Diritti digitali e privacy: cosa sono e perché sono importanti 

---

Cosa si intende per diritti digitali 

I diritti digitali rappresentano una categoria emergente di diritti fondamentali che si è sviluppata in risposta alla crescente digitalizzazione della società e all'espansione dell'ecosistema digitale. 

Questi diritti costituiscono l'evoluzione naturale dei diritti tradizionali nell'era dell'informazione, garantendo che i principi costituzionali di libertà, dignità e uguaglianza trovino piena applicazione anche nel mondo virtuale.

L'accesso a Internet è progressivamente riconosciuto come un diritto fondamentale, strumentale all'esercizio di altri diritti costituzionali. 

Il Codice dell'Amministrazione Digitale (CAD), introdotto con il decreto legislativo 7 marzo 2005, n. 82, stabilisce che "chiunque ha il diritto di usare, in modo accessibile ed efficace, le soluzioni e gli strumenti" digitali nei rapporti con le pubbliche amministrazioni. Questo principio si estende al diritto di accedere ai servizi digitali e di fruire delle opportunità offerte dalla rete, configurando Internet non solo come strumento tecnologico, ma come spazio di esercizio della cittadinanza digitale.

La libertà di espressione online rappresenta la declinazione digitale dell'articolo 21 della Costituzione. Il Codice delle Comunicazioni Elettroniche stabilisce che le misure nazionali relative all'accesso a servizi e applicazioni attraverso reti di comunicazione elettronica devono rispettare la Carta dei diritti fondamentali dell'Unione europea e i principi generali del diritto dell'Unione. Questo garantisce che qualunque limitazione alla libertà di espressione online sia proporzionata, necessaria e risponda a obiettivi di interesse generale riconosciuti.

Il diritto all'identità digitale è espressamente disciplinato dal sistema SPID, che garantisce a cittadini e imprese un'identità digitale unica e sicura per accedere ai servizi online. L'articolo 3-bis del CAD stabilisce che "chiunque ha il diritto di accedere ai servizi on-line offerti dai soggetti" pubblici tramite la propria identità digitale. Questo diritto comprende non solo l'accesso ai servizi, ma anche la garanzia di autenticità, integrità e non ripudio delle transazioni digitali.

Il diritto all'oblio rappresenta forse l'aspetto più innovativo dei diritti digitali. Come chiarito dalla Cassazione, (ord. n.9147/2020) questo diritto "consiste nel non rimanere esposti senza limiti di tempo ad una rappresentazione non più attuale della propria persona". Il diritto all'oblio deve essere bilanciato con il diritto all'informazione, trovando spesso soddisfazione nella deindicizzazione dai motori di ricerca piuttosto che nella cancellazione totale delle informazioni.

La giurisprudenza ha precisato che il diritto all'oblio non è assoluto ma richiede un bilanciamento tra diritto individuale alla riservatezza e interesse pubblico all'informazione, considerando fattori come il ruolo pubblico del soggetto, la natura delle informazioni e il tempo trascorso.
I diritti digitali costituiscono quindi un corpus normativo in continua evoluzione, che riflette la necessità di adattare i principi costituzionali alle sfide dell'era digitale, garantendo che la tecnologia rimanga al servizio della persona e della sua dignità.

---

Il concetto di privacy digitale 

La privacy digitale, o privacy online, rappresenta il diritto dell’individuo a controllare l’accesso, la raccolta, l’uso e la diffusione delle proprie informazioni personali nel contesto delle tecnologie digitali e di Internet. In un ambiente sempre più connesso, in cui dati e comunicazioni transitano attraverso piattaforme digitali, la privacy assume una funzione essenziale nella tutela dell’identità e dell’autodeterminazione informativa della persona.

È importante distinguere tra privacy, riservatezza e protezione dei dati.

• La privacy è il diritto generale a non essere sottoposti a ingerenze nella propria sfera personale, in particolare nelle dimensioni legate alla comunicazione e alla vita privata;
• La riservatezza, invece, è un obbligo giuridico o morale imposto a determinati soggetti (ad esempio, i professionisti) di non divulgare informazioni apprese in ragione del proprio ruolo;
• La protezione dei dati personali, infine, è un sottoinsieme della privacy e trova un quadro normativo specifico nel Regolamento (UE) 2016/679 (GDPR), che disciplina il trattamento lecito e corretto dei dati riferibili a una persona fisica identificata o identificabile.

