Dalla direttiva 95/46/CE al Regolamento (UE) 2016/679: l’evoluzione normativa

europea nella tutela dei dati personali

La direttiva 95/46/CE476 ha segnato senza dubbio un punto di svolta per la tutela dei dati personali sul territorio europeo, rappresentando il primo tentativo dell’allora Comunità europea di dotarsi di una disciplina in tale ambito valevole per ogni Paese membro. L’utilizzo dello strumento legislativo della direttiva richiedeva perciò a ogni Stato di armonizzare le proprie normative con l’obbiettivo di una più uniforme applicazione e una più omogenea interpretazione a livello europeo, rispettando i principi minimi inderogabili elencati dalla direttiva stessa. Valori quali la liceità del trattamento e la qualità dei dati, il diritto di accesso e modifica delle informazioni condivise, il consenso libero e informato entrano nella legislazione a tutela dei dati personali formulata dagli Stati nazionali.

La naturale flessibilità della direttiva ha fatto sì che la normativa fosse in grado di adattarsi a numerose esigenze, spesso differenti rispetto a quelle per cui era originariamente programmata. Questa caratteristica si è però dimostrata essere anche una profonda debolezza che ha spinto i legislatori a valutare una modifica della disciplina in questione: il costante progresso tecnologico, impensabile al momento dell’emanazione

475 _{Trattato sul funzionamento dell’Unione europea (versione consolidata) in GU C 326, 26 ottobre 2012,}

pp.47-390, https://eur-lex.europa.eu/legal-content/IT/TXT/?uri=celex%3A12012E%2FTXT (consultato il 24 luglio 2019).

476 _{Direttiva 95/46/CE del Parlamento europeo e del Consiglio, del 24 ottobre 1995, relativa alla tutela delle}

persone fisiche con riguardo al trattamento dei dati personali, nonché alla libera circolazione di tali dati, in GU L 281, 23 novembre 1995, pp.31-50.

167

della direttiva, ha costretto la Corte di giustizia dell’Unione europea a un costante sforzo interpretativo ed esegetico per adattare la regolamentazione in esame alle esigenze di una società digitale in continuo mutamento.

Partendo da questa consapevolezza, le successive direttive 2002/58/CE477 e 2006/24/CE478 hanno svolto una funzione integrativa479 di quanto già disposto dalla direttiva 95/46/CE rafforzandone e ampliandone il nucleo centrale480 sotto molteplici aspetti. Hanno portato a un sostanziale ammodernamento della disciplina legislativa in tema di telecomunicazioni, specificando inoltre in maniera dettagliata le prerogative dell’intero apparato di controllo già predisposto dalla normativa del’95.

La direttiva 2002/58/CE ha l’obbiettivo di regolamentare la condivisione dei dati personali attraverso le comunicazioni elettroniche rispettando i diritti e le prerogative dell’utente cibernetico; consapevole dell’impatto dirompente di Internet e delle reti digitali nel mondo della comunicazione, il legislatore europeo ha introdotto termini come

web bugs481 _{e cookies}482_{, ancora impensabili nel 1995.}

Andando ad osservare le misure più importanti introdotte con la direttiva del 2002, si nota che l’art.4 impone al fornitore di servizi di comunicazione elettronica accessibili al pubblico di prevedere appropriate misure tecniche e organizzative per salvaguardare la sicurezza dell’utente finale. Per raggiungere tale obbiettivo, può collaborare con il

477 _{Direttiva 2002/58/CE del Parlamento europeo e del Consiglio, del 12 luglio 2002, relativa al trattamento}

dei dati personali e alla tutela della vita privata nel settore delle comunicazioni elettroniche (direttiva relativa alla vita privata e alle comunicazioni elettroniche), in GU L201, 31 luglio 2002, pp. 37-47.

