecita diffusione su un quotidiano di nome, indirizzo della vittima di un furto. La tutela civile in materia di tutela della riservatezza è favorita da una procedura giudiziale, diversa da quella ordinaria, e quindi più veloce. In caso di pericolo, di un danno grave o irreparabile, il giudice può emanare provvedimenti urgenti con decreto motivato, fissando poi l’udienza di comparizione entro quindici giorni. Il giudice dispone i mezzi di prova omettendo ogni formalità non necessaria al contraddittorio tra le parti e al termine dell’istruttoria, una volta precisate le conclusioni, nella stessa udienza, si procede alla discussione orale e subito dopo il giudice pronuncia la sentenza.Procedimento snello, che assicura una rapida soluzione della controversia. (fonte: commento di Alessandra Delli Ponti, avvocato del Foro di Bologna).
E’interessante l’ultimo intervento della Cassazione civile , sez. III, che, con la Sentenza n° 1608 del 27.01.2014 richiamando sia l’art 15 del Codice per la protezione dei dati personali che l’art 23 ha stabilito che “Ai fini della configurazione della responsabilità civile conseguente ad un illegittimo trattamento di dati personali l’individualità della persona offesa o di cui sono stati resi pubblici dati sensibili non ne postula l’esplicita indicazione del nominativo, essendo sufficiente che essa possa venire individuata anche per esclusione in via deduttiva, tra una categoria di persone, a nulla rilevando che in concreto tale individuazione avvenga nell’ambito di un ristretto numero di persone.” Con tale pronuncia la Suprema Corte ha sottolineato che ai fini della risarcibilità del danno nei confronti dell’individualità della persona non è necessaria l’esplicita indicazione del nominativo, essendo sufficiente che essa possa essere individuata anche per esclusione in via deduttiva, tra una categoria di persone, a nulla rilevando che in concreto tale individuazione avvenga nell’ambito di un ristretto numero di persone.Con il progresso scientifico e tecnologico il problema risarcitorio in tema di violazione della privacy affrontato dalla Cassazione, è risultato di più notevole interesse. Con una delibera pubblicata sulla Gazzetta Ufficiale n. 137 del 16 giugno 2014, il Garante della privacy, ha stabilito nuove regole a tutela di chi acquista beni digitali attraverso il telefonino o il tablet. L'Autorità, dopo aver compiuto una serie di attività ispettive sull'attività di fornitura di servizi "mobile remote payment", ha individuato una serie di problematiche ed ha deciso di adottare alcune misure ritenute necessarie per garantire una tutela effettiva dei dati personali che vengono acquisiti durante il pagamento tramite smartphone o altri dispositivi mobili. Con tale intervento il semplice numero di telefono, così come i dati anagrafici o le informazioni sul servizio acquistato, saranno utilizzabili esclusivamente per l'acquisto effettuato. Il garante identifica due modalità di pagamento tramite dispositivi mobili: il mobile remote payment ed il mobile proximity payment. Il primo si riferisce alla modalità di pagamento a distanza fatto tramite il cellulare; il secondo alle operazioni di pagamento fatte avvicinando il dispositivo mobile ad un apposito lettore (POS). Il provvedimento richiamato, sullo stesso orientamento della Corte di Cassazione, ha voluto individuare le prescrizioni a cui debbono attenersi i soggetti coinvolti nell'operazione di pagamento per prevenire l'utilizzo improprio dei dati personali. Il testo del provvedimento ha ribadito il ricorso alle potenzialita' del mobile payment, ovvero dei servizi che consentono di gestire gli acquisti ed i pagamenti di beni tramite un terminale mobile, la cui diffusione ha negli ultimi anni, modificato il settore del commercio tradizionale contribuendo ad un ampliamento del commercio e dei soggetti che operano in tal senso.
I servizi di mobile payment, riguardano, sia le operazioni di pagamento attraverso il telefono cellulare di un bene o servizio tra esercente e cliente, sia le operazioni di pagamento eseguite dal cliente avvicinando il dispositivo mobile, dotato di tecnologia NFC (Near Field Communication che fornisce connettivita' wireless) ad un apposito lettore POS (point of sale), posto presso il punto vendita ove si acquista il bene. Si tratta di passi importanti nel settore dei pagamenti in quanto facilitano le operazioni eliminando il contate, ma si pongono problemi e rischi circa il corretto utilizzo e la sicurezza delle informazioni di carattere personale che l'utente deve fornire per usufruire dei nuovi servizi di pagamento. Il ricorso alle nuove tecnologie di pagamento e quindi alla rete elettronica di comunicazione implica il trattamento di una serie di dati personali dell'utente non solo di carattere identificativo ma, anche di natura sensibile; con tutta una serie di problematiche relative al trattamento di tali dati da svolgersi nel rispetto della disciplina sulla protezione dei dati personali, liceità correttezza e buona fede sanciti dal Codice della privacy. Con il provvedimento l’Autorità ha voluto individuare pertanto tutta una serie di prescrizioni dirette ai soggetti coinvolti nelle operazioni di pagamento tramite telefonia mobile, al fine di evitare i rischi connessi ad un eventuale cattivo utilizzo dei dati personali degli utenti.
La direttiva 2007/64/CE, c.d. PSD (recepita con il D.lgs n. 11/2010), ha aperto il mercato dei servizi di pagamento anche ad operatori di matrice non bancaria, prevedendo che i nuovi istituti di pagamento possano operare come intermediari di pagamento, previa autorizzazione delle Autorita' competenti, nell'ambito di un «regime semplificato» rispetto a quello degli istituti bancari. La Direttiva elencando le attività commerciali abilitate a tali fini (art. 4, punto 3 che rinvia al punto 7 dell'allegato) consente agli operatori del sistema o della rete di telecomunicazioni o digitale o informatica, di agire nella veste di intermediari tra il cliente-utilizzatore della rete- ed il fornitore di beni e servizi ( vd. l'art. 1, comma 1, lettera b), punto 7 del decreto interno di recepimento). Tali attività rientrano nell'ambito di quelle definite positive scope, e ne restano escluse ( cd. negative scope) tutte quelle in cui l'operatore di telecomunicazione, digitale o informatico, non agisce come intermediario autorizzato del pagamento tra l'utente ed il fornitore di beni e servizi ma, svolga una serie di ulteriori funzioni ossia quelle di accesso, ricerca e distribuzione del contenuto digitale. Tale esclusione e deroga consente all’operatore di intervenire nel settore dei pagamenti elettronici ma nel rispetto del quadro giuridico e della complessità dello stesso, lo limita in tutte quelle ulteriori funzioni che vanno al di là dei semplici pagamenti evitando l’utilizzo dei dati personali acquisiti anche per semplici scopi pubblicitari.
Nel quadro normativo di riferimento (Fonte www.StudioCataldi.it commento integrale Garante privacy “I dati non utilizzabili senza il consenso i dati di chi acquista servizi con il cellulare”), anche la stessa Commissione europea ha, nell’ottica della problematica del trattamento dei dati personali, in un momento in cui la distinzione tra istituti di pagamento e istituti di moneta elettronica e' sempre meno netta, cercato di dare un assetto normativo attraverso il riesame della «e-Money Directive» e l’ abrogazione della «Service Payment Directive», nella previsione che il mercato dei mobile payment si configurerà a livello nazionale; il problema saranno i consumatori che, nell’ottica della complessità delle operazioni dovranno essere preparati all’utilizzo delle nuove comunicazioni e alla tutela dei propri diritti.
Articolo pubblicato sul numero Agosto/Settembre 2014 del periodico XD Magazine.