Considerazioni general

Questo capitolo verrà dedicato all’analisi della “dimensione esterna” della tutela dei dati personali nell’ordinamento giuridico dell’Unione Europea. In altri termini, verranno illustrati in questa sede i principi e gli strumenti normativi attraverso i quali l’Unione Europea si propone di assicurare ai dati personali che fuoriescono dal suo territorio un elevato livello di protezione, il più possibile vicino allo standard di tutela vigente all’interno dei suoi confini.

Preliminarmente si deve osservare come, per qualsiasi giurista tradizionale, il concetto di “dimensione esterna”, riferito ad un contesto normativo interno, possa destare qualche perplessità. La legge, infatti, salvo alcuni casi tassativamente individuati di applicazione extra-territoriale, è generalmente soggetta a dei rigidi criteri di applicazione spazio-temporale – in modo tale da risultare applicabile soltanto a fatti successivi alla sua entrata in vigore e nei limiti dei confini statali-. In un’ottica tradizionale, quindi, il concetto di dimensione “esterna”, riferito alla tutela dei dati personali, può apparire come una vera e propria contradictio in terminis.

In realtà, come si è già visto nei capitoli precedenti, la tutela dei dati personali costituisce, per l’ordinamento giuridico europeo, un vero e proprio diritto fondamentale dell’individuo. Detta concezione é espressione di un’esperienza storico-giuridica e di una sensibilità culturale tipicamente europea, e contraddistingue l’ordinamento dell’Unione rispetto alle tradizioni giuridiche di altre democrazie occidentali, Stati Uniti in primis.

Orbene, la tutela di tale diritto fondamentale esige che i dati personali, che presentano la particolarità addizionale di poter essere messi in circolo con estrema facilità e di poter fuoriuscire dal territorio degli Stati membri con un semplice click del mouse, debbano essere protetti non soltanto quando circolano all’interno del territorio dell’Unione, ma anche nel caso in cui vengano trasferiti all’estero. Viceversa, infatti, sarebbe sufficiente trasferirli e sottoporli a trattamento in un Paese esterno all’Unione Europea, col risultato di aggirare le garanzie e di vanificare la legislazione a tutela di tale diritto fondamentale.

84

Ora, il concetto di dimensione “esterna” della tutela dei dati personali mira a dare una risposta a questa esigenza di protezione. La direttiva 95/46/CE in materia di tutela dei dati personali ha, infatti, disposto espressamente la propria applicazione (cfr. art. 4) anche ai "responsabili dei trattamenti di dati personali", a coloro cioè che "determinano le finalità e gli strumenti del trattamento di dati personali", anche se non stabiliti nel territorio della Comunità, quando ricorrano a strumenti, automatizzati o meno, situati nel territorio di uno Stato membro e purché non servano solo a fini di transito delle informazioni nel territorio della Comunità.

Allo stesso modo, al fine di assicurare appieno la tutela delle singole persone i cui dati siano trattati in Europa, la direttiva contiene disposizioni specificamente dedicate al trasferimento dei dati dall'Unione europea verso altri Paesi, prevedendo norme sia sostanziali che procedurali tese a innalzare il tenore internazionale della protezione delle persone da abusivi trattamenti dei loro dati personali281; queste disposizioni hanno conosciuto un importante contributo interpretativo- specificativo da parte di un apposito organo, il "Gruppo per la tutela delle persone con riguardo al trattamento dei dati personali" (qui di seguito, il "Gruppo").

Invero, come si vedrà in proseguo, la Direttiva 95/46/CE contiene un intero capo dedicato alla disciplina dei trasferimenti di dati personali verso Paesi terzi. Lo spirito della direttiva, infatti, così come espresso ai considerando nn. 56 e 57, è quello di proibire il trasferimento di dati personali allorquando lo Stato destinatario del flusso di dati non offra un adeguato livello di protezione e, viceversa, di consentirlo, soltanto laddove lo stato terzo di destinazione assicuri, invece, detto standard di tutela. In altre parole, l’ordinamento giuridico dell’Unione Europea mira ad assicurare che i dati personali dei propri cittadini continuino a beneficiare di un elevato standard di protezione anche nell’ipotesi in cui lascino il territorio degli Stati membri.