Nella vita quotidiana, la privacy digitale assume un rilievo crescente. Dalle attività sui social media all’uso di app per la salute, dai sistemi di videosorveglianza agli assistenti vocali, ogni interazione digitale comporta la cessione, talvolta inconsapevole, di dati sensibili. Senza adeguate garanzie, l’individuo rischia di essere oggetto di profilazioni invasive, discriminazioni algoritmiche o attacchi informatici.

Garantire la privacy digitale significa tutelare la libertà personale, la dignità e l’autonomia decisionale dei cittadini. È, in tal senso, una condizione necessaria per un uso consapevole e sicuro delle tecnologie, nonché per lo sviluppo di una società democratica in cui l’informazione personale non diventi merce, ma resti un diritto fondamentale.

---

Il Regolamento Generale sulla Protezione dei Dati (GDPR)

Il Regolamento Generale sulla Protezione dei Dati (c. d. GDPR - in inglese acronimo di: General Data Protection Regulation -), formalmente Regolamento UE 2016/679, rappresenta una pietra miliare nella tutela dei diritti fondamentali delle persone fisiche nell'era digitale. Entrato in vigore il 25 maggio 2018, il GDPR nasce dall'esigenza di armonizzare la normativa europea in materia di protezione dei dati personali, sostituendo la precedente Direttiva 95/46/CE e creando un quadro giuridico uniforme per tutti gli Stati membri dell'Unione Europea.

La finalità principale del Regolamento è duplice: da un lato, garantire un elevato livello di protezione dei dati personali e dei diritti fondamentali delle persone fisiche; dall'altro, assicurare la libera circolazione dei dati all'interno del mercato unico europeo. Il GDPR mira a restituire ai cittadini il controllo sui propri dati personali, rafforzando i loro diritti e imponendo obblighi stringenti ai soggetti che trattano tali dati.

Ambito di Applicazione

L'ambito di applicazione del GDPR è particolarmente ampio e innovativo. Il Regolamento si applica al trattamento di dati personali effettuato nell'ambito delle attività di uno stabilimento del titolare del trattamento o del responsabile del trattamento nell'Unione, indipendentemente dal fatto che il trattamento sia effettuato o meno nell'Unione. Inoltre, il GDPR introduce il principio dell'applicazione extraterritoriale, estendendo la sua portata al trattamento di dati personali di interessati che si trovano nell'Unione da parte di un titolare del trattamento o di un responsabile del trattamento non stabilito nell'Unione, quando le attività di trattamento riguardano l'offerta di beni o servizi a tali interessati o il monitoraggio del loro comportamento.
Come chiarito dalla Cassazione Civile, l'Autorità nazionale mantiene il potere sanzionatorio sui trattamenti effettuati nel territorio da soggetti ivi stabiliti che agiscono come autonomi titolari, anche in presenza di una piattaforma informatica gestita da società estera.

Principi Fondamentali

Il GDPR stabilisce principi fondamentali che devono guidare ogni trattamento di dati personali: Liceità, correttezza e trasparenza: i dati personali devono essere trattati in modo lecito, corretto e trasparente nei confronti dell'interessato. Come evidenziato dalla Cassazione, la liceità del trattamento trova fondamento anche nella finalità del medesimo, costituendo un vero e proprio limite intrinseco del trattamento lecito.

Limitazione della finalità: i dati devono essere raccolti per finalità determinate, esplicite e legittime, e successivamente trattati in modo compatibile con tali finalità.

Minimizzazione dei dati: i dati devono essere adeguati, pertinenti e limitati a quanto necessario rispetto alle finalità per le quali sono trattati.

Esattezza: i dati devono essere esatti e, se necessario, aggiornati, con l'obbligo di adottare misure ragionevoli per cancellare o rettificare tempestivamente i dati inesatti.

Limitazione della conservazione: i dati devono essere conservati per un periodo non superiore al conseguimento delle finalità per le quali sono trattati.

