La direttiva sulla privacy e le leggi di attuazione

comunitaria di prova digitale

3. La direttiva sulla privacy e le leggi di attuazione

La privacy è un concetto tanto nebuloso quanto metamorfico, flessibile e modificabile anche in base alle esigenze del progresso tecnologico e del mutato contesto di garanzia rivendicata.

Il diritto alla privacy è stato definito , fin dai primordi, “ right to be let alone”236 e, ad oggi, si è tanto diffuso fino a inglo bare nuovi e diversi significati che abbracciano, tra l’altro, la possibilità del singolo di conoscere, controllare, indirizzare ed interrompere il flusso di informazioni che lo riguardano. Queste ulteriori esigenze di tutela sono state ravvisate, in parti colare, per l’avvento delle nuove tecnologie in campo biomedico, in considerazione del carattere di dato sensibile riferibile ad ogni informazione di natura genetica acquisita con l’uso di tali mezzi.

Nuovi interrogativi sul contenuto del diritto alla privacy sono sorti anche a causa delle allarmanti minacce terroristiche che preoccupano e sensibilizzano l’intero globo. In particolare, si è reso (e si rende) necessario valutare quale possa essere il giusto equilibrio tra due opposte esigenze: il rispetto de l diritto alla riservatezza da un lato e la necessità di tutelare l’incolumità e la sicurezza della collettività dall’altro lato237.

236 La nota definizione è frutto degli studi degli americani Warren e Brandeis ai quali va riconosciuto il merito di aver prodotto il primo vero scritto di teoria generale della tutela della provaci già sul finire del secolo XIX.

Cfr S.D. WARREN – L.D. BRANDEIS The right to privacy in Harvard Law Review, n. 4, 1890, pagg. 193 ss.

Questo pamphlet si contraddistingue per avere innovato il concetto di diritto alla privacy, passando da un pensiero che legava strettamente tale diritto al diritto alla proprietà privata per giunge re, invece, ad un nucleo centrale portato sull’idea dell’inviolabilità dei diritti della personalità.

237 Lo sforzo concettuale volto ad una ricostruzione ed introduzione ai problemi legati al diritto alla privacy si devono a C. SARTORETTI Contributo allo studio del diritto alla privacy nell’ordinamento

costituzionale. Riflessioni sul modello francese, Giappichelli, 2008, pagg. 7 ss.; U. PAGALLO La tutela della privacy negli Stati Uniti d’America e in Europa, Giuffré, 2008, pagg. 109-156.

La forte dinamicità della privacy non permette di circoscrivere e cristallizzare una formula e una definizione, proprio perc hé gli sviluppi tecnologici che caratterizzano giornalmente la nostra epoca incidono sulle dinamiche della riservatezza creando delle situazioni giuridiche nuove238.

La pluralità contenutistica di questo concetto ha portato la dottrina a ritenere che la privacy non costituisca un diritto singolo ed autonomo, bensì una costellazione di diritti239, per questo refrattaria ad un qualsiasi congelamento in carte costituzionali o documenti normativi statici.

La nozione di privacy è il prodotto del sentire socio-culturale dell’epoca contemporanea e degli sviluppi del sapere e delle scienze, da collocare sempre nel contesto storico specifico di riferimento.

In una società civile come quella odierna, caratterizzata dalla crisi della territorialità dello Stato, i problemi e le soluzioni acquisiscono una dimensione sovranazionale.

Ciò vale anche per il catalogo dei diritti e, in particolare, per il diritto alla privacy.

Nella Carta dei Diritti dell’Unione europea, già nel Preambolo si legge che l’Unione europea “si basa sui principi di democrazia e dello stato di diritto”, e “pone la persona al centro della sua azione” creando “uno spazio di libertà, sicurezza e giustizia” ove vengono tutelati in particolare i diritti “derivanti in particolare dalle tradizioni costituzionali e dagli obblighi internazionali comuni agli Stati membri, dal Trattato dell’Unione europea e dai trattati comunitari, dalla convenzione europea per la salvaguardia dei diritti dell’uomo e delle libertà fondamentali, dalle carte sociali adottate dalla Comunità e dal Consiglio d’Europa, nonché i diritti riconosciuti dalla giurisprudenza della Corte di giustizia delle Comunità europee e da quella della Corte europea dei diritti dell’uomo”.

In questo contesto di garanzie s’inserisce anche il diritto alla privacy che, tra i molteplici aspetti, si caratterizza per il data protection, da intendersi come tutela del diritto all’habeas data240.