Secondo attenta dottrina le ragioni dell’influenza esterna della politica europea in materia di tutela dei dati personali sono duplici282. Da un lato, infatti, il carattere globale del commercio e delle relazioni umane transitante sulle reti telematiche rende oramai vano qualsiasi tentativo di offrire una protezione efficace dei dati attraverso iniziative meramente unilaterali. Sull’opposto versante, invece, vi è l’esigenza di evitare che i flussi di dati vengano intralciati dall’esistenza di difformità normative ed incertezze giuridiche. Non si deve dimenticare, sotto questo aspetto, che la Direttiva 95/46/CE nasce essenzialmente con l’obiettivo di assicurare la libera circolazione dei dati all’interno del territorio europeo nell’ottica del migliore funzionamento del mercato comune.

281

Paolo Pallaro, “Rapporti Commerciali tra UE e Stati Terzi e la questione della tutela dei dati personali. Il difficile

confronto UE-USA”, in Diritto del Commercio internazionale 2000,03,753

85

Ciò premesso, sempre secondo quanto osservato da una parte della dottrina283, l’introduzione di disposizioni tali da consentire l’applicazione extraterritoriale della direttiva sulla protezione dei dati a paesi non europei dimostra inequivocabilmente come l’Unione Europea abbia iniziato ad assumere un ruolo più forte a livello globale a seguito della maggiore integrazione degli Stati membri. Invero, sarebbe alquanto difficile ipotizzare che il singolo Stato membro possa avere da solo la forza di imporre ai propri partners internazionali l’adeguamento a standard di protezione puramente interni. Questo risultato diventa, però, conseguibile grazie al maggiore peso cha l’Unione Europea detiene sulla scena internazionale allorquando è in grado di parlare con un’unica voce.

Come si è anticipato, infatti, la legislazione dell’Unione Europea in materia di data protection esige che gli Stati terzi destinatari dei flussi di dati forniscano delle garanzie precise volte ad assicurare agli individui un livello di protezione adeguato, pena il divieto di qualsiasi trasferimento di dati, indi l’imposizione di quello che è stato efficacemente indicato come un vero e proprio “embargo” di informazioni284_{. In quest’ottica, quello che viene definito dalla dottrina come} “unilateralismo CE” ha conseguito dei risultati sorprendenti per quanto riguarda numerosi paesi non facenti parte dell’Unione Europea, tra i quali il Canada, la Svizzera, il Giappone e l’Australia, i quali hanno spontaneamente adeguato le proprie legislazioni nazionali in materia di data protection proprio al fine di allinearsi allo standard di protezione stabilito dalla Direttiva 95/46/CE285.

Allo stesso modo è stato osservato come, se era tradizionalmente la posizione di egemonia economica americana a creare «esternalità» che richiedevano agli altri Stati risposte politiche per difendersi dall'impatto extraterritoriale degli strumenti di politica interna USA, ora «the reversal of

this pattern has not gone unnoticed286»

Il contenzioso relativo ai PNR, dal canto suo, ha dimostrato invece come l’Unione Europea non sia riuscita a conseguire il medesimo brillante risultato con riguardo alla superpotenza USA, sebbene la vicenda abbia avuto come effetto quello di innescare un vivace dibattito in seno alla dottrina ed all’opinione pubblica d’oltre oceano. Se inizialmente, infatti, la dottrina americana ha ritenuto inammissibile il tentativo da parte dell’Unione Europea di imporre ai propri partners commerciali degli standard di protezione della privacy basati su esperienze storiche e concezioni

283 _{Ryan Lowther, “U.S. Privacy Regulations Dictated by EU Law: How the Healthcare Profession May be Regulated”}

in Columbia Journal of Transnational Law 41 no2 435-54 2003

284

Idem

285 _{Lauso Zagato “Il trasferimento di dati personali verso stati terzi: esiti (in parte sorprendenti) dell’unilateralismo}

giuridico CE” in Dir. Comm. Internaz. 2008, 02, 297

286

C.-J. BENNETT, Privacy Self-Regulation in a Global Economy: a Race to the Top, the Bottom or Somewhere else? (Atti delle 22ª Conferenza internazionale sulla privacy e la protezione dei dati personali, Venezia, 28-30 settembre 2000).