Integrità e riservatezza: i dati devono essere trattati garantendo un'adeguata sicurezza, compresa la protezione da trattamenti non autorizzati o illeciti. 

Responsabilizzazione (accountability): il titolare del trattamento è competente per il rispetto di tutti i principi e deve essere in grado di comprovarlo.

Obblighi per Aziende e Pubbliche Amministrazioni

Il GDPR impone numerosi obblighi sia alle aziende private che alle pubbliche amministrazioni. Tra i principali: Base giuridica del trattamento: ogni trattamento deve fondarsi su una delle basi giuridiche previste dal Regolamento, tra cui il consenso dell'interessato, l'esecuzione di un contratto, l'adempimento di un obbligo legale, la salvaguardia di interessi vitali, l'esecuzione di un compito di interesse pubblico o il perseguimento di un legittimo interesse.

Informativa agli interessati: i titolari devono fornire informazioni complete agli interessati sui trattamenti effettuati, incluse finalità, base giuridica, destinatari dei dati e diritti esercitabili.
Registro delle attività di trattamento: ogni titolare e responsabile deve tenere un registro dettagliato delle attività di trattamento svolte.
Designazione del DPO: le autorità pubbliche e i soggetti che effettuano trattamenti su larga scala devono designare un Responsabile della Protezione dei Dati.

Valutazione d'impatto: quando un trattamento può presentare un rischio elevato, deve essere effettuata una valutazione d'impatto sulla protezione dei dati.

Privacy by design e by default: come sottolineato dalla giurisprudenza, il titolare deve attuare il principio di privacy by design, predisponendo preventivamente tutte le misure tecniche e organizzative adeguate.

Gestione delle violazioni: i data breach devono essere notificati all'autorità di controllo entro 72 ore e, se comportano un rischio elevato, anche agli interessati.

Il sistema sanzionatorio del GDPR prevede sanzioni amministrative fino a 20 milioni di euro o al 4% del fatturato mondiale annuo, se superiore, con l'obbligo per le autorità di controllo di garantire che le sanzioni siano effettive, proporzionate e dissuasive in ogni singolo caso (Giurisprudenza citate: Cass. Civ. n.27189 del 2023; n.35256 del 2023; n.28385 del 2023)

---

I principali diritti riconosciuti agli utenti digitali  

Nel contesto del Regolamento (UE) 2016/679 (GDPR), gli utenti digitali godono di un insieme articolato di diritti fondamentali volti a garantire il controllo sui propri dati personali e a promuovere un trattamento trasparente, lecito e proporzionato.

Il primo tra questi è il diritto all’informazione (artt. 12-14 GDPR), che impone al titolare del trattamento di fornire, in modo chiaro e accessibile, tutte le informazioni relative all’utilizzo dei dati personali. L’interessato deve sapere chi raccoglie i dati, per quali finalità, con quali modalità, per quanto tempo, e a chi tali dati potrebbero essere comunicati.

Segue il diritto di accesso (art. 15), che consente all’interessato di ottenere conferma dell’esistenza di un trattamento in corso e di riceverne copia, comprendente l’origine dei dati, le finalità, le categorie trattate e gli eventuali destinatari.

Il diritto alla rettifica (art. 16) permette di correggere dati inesatti o incompleti, mentre il diritto alla cancellazione, noto anche come diritto all’oblio (art. 17), consente di ottenere l’eliminazione dei dati qualora non siano più necessari rispetto alle finalità originarie, o il trattamento sia illegittimo.

Il diritto alla portabilità (art. 20) consente all’interessato di ricevere i propri dati in formato strutturato e di trasmetterli a un altro titolare, facilitando così la libera circolazione dei dati tra servizi digitali differenti, senza ostacoli tecnici.

Infine, l’interessato può esercitare il diritto di opposizione (art. 21), ad esempio nei confronti del marketing diretto o delle profilazioni automatizzate, e chiedere la limitazione del trattamento (art. 18), in caso di contestazione sull’esattezza dei dati o sulla liceità del trattamento, affinché i dati siano conservati ma non ulteriormente trattati.

