Art. 1 D.Lgs. 196/2003 — Oggetto

Commento

La nuova funzione del Codice Privacy dopo il GDPR

L'art. 1 del D.Lgs. 30 giugno 2003, n. 196 — nel testo riformulato dal D.Lgs. 10 agosto 2018, n. 101 — fissa l'oggetto del Codice in materia di protezione dei dati personali. Il legislatore delegato ha scelto di non abrogare integralmente il Codice italiano, mantenendolo in vita come fonte integrativa del Reg. UE 2016/679, divenuto direttamente applicabile dal 25 maggio 2018. La norma di apertura segna così il passaggio da un sistema fondato sulla legge nazionale a un sistema multilivello in cui il regolamento europeo è la fonte principale e il Codice italiano disciplina i soli settori in cui il GDPR consente margini di intervento ai singoli Stati membri.

Il principio fondamentale: protezione delle persone fisiche

La protezione assicurata dall'art. 1 riguarda esclusivamente le persone fisiche in quanto interessate al trattamento dei propri dati personali. Le persone giuridiche, gli enti e le associazioni — pacificamente tutelate dal previgente Codice 2003 — sono uscite dall'ambito soggettivo del GDPR e quindi anche del Codice riformato. Una eccezione opera per i dati dei defunti, disciplinati dall'art. 2-terdecies: gli eredi o chi ha un interesse proprio possono esercitare i diritti del defunto, salvo che questi abbia manifestato volontà contraria.

Diritto alla protezione dei dati e diritto alla riservatezza

Il diritto alla protezione dei dati personali è oggi un diritto fondamentale autonomo rispetto al tradizionale diritto alla riservatezza. La Corte di giustizia UE ha più volte ribadito questa autonomia, sulla base degli artt. 7 e 8 della Carta dei diritti fondamentali UE e dell'art. 16 TFUE. La differenza non è solo terminologica: la riservatezza protegge l'individuo dall'ingerenza nella sfera privata, mentre la protezione dei dati assicura il controllo sulle informazioni che lo riguardano, indipendentemente dal loro carattere intimo o pubblico. Anche un dato apparentemente neutro, come un indirizzo IP o un identificativo di geolocalizzazione, gode di tutela se associato a una persona identificata o identificabile.

Il rapporto con il GDPR: applicazione diretta e integrazione

Il GDPR è un regolamento direttamente applicabile e prevale su qualsiasi norma nazionale incompatibile. Il Codice italiano interviene solo dove il regolamento rinvia agli ordinamenti nazionali: trattamento per finalità di archiviazione nel pubblico interesse (art. 89 GDPR), ricerca scientifica e statistica, dati genetici, biometrici e sanitari (art. 9 GDPR), trattamenti in ambito di lavoro (art. 88 GDPR), giornalismo (art. 85 GDPR). In questi settori il Codice italiano detta regole specifiche, raggruppate negli articoli 2-bis e seguenti e in quelli sostanziali superstiti (51, 113-141, 152-167).

L'autorità di controllo nazionale: il Garante

L'art. 1 va letto in combinato con l'art. 2-bis e con gli artt. 51 ss., che individuano nel Garante per la protezione dei dati personali l'autorità di controllo nazionale ai sensi degli artt. 51 ss. GDPR. Il Garante è un'autorità amministrativa indipendente con poteri di indagine, correttivi e sanzionatori. I suoi provvedimenti — pur non vincolanti in senso formale per i giudici — costituiscono la principale fonte interpretativa pratica: si pensi al provvedimento generale del 10 giugno 2021 sui cookie, alle linee guida marketing, ai provvedimenti su videosorveglianza e intelligenza artificiale.

L'oggetto del Codice nell'interpretazione costituzionale

Sul piano costituzionale la Corte costituzionale (sent. n. 271/2005 sui dati biometrici nel rapporto di lavoro, sent. n. 20/2019 sulla pubblicazione obbligatoria di redditi di funzionari pubblici) ha riconosciuto il diritto alla protezione dei dati come bene di rilievo costituzionale, ricavabile dagli artt. 2 e 13 Cost. e dagli artt. 7-8 Carta UE. L'art. 1 è dunque la porta d'accesso a un sistema multilivello: norma costituzionale, fonte europea (GDPR), fonte nazionale integrativa (Codice Privacy e D.Lgs. 51/2018), fonte regolamentare (provvedimenti generali del Garante).

Provvedimenti generali del Garante e prassi applicativa

L'art. 1, pur essendo norma di apertura programmatica, è costantemente richiamato nei provvedimenti generali del Garante per definire la cornice di tutela. Il provvedimento del 10 giugno 2021 sui cookie cita espressamente l'art. 1 come fondamento del bilanciamento tra interesse economico dei titolari e diritti degli interessati. Allo stesso modo, le linee guida del Garante su intelligenza artificiale, marketing, videosorveglianza, dati sanitari, fanno riferimento all'oggetto di tutela del Codice. La giurisprudenza nazionale (Cass. civ. n. 11125/2020, Cass. civ. SS.UU. n. 19681/2019) e europea (CGUE Google Spain C-131/12, Schrems I e II) hanno costruito su questo art. 1 un sistema di garanzie progressivamente rafforzato. Il Garante, nella propria relazione annuale, conferma che il numero di reclami è cresciuto dal 2018 a un ritmo medio del 15% annuo, segno di una crescente consapevolezza della tutela offerta dall'art. 1 del Codice.

Sinergie cross-codice: Costituzione, Carta UE, normativa settoriale

L'art. 1 del Codice opera in un sistema multilivello che integra: a) la Costituzione italiana (artt. 2, 13, 15, 21); b) la Carta dei diritti fondamentali UE (artt. 7-8); c) il GDPR; d) la Convenzione 108+ del Consiglio d'Europa; e) le normative settoriali (Statuto Lavoratori, Codice dell'Amministrazione Digitale, T.U. Bancario, T.U.B., CCII, ecc.). La giurisprudenza costituzionale (sent. n. 20/2019, n. 271/2005) e la giurisprudenza CEDU (sent. S. e Marper, n. 30562/04) hanno costruito un sistema in cui il diritto alla protezione dei dati è ricavato dal combinato di norme costituzionali e europee, con il Codice italiano nel ruolo di fonte integrativa specifica. La pratica applicativa richiede dunque sempre un'analisi multilivello: verifica della base giuridica nel GDPR; specifica nella normativa italiana; conformità ai principi costituzionali. Il dialogo tra Garante e Corte costituzionale è particolarmente intenso nei casi di pubblicazione obbligatoria di dati di funzionari pubblici (trasparenza vs privacy).