La privacy, quale proiezione del nucleo sensibile e della sfera esclusivamente personale e indisponibile dell’individuo241, è da lungo tempo al

238 La bibliografia in materia di privacy è molto vasta, proprio per via della trasversalità della materia che tocca molti rami del diritto, dal diritto costituzionale al diritto civile, il diritto penale ed il diritto dell’Unione europea.

Si segnalano, ex multis: S. RODOTA’ Tecnologie e diritti, Il Mulino, 1996; A. CERRI Riservatezza

(voce) in Enciclopedia Giuridica Treccani, Istituto Poligrafico e Zecca dello Stato, 1991; P. CONTI (a

cura di) Intervista su privacy e libertà, Laterza, 2005

239 L’espressione riportata è di F. MODUGNO I “nuovi” diritti nella Giurisprudenza costituzionale, Giappichelli, 1995, pag. 20.

240 Cfr C. SARTORETTI op.cit., pag. 21.

241 In questi termini si esprime A. FERRARA Premesse ad uno studio sulle banche dati della pubblica

amministrazione: fra regole della concorrenza e tutela della persona in Diritto amministrativo, 1997,

centro della tutela da parte della Comunità, in particolare a partire dalla Direttiva 95/46/CE del 24 ottobre 1995, in materia di trattamento dei dati personali e libera circolazione242.

Come si legge nel Preambolo, la Direttiva nasce da una presa di coscienza del notevole incremento del trattamento e dello scambio dei dati, a motivo del continuo progresso delle tecnologie; nonché dalla presa d’atto dell’agevolazione del flusso transfrontaliero dei dati personali attuato mediante l’integrazione economica e sociale di cui all’art. 7A del Trattato UE.

Nel considerandum 8, in particolare, è enucleata la ratio dell’intera Direttiva secondo cui, per eliminare gli ostacoli alla circolazione dei dati personali, è necessario riconoscere un livello di tutela dei diritti e delle libertà delle persone relativamente al trattamento dei dati personali equivalente in tutti gli Stati, che può trovare attuazione solo mediante un intervento della Comunità volto al ravvicinamento delle legislazioni nazionali243.

La Direttiva si ispira, come esplicitato, sia all’art. 7A del Trattato, sia all’art. 8 Convenzione europea per la salvaguardia dei diritti dell’uomo e delle libertà fondamentali, sia alla Convenzione del 28 gennaio 1981 del Consiglio d’Europa sulla protezione delle persone con riferimento al trattamento automatizzato dei dati di carattere personale244.

La Direttiva privacy è applicabile al trattamento di tutti i dati personali, anche quelli in forma di suoni e immagini, relativi a persone fisiche, compiuto parzialmente o interamente mediante l’uso di mezzi automatizzati ovvero senza l’uso di tali mezzi ma riguardante dati personali contenuti o destinati a figurare in archivi245.

I “dati personali” sono tutte le informazioni concernenti una persona fisica identificata o identificabile, direttamente o indirettamente, in particolare mediante il riferimento ad uno o più elementi specifici e caratteristici. Per “trattamento dei dati” si intende ogni operazione svolta con o senza l’ausilio di mezzi automatizzati, applicata ai dati personali quali la registrazione, l’organizzazione, la conservazione, l’elaborazione, la modifica, l’estrazione, la consultazione, l’impiego, la comunicazione mediante trasmissione, diffusione o qualsiasi altra forma di messa a disposizione, il raffronto, l’interconnessione, il congelamento, la cancellazione, la distruzione. Un “ archivio di dati personali” è

242 La cd. Direttiva Privacy è stata pubblica in Gazzetta Ufficiale CE n. 281 del 23 novembre 1995, impegnando gli Stati Membri, quali destinatari del testo, a recepirla mediante la previsione di disposizioni legislative, regolamentari ed amministrative necessarie per conformar visi, al più tardi nel terzo anno successivo all’adozione (art. 32 Direttiva).

243 L’obiettivo, dunque, non è solo quello di approntare un livello minimo di protezione individuale ma, come ben esposto dalla Corte europea di giustizia sin dal caso Lindqvist del 2003, di garantire in questo modo una tutela generale della privacy.

Il menzionato caso Lindqvist è stato deciso il 6 novembre 2003, causa C-101/01. 244

In particolare, il riferimento esplicito ai menzionati testi è fatto nei consideranda 8, 10 e 11.

un insieme strutturato di dati personali accessibili, secondo criteri determinati, indipendentemente dal fatto che sia organizzato mediante un sistema centralizzato, decentralizzato o ripartito in modo funzionale o geografico246.