Questi diritti rafforzano il principio di autodeterminazione informativa, riconoscendo al cittadino un ruolo attivo nella gestione dei propri dati e costituendo una barriera essenziale contro abusi e violazioni della privacy nel mondo digitale.

---

Violazioni della privacy: rischi e conseguenze 

Abbiamo visto che il GDPR definisce la violazione dei dati personali come "la violazione di sicurezza che comporta accidentalmente o in modo illecito la distruzione, la perdita, la modifica, la divulgazione non autorizzata o l'accesso ai dati personali trasmessi, conservati o comunque trattati". Questi eventi possono derivare da attacchi informatici, errori umani o malfunzionamenti tecnici, con conseguenze devastanti per gli interessati.

Il furto di identità rappresenta una delle conseguenze più gravi dei data breach, permettendo ai malintenzionati di utilizzare illegalmente i dati personali per scopi fraudolenti. Come evidenziato dalla Cassazione Civile ordinanza n. 13073 del 2023, il titolare del trattamento è sempre tenuto a risarcire il danno cagionato da un trattamento non conforme al GDPR, potendo essere esonerato dalla responsabilità solo dimostrando che l'evento dannoso non gli è in alcun modo imputabile.

Il tracciamento non autorizzato delle attività online costituisce una violazione sistematica della privacy, spesso perpetrata attraverso cookie, pixel di tracciamento e altre tecnologie invasive. Questa pratica viola i principi fondamentali del GDPR, in particolare quello di liceità, correttezza e trasparenza, nonché il principio di minimizzazione dei dati.

La Cassazione Civile ordinanza n. 19550 del 2024 ha chiarito che l'obbligo di informativa sul trattamento dei dati personali acquisiti tramite sito web non può ritenersi assolto mediante la mera affissione dell'avviso nei locali della struttura, dovendo essere specificamente reso disponibile agli utenti che accedono attraverso il canale internet.

L'uso improprio dei dati personali si manifesta quando le informazioni vengono utilizzate per finalità diverse da quelle per cui sono state raccolte, senza il consenso dell'interessato o al di fuori delle basi giuridiche previste dal GDPR. Questo include la profilazione non autorizzata, la vendita di database personali e l'utilizzo dei dati per scopi commerciali non dichiarati.
Il Codice della Privacy prevede specifiche sanzioni penali per la comunicazione e diffusione illecita di dati personali oggetto di trattamento su larga scala, con pene che possono arrivare fino a sei anni di reclusione quando il fatto è commesso al fine di trarre profitto o arrecare danno.

Le violazioni della privacy comportano conseguenze legali severe. Il GDPR stabilisce che chiunque subisca un danno materiale o immateriale causato da una violazione del regolamento ha diritto al risarcimento del danno dal titolare del trattamento o dal responsabile del trattamento.

La Cassazione Civile ordinanza n. 27189 del 2023 ha precisato che le sanzioni amministrative devono essere in ogni singolo caso effettive, proporzionate e dissuasive, tenendo conto di elementi quali natura, gravità e durata della violazione, numero di interessati lesi e livello del danno subito.

Dal punto di vista reputazionale, le violazioni della privacy possono causare danni irreparabili all'immagine aziendale. Come sottolineato dalla Cassazione Civile ordinanza n. 28390 del 2023, il danno non patrimoniale derivante dalla lesione del diritto alla protezione dei dati personali richiede la prova concreta del pregiudizio subito, ma può essere dimostrato anche attraverso presunzioni gravi, precise e concordanti.
L'obbligo di notifica delle violazioni entro 72 ore all'autorità di controllo e, quando comportano un rischio elevato, anche agli interessati, amplifica l'impatto reputazionale delle violazioni, rendendo pubbliche le carenze nella protezione dei dati.

---

Come proteggere i propri diritti digitali nella pratica

La tutela dei diritti digitali non è solo un fatto giuridico, ma richiede comportamenti consapevoli da parte degli utenti nell’utilizzo quotidiano della tecnologia. Alcune buone prassi possono contribuire in modo significativo a garantire la propria privacy e la sicurezza dei dati personali.

In primo luogo, è fondamentale configurare in modo corretto le impostazioni di sicurezza dei dispositivi: l’aggiornamento regolare del sistema operativo e delle applicazioni, l’attivazione del blocco schermo, la crittografia dei dati e l’utilizzo di password complesse e univoche rappresentano le basi per un utilizzo sicuro. Inoltre, è opportuno limitare i permessi concessi alle applicazioni, verificando quali dati possono raccogliere e in quale misura accedono a microfono, posizione, contatti e fotocamera.

In secondo luogo, è essenziale esercitare il proprio diritto al consenso informato, specialmente nella gestione dei cookie. I siti web sono tenuti a informare l’utente e a richiederne il consenso esplicito per l’installazione di cookie non tecnici. L’utente, a sua volta, deve leggere attentamente le informative privacy, utilizzare le impostazioni avanzate per disabilitare il tracciamento non necessario e ricorrere a strumenti di “privacy browser” o estensioni per bloccare i cookie di terze parti.

Per una protezione avanzata, è consigliabile l’impiego di tecnologie specifiche: una VPN (Virtual Private Network) consente di navigare in modo cifrato e anonimo, soprattutto su reti Wi-Fi pubbliche; un antivirus aggiornato protegge da malware e tentativi di phishing; infine, l’autenticazione a due fattori aggiunge un livello di sicurezza all’accesso ai propri account, richiedendo un codice aggiuntivo oltre alla password.

La consapevolezza digitale è, oggi più che mai, uno strumento di autodifesa. Applicare queste misure significa affermare nella pratica quotidiana i propri diritti fondamentali nel cyberspazio.

---

Il ruolo delle autorità garanti e degli organi di controllo 

Il GDPR stabilisce che ogni Stato membro deve istituire una o più autorità pubbliche indipendenti incaricate di sorvegliare l'applicazione del regolamento per tutelare i diritti e le libertà fondamentali delle persone fisiche con riguardo al trattamento dei dati personali. In Italia, tale ruolo è svolto dal Garante per la protezione dei dati personali, la cui competenza è territorialmente delimitata al territorio nazionale.

Il Garante ha compiti estensivi che includono la sorveglianza e l'assicurazione dell'applicazione del GDPR, la promozione della consapevolezza pubblica sui rischi e i diritti relativi al trattamento dei dati, la consulenza agli organi istituzionali e la gestione dei reclami degli interessati. L'articolo 154 del Codice della Privacy specifica ulteriormente i compiti dell'Autorità italiana, includendo il controllo della conformità dei trattamenti, la gestione dei reclami e la promozione di regole deontologiche.

Il Garante dispone di ampi poteri suddivisi in tre categorie: poteri di indagine, poteri correttivi e poteri autorizzativi e consultivi. I poteri di indagine comprendono la facoltà di richiedere informazioni, condurre ispezioni e accedere a locali e sistemi informatici. I poteri correttivi includono la possibilità di emettere avvertimenti, ammonimenti, ordinare la conformità dei trattamenti e imporre sanzioni amministrative pecuniarie.

Come chiarito dalla Cassazione Civile (n.40635/2021), il Garante può esercitare i propri poteri anche d'ufficio, senza necessità di un'iniziativa di parte, nell'ambito delle proprie funzioni di vigilanza sulla corretta applicazione della normativa.

Il sistema sanzionatorio prevede sanzioni amministrative pecuniarie fino a 20 milioni di euro o al 4% del fatturato mondiale annuo, se superiore. La giurisprudenza ha precisato che le sanzioni devono essere in ogni singolo caso effettive, proporzionate e dissuasive, tenendo conto di elementi specifici come natura, gravità e durata della violazione.

Gli interessati hanno il diritto di proporre reclamo all'autorità di controllo quando ritengano che il trattamento che li riguarda violi il GDPR. Il reclamo può essere presentato nello Stato membro di residenza abituale, di lavoro o del luogo dove si è verificata la presunta violazione.

Il GDPR prevede che ogni autorità di controllo faciliti la proposizione di reclami attraverso misure come moduli compilabili elettronicamente, senza escludere altri mezzi di comunicazione. L'autorità deve informare il reclamante dello stato e dell'esito delle indagini entro un termine ragionevole.