86

culturali non condivise dagli altri Paesi287, oggi il dibattito sembra maggiormente incentrato sull’opportunità di aumentare il livello di protezione dei dati offerto ai cittadini americani, anche per non lasciare al partner Unione Europea il monopolio della protezione della privacy delle persone fisiche288. In quest’ottica, risulta affascinante osservare come, nel silenzio assordante della Costituzione federale e della giurisprudenza della Corte Suprema sul punto, diversi stati americani tra cui la Florida e la California abbiano modificato le proprie costituzioni al fine di introdurre delle disposizioni a tutela della privacy dei propri cittadini.

A parere di chi scrive, dunque, alla luce delle suesposte considerazioni, appare evidente come l’evoluzione della normativa europea in materia di protezione dei dati personali non costituisca un fenomeno isolato o, comunque, privo di una sua logica intrinseca. Al contrario, essa sembra corrispondere ad una scelta di “politica estera legislativa” consapevole da parte dell’Unione Europea, mirante ad “esportare”, e finanche ad imporre agli altri membri della comunità internazionale degli standard di protezione propriamente europei in materia di tutela dei dati personali.

Questa lettura sembra trovare conferma anche nell’adozione, durante la seduta del 10 e dell’11 dicembre 2009 del Consiglio Europeo, del Programma pluriennale sulla giustizia e gli affari

interni meglio conosciuto come Programma di Stoccolma289. Si tratta sostanzialmente di un testo che contiene la tabella di marcia per i successivi 5 anni per tutti gli aspetti riguardanti l’area libertà, sicurezza e giustizia, che va dalla promozione dei diritti fondamentali alla politica europea sulla giustizia civile e penale, includendo i capitoli sull’immigrazione e sul diritto d’asilo290

.

Il programma di Stoccolma delinea, infatti, le priorità dell'Unione europea (UE) per lo spazio di libertà, sicurezza e giustizia per il periodo 2010-2014, tenendo conto dei risultati conseguiti dai programmi di Tampere e dell'Aia, e mira ad accogliere le sfide future e a rafforzare lo spazio europeo di giustizia, libertà e sicurezza con azioni concentrate sugli interessi e sulle esigenze dei cittadini291.

In tale sede il Consiglio Europeo ha stabilito che “l'Unione deve garantire una strategia globale in materia di protezione dei dati all’interno dell'Unione e nell’ambito delle relazioni con i paesi terzi”, invitando la Commissione “a proporre una raccomandazione per la negoziazione di

287

Santolli Justin “The Terrorist Finance Tracking Program: Illuminating the shortcomings of the European Union’s

antiquated data protection directive” in The Geo. Wash. Int’l L. Rev., 2008, 40,2, p. 563 e ss.

288

Barbara Crulchfield George; Patricia Lynch, Susan J Marsnik “US multinational employers: navigating through the

“Safe Harbor Principles” to comply with the EU data privacy directive”, in American Business Law Journal 38 no 4

753-83 Summ. 2001

289

GUUE 4.5.2010 C 115/01)

290

Consultabile al sito http://www.consilium.europe.eu/uedocs/cms_data/docs/pressdata/it/ec

87 accordi in materia di protezione e, se necessario, condivisione dei dati”, nonché “a prendere in esame elementi essenziali per accordi sulla protezione dei dati con paesi terzi”.

In un'ottica più ampia, è previsto che l’Unione Europea dovrà avere una funzione motrice per lo sviluppo e la promozione di norme internazionali in materia di protezione dei dati personali, prendendo come base i pertinenti strumenti europei in materia di protezione dei dati e la Convenzione del Consiglio d'Europa del 1981 sulla protezione delle persone rispetto al trattamento automatizzato di dati di carattere personale, e per la conclusione di adeguati accordi internazionali bilaterali o multilaterali.

Allo stesso modo il Programma di Stoccolma ribadisce il fatto che “la protezione dei dati personali è un'attività centrale dell'Unione. È necessario che l'Unione si doti di un quadro normativo coerente per i trasferimenti di dati personali verso paesi terzi”. Inoltre è previsto che dovrà essere negoziato e concluso rapidamente un accordo sulla protezione dei dati personali scambiati a fini di contrasto della criminalità.

Nei prossimi paragrafi verranno quindi illustrati i frutti che, nel bene e nel male, la “politica legislativa estera” dell’Unione Europea in materia di data protection ha fino ad oggi raccolto (o che avrebbe potuto raccogliere) nell’ottica di garantire ai dati personali dei propri cittadini che fuoriescono dai confini europei un elevato livello di protezione.

2. La disciplina dei trasferimenti di dati personali all’estero e la nozione di livello