478 _{Direttiva 2006/24/CE del Parlamento europeo e del Consiglio, del 15 marzo 2006, riguardante la}

conservazione di dati generati o trattati nell’ambito della fornitura di servizi di comunicazione elettronica accessibili al pubblico o di reti pubbliche di comunicazione e che modifica la direttiva 2002/58/CE, in GU L 105, 13 aprile 2006, pp.54-63.

479 _{L’art.1.2 della direttiva 2002/58/CE specifica che “le disposizioni della presente Direttiva precisano e}

integrano la Direttiva 95/46/CE”.

480_{F.PIZZETTI,Privacy e il diritto europeo alla protezione dei dati personali. Dalla direttiva 95/46 al nuovo}

Regolamento europeo, Torino, 2016, pp.136.

481 _{Considerando n.24 della direttiva 2002/58/CE recita “[…] I cosiddetti software spia, bachi invisibili}

("web bugs"), identificatori occulti ed altri dispositivi analoghi possono introdursi nel terminale dell'utente a sua insaputa al fine di avere accesso ad informazioni, archiviare informazioni occulte o seguire le attività dell'utente e possono costituire una grave intrusione nella vita privata di tale utente. L'uso di tali dispositivi dovrebbe essere consentito unicamente per scopi legittimi e l'utente interessato dovrebbe esserne a conoscenza”.

482 _{Considerando n.25 della direttiva 2002/58/CE recita “[…] i cosiddetti marcatori ("cookies"), possono}

rappresentare uno strumento legittimo e utile, per esempio per l'analisi dell'efficacia della progettazione di siti web e della pubblicità, nonché per verificare l'identità di utenti che effettuano transazioni "on-line". Allorché tali dispositivi, ad esempio i marcatori ("cookies"), sono destinati a scopi legittimi, come facilitare la fornitura di servizi della società dell'informazione, il loro uso dovrebbe essere consentito purché siano fornite agli utenti informazioni chiare e precise, a norma della direttiva 95/46/CE, sugli scopi dei marcatori o di dispositivi analoghi per assicurare che gli utenti siano a conoscenza delle informazioni registrate sull'apparecchiatura terminale che stanno utilizzando. Gli utenti dovrebbero avere la possibilità di rifiutare che un marcatore o un dispositivo analogo sia installato nella loro apparecchiatura terminale […]”.

168

fornitore della rete pubblica utilizzata. L’art.5 impone agli Stati un divieto di captare e intercettare informazioni e comunicazioni avvenute sulle reti elettroniche, a meno che non sia necessario per esigenze di ordine pubblico. Secondo l’art.15, l’utente deve essere inoltre costantemente aggiornato sulle modalità di trattamento dei propri dati personali attraverso apposite informative, in maniera tale che possa eventualmente rifiutare il suo consenso alla raccolta dei dati che lo riguardano. La direttiva 2002/58/CE elenca determinati principi che andranno a costituire la “spina dorsale” della disciplina normativa europea in tema di data protection e che verranno ripresi anche dalla legislazione successiva; si pensi al principio della finalità (art.6), per cui le informazioni non più necessarie al perseguimento degli scopi del trattamento dati devono essere immediatamente cancellate, e al valore dell’anonimizzazione (art.7), secondo il quale i dati trattati devono essere gestiti in maniera tale da far sì che il soggetto a cui si riferiscono non sia identificabile se non nelle eventualità strettamente necessarie.

La direttiva 2006/24/CE si concentrava su un tema particolarmente specifico, volendo disciplinare le modalità di conservazione dei dati personali e il loro utilizzo per finalità di indagine per reati particolarmente gravi. Una delle motivazioni di questa volontà legislativa è data dai tragici attacchi terroristici avvenuti nella città di Londra nel 2005483: l’esigenza di un’immediata risposta delle forze di polizia in simili occasioni può infatti portare a dover raccogliere grandi quantità di informazioni. L’interesse pubblico e la necessità di mantenere la sicurezza all’interno dei territori nazionali non possono essere però motivazioni per abusare del diritto alla privacy e alla tutela dei dati personali. La creazione di una disciplina comune che armonizzasse le diverse disposizioni nazionali e che tenesse conto dei diversi interessi in gioco si era perciò fatta ineludibile.