Oltre al reclamo, gli interessati possono presentare segnalazioni per attivare i poteri di accertamento e controllo del Garante. Come evidenziato dalla giurisprudenza di merito, la segnalazione costituisce uno strumento informativo che non comporta l'instaurazione di un procedimento contenzioso formale ma è diretto ad attivare l'attività amministrativa di controllo.

In caso di inerzia dell'autorità di controllo, gli interessati hanno il diritto di ricorso giurisdizionale se l'autorità non tratta il reclamo o non informa entro tre mesi dello stato o dell'esito del procedimento.

---

Educazione digitale e consapevolezza dei propri diritti 

La protezione dei diritti digitali passa, in modo imprescindibile, attraverso un’adeguata educazione digitale, intesa come sviluppo della consapevolezza individuale e collettiva circa le opportunità e i rischi connessi all’uso delle tecnologie dell’informazione. In un’epoca in cui l’interazione con strumenti digitali è quotidiana e pervasiva, la formazione in materia di diritti, privacy e sicurezza deve diventare parte integrante dei percorsi scolastici e universitari.

Le istituzioni educative rivestono un ruolo centrale nella costruzione di una cittadinanza digitale attiva. La scuola, già a partire dalla primaria, dovrebbe prevedere moduli specifici di alfabetizzazione digitale che non si limitino all’uso tecnico dei dispositivi, ma affrontino anche i temi della protezione dei dati personali, del rispetto della reputazione online e della prevenzione dei comportamenti scorretti (cyberbullismo, hate speech, manipolazione informativa). Le università, a loro volta, devono integrare nei corsi strumenti normativi e deontologici relativi alla gestione dei dati, alla cybersicurezza e ai diritti digitali.

Accanto alla formazione istituzionale, assumono rilievo crescente i programmi di alfabetizzazione digitale promossi da enti pubblici, associazioni e piattaforme civiche. L’obiettivo è quello di colmare il divario digitale e rendere accessibili a tutti le competenze necessarie per una partecipazione consapevole alla società dell’informazione.

Infine, è essenziale coltivare una responsabilità diffusa: ciascun individuo deve agire in modo informato e rispettoso dei diritti altrui, mentre la collettività è chiamata a promuovere un ecosistema digitale fondato su trasparenza, legalità e inclusione. Solo in tal modo è possibile garantire che i diritti digitali non restino enunciazioni astratte, ma strumenti effettivi di libertà.

---

FAQ – Domande frequenti su “Diritti digitali e privacy” 

- Posso chiedere la cancellazione dei miei dati online?

Sì. Il Regolamento (UE) 2016/679 (GDPR) riconosce all’interessato il diritto alla cancellazione (art. 17), noto anche come diritto all’oblio. Puoi richiedere l’eliminazione dei tuoi dati personali se non sono più necessari rispetto alle finalità per cui sono stati raccolti, se hai revocato il consenso o se il trattamento è illecito. La richiesta va indirizzata al titolare del trattamento;

- Cosa fare in caso di violazione della privacy?

Se ritieni che i tuoi dati siano stati trattati in modo illecito o se hai subito una data breach, puoi presentare un reclamo al Garante per la protezione dei dati personali tramite il sito www.garanteprivacy.it. In caso di danni, puoi anche agire in giudizio per ottenere il risarcimento;

- Chi può trattare i miei dati personali?

Solo i titolari del trattamento e i responsabili del trattamento autorizzati, nel rispetto dei principi di liceità, correttezza e trasparenza. Ogni soggetto che tratta dati deve fornire un’informativa dettagliata e ottenere, ove richiesto, il tuo consenso;

- Come faccio a sapere quali dati possiede un’azienda su di me?

Hai diritto di esercitare il diritto di accesso (art. 15 GDPR). Inviando una richiesta scritta all’azienda, puoi ottenere copia dei tuoi dati personali, informazioni sul loro utilizzo, sui destinatari e sul periodo di conservazione;

- Il GDPR si applica anche ai social media?

Sì. Il GDPR si applica a tutti i soggetti, anche extra-UE, che trattano dati di cittadini europei, inclusi i social network. Gli utenti possono esercitare tutti i diritti previsti dal regolamento anche nei confronti di queste piattaforme.