L’art. 7, inserito nella sezione dei principi relativi alla legittimazione dei dati, specifica che “Gli Stati membri dispongono che il trattamento di dati personali può essere effettuato soltanto quando: a)la persona interessata ha manifestato il proprio consenso in maniera inequivocabile; b)è necessario per l’esecuzione del contratto concluso con la persona interessata o all’esecuzione di misure precontrattuali prese su richiesta di tale persona; c)è necessario per adempiere un obbligo legale al quale è soggetto il responsabile del trattamento; d)è necessario per la salvaguardia dell’interesse vitale della persona interessata; e)è necessario per l’esecuzione di un compito d’interesse pubblico o connesso all’esercizio di pubblici poteri di cui è investito il responsabile del trattamento o il terzo a cui vengono comunicati i dati; f)è necessario per il perseguimento dell’interesse legittimo del responsabile del trattamento oppure del o dei terzi cui vengono comunicati i dati, a condizione che non prevalgano l’interesse o i diritti e le libertà fondamentali della persona interessata”.

L’art. 13 concede la previsione di deroghe e di restrizioni da parte degli Stati membri per motivi di sicurezza dello Stato, di difesa, di pubblica sicurezza, di prevenzione, ricerca, accertamento e perseguimento di infrazioni penali o di violazioni della deontologia professionale, per un rilevante interesse economico o finanziario di uno Stato o dell’Unione europea, per operazioni di controllo, ispezione et similia.

L’art. 17 si concentra sul tema della sicurezza nel trattamento dei dati che deve essere offerta con un livello appropriato da parte degli Stati, anche in considerazione della natura dei dati da proteggere da distruzione, perdita, alterazione, illecita diffusione, accessi non giustificati, specie nelle ipotesi di trasferimento all’interno di una rete ma non solo.

In base al disposto dell’art. 20, gli Stati membri sono tenuti a precisar e i trattamenti di dati che presentano particolari rischi per i diritti e le libertà degli individui, prevedendo per questi dei controlli preliminari prima della messa in opera247.

La Direttiva del 1995 è stata oggetto di modifica ed integrazione in una successiva Direttiva 2002/58/CE del Parlamento europeo e del Consiglio del 12 luglio 2002, sempre relativa al trattamento dei dati personali e alla tutela della vita privata, ma specificamente dedicata al settore delle comunicazioni

246 L’art. 2 della Direttiva enuclea le riportate definizioni, oltre alla definizioni di “responsabile del

trattamento”, di “incaricato del trattamento”, di “terzi”, di “destinatario” e di “consenso della persona interessata”.

247 All’art. 20 si precisa che tale esame preliminare è effettuato dall’autorità di controllo a seguito della notifica del responsabile del trattamento o della persona incaricata della protezione dei dati, previa consultazione dell’autorità di controllo.

elettroniche248. La ratio anche di questa Direttiva attiene alla volontà di armonizzazione delle disposizioni legislative, regolamentari e amministrative degli Stati membri proprio in materia di tutela dei dati personali e della vita privata249.

La Direttiva del 2002 si applica al trattamento dei dati personali connesso alla fornitura di servizi di comunicazione elettronica accessibili al pubblico perché appoggiati su reti pubbliche250.

In particolare, il Parlamento ed il Consiglio richiedono ai fornitori di servizi di comunicazione elettronica accessibili al pubblico di adottare le misure tecniche idonee per garantire la sicurezza dell’utente della rete, secondo il livello offerto dallo stato dell’arte in rapporto alle esigenze riscontrate in ogni diverso contesto251.

I dati interessati dall’applicazione di questa Direttiva sono i dati di traffico, i dati relativi all’ubicazione, i dati relativi all’identificazione della linea chiamante e collegata, nonché l’elenco degli abbonati252.

La Direttiva del 2002 è stata oggetto di modifica per il tra mite della Direttiva 2006/24/CE del Parlamento europeo e del Consiglio del 15 marzo 2006, riguardante la conservazione di dati generati o trattati nell’ambito della fornitura di servizi di comunicazione elettronica accessibili al pubblico o di reti pubbliche di comunicazione253.

Nel considerandum 6 della Direttiva del 2006 è esplicitata la presa d’atto di una realtà giuridica europea in cui sussistono delle differenze teoriche e tecniche tra le disposizioni nazionali relative alla conservazione dei dati ai f ini della prevenzione, dell’indagine, dell’accertamento e del perseguimento dei reati, ciò determinando un ostacolo al libero mercato delle comunicazioni elettroniche, giacché ogni fornitore è tenuto a salvaguardare, conservare e trattare i dati secondo dei livelli obbligatori di tutela molto differenti.

Già il Consiglio Giustizia e affari interni del 19 dicembre 2002 aveva concluso sottolineando il considerevole aumento delle possibilità di comunicazioni elettroniche, i cui dati ad esse afferenti costituis cono uno

248La Direttiva è stata pubblicata in Gazzetta Ufficiale CE del 31 luglio 2002.

249 Il riferimento, in particolare è al considerandum 8 e all’art. 1 rubricato “Finalità e campo

d’applicazione”.

250 In questi termini l’art. 3 della Direttiva 2002/58/CE rubricato “Servizi interessati”.

251 Il riferimento è all’art. 4 della Direttiva rubricato “Sicurezza”. Tale articolo precisa, altresì, che qualora esistano dei rischi particolari di violazione della sicurezza della rete, il gestore ha l’obbligo di informare chiaramente l’utente indicando che tali rischi sono fuori dal campo delle applicazioni del le misure adottate.

252 Il testo della Direttiva fornisce una definizione chiara dei diversi tipi di dati in particolare all’art. 2. Nel corpo centrale, poi, si trovano le disposizioni specifiche riferite ai dati di traffico (art. 6), all’identificazione della linea chiamata e collegata (art. 8), ai dati relativi all’ubicazione (art. 9), all’elenco degli abbonati (art. 12).

strumento importante per la prevenzione, indagine, accertamento e perseguimento dei reati, in particolare della criminalità organizzata254.

La necessità di armonizzare le misure sulla conservazione dei dati relativi alle telecomunicazioni è stata ancora più sentita in seguito agli attacchi terroristici di Londra, come ribadito anche dal Consiglio nella seduta del 13 luglio 2005255.

L’art. 5, elencando le categorie di dati da conservare, fa riferimento specifico alle seguenti: i dati necessari per rintr acciare ed identificare la fonte di una comunicazione, quali il numero telefonico chiamante, nome e indirizzo dell’abbonato o dell’utente registrato ovvero il suo identificativo, l’assegnazione dell’indirizzo di protocollo Internet (IP); i dati necessari p er rintracciare e identificare la destinazione di una comunicazione, quali il numero digitato o chiamato, l’eventuale uso dei servizi di inoltro o trasferimento di chiamata ed i numeri a cui la chiamata è trasmessa, nome e indirizzo dell’abbonato o dell’utente registrato, identificativi dell’utente o numero telefonico del presunto destinatario (sia essa una chiamata telefonica o Internet); i dati necessari per determinare la data, l’ora e la durata di una comunicazione, compresi i dati di log-in e log-off; i dati necessari per determinare il tipo di comunicazione; i dati necessari per determinare le attrezzature di comunicazione degli utenti o quello che si presume essere le attrezzature utilizzate; i dati necessari per determinare l’ubicazione delle apparecchiature di comunicazione mobile, quali il Cell ID (o etichetta di comunicazione iniziale).

Sono esclusi dall’applicazione della Direttiva del 2006 i dati relativi al contenuto delle comunicazioni256.

Tutti questi dati, una volta raccolti, possono essere tra sferiti alle autorità competenti su loro richiesta257.

Tali dati, inoltre, secondo l’art. 7, devono essere conservati secondo elevati standard di sicurezza, mediante l’utilizzo di adeguate strumentazioni tecniche e di un’organizzazione che possano limitare il più possibile i rischi di distruzione, alterazione, perdita, accesso e divulgazione illeciti e non autorizzati258.

254 Le riportate conclusioni del Consiglio Giustizia e affari interni del 19 dicembre 2002 sono riassunte nel considerandum 7 della Direttiva 2006/24/CE.

255 Ciò è ribadito anche nella Direttiva 2006/24/CE al considerandum 10.

256 Il riferimento è all’art. 5 nella sua completezza di contenuto, ove viene fatta un’elencazione dettagliata delle diverse categorie di dati. Nel successivo art. 6 è esplicitato che tali dati debbano essere conservati per periodi non inferiori a sei mesi e non superiori a due anni dalla data della comunicazione. Secondo il disposto dell’art. 9, ogni Stato designa una o più autorità pubbliche di controllo dell’applicazione della Direttiva del 2006.

257 Cfr art. 8 Direttiva 2006/24/CE. 258

L’art. 15 della Direttiva prevedeva espressamente la data del 15 settembre 2007 quale termine ultimo per il recepimento. Alcuni Stati hanno da subito presentato delle dichiarazioni per chiedere una proroga:

Le leggi nazionali europee, con particolare riferimento agli ordinamenti italiano, francese e tedesco, hanno recepito la normativa comunitaria in maniera sostanzialmente comune, salvo alcune