L’art.6 della direttiva 2006/24/CE prevedeva un tempo minimo (6 mesi) e un periodo massimo (2 anni) di conservazione da parte dei pubblici poteri di particolari dati relativi alle comunicazioni elettroniche: l’interpretazione e applicazione di questo specifico articolo è stata oggetto di un rinvio pregiudiziale 484 alla Corte di giustizia dell’Unione europea.

I giudici hanno rilevato che i dati in questione, pur non attenendo specificatamente al contenuto delle comunicazioni stesse, possono rivelare comunque aspetti importanti

483 _{Il considerando n.10 della direttiva in questione fa esplicito riferimento agli attacchi terroristici avvenuti}

a Londra nel 2005, esprimendo una ferma condanna di tali attentati da parte dell’intera Europa.

484 _{Corte di giustizia dell’Unione europea, casi riuniti C-293/12 e C-594/12, Digital Rights Ireland v.}

169

relative alle conversazioni, alla loro frequenza e alle parti coinvolte, comportando perciò un serio pregiudizio per il diritto alla privacy e alla riservatezza delle persone. La Corte ha inoltre segnalato una violazione del principio di proporzionalità del trattamento dati per 5 diversi motivi485:

1) Non aver previsto termini specifici per la conservazione dei dati raccolti a seconda delle diverse circostanze e dei diversi casi concreti;

2) Non aver adeguatamente specificato cosa si intende per “reati gravi”;

3) aver omesso ogni presupposto procedurale e sostanziale al quale subordinare l’accesso;

4) Aver previsto esclusivamente i termini massimi e minimi di conservazione delle informazioni;

5) Non aver stabilito che i dati devono essere conservati all’interno del territorio dell’Unione europea.

I giudici della Corte di giustizia hanno quindi preso la decisione di annullare la direttiva in questione, ritenendo che la mancanza di specificazione e differenziazione normativa in un campo particolarmente delicato come quello della data protection potesse causare un grave pregiudizio alla sfera privata dei cittadini europei. Una limitazione dei diritti fondamentali può essere infatti considerata legittima esclusivamente se proporzionata alle esigenze di pubblica sicurezza perseguite: tale criterio di proporzionalità non può essere definito in maniera aprioristica ed astratta, ma deve essere parametrato alle circostanze del caso concreto, specialmente in un ambito come quello della lotta al crimine che può fare da preludio a eventuali abusi.

Questa breve panoramica sulla normativa più risalente in tema di protezione dei dati personali risulta indispensabile per poter affrontare con cognizione di causa lo studio del Regolamento (UE) 2016/679486, chiamato anche GDPR, recentemente entrato in vigore nell’ordinamento europeo e che abroga interamente la previgente direttiva 95/46/CE. Era infatti ormai diffusa l’esigenza di una nuova disciplina uniforme in tema di data protection che potesse rispondere in maniera adeguata agli importanti cambiamenti apportati dal costante progresso tecnologico.

485 _{Per un’attenta analisi della sentenza Digital Ireland e delle sue conseguenze giuridiche, si rimanda a}

F.M.DONNINI,L’evoluzione della protezione dei dati personali tra tecnologia, sicurezza nazionale e diritti

fondamentali, Roma, 2017, pp.77 ss.

486 _{Regolamento (UE) 2016/679 del Parlamento europeo e del Consiglio, del 27 aprile 2016, relativo alla}

protezione delle persone fisiche con riguardo al trattamento dei dati personali, nonché alla libera circolazione di tali dati e che abroga la direttiva 95/46/CE (regolamento generale sulla protezione dei dati), in GU L 119, 4 maggio 2016, pp. 1-88.

170

5. Il Regolamento (UE) 2016/679 (GDPR) e la tutela dei dati personali nell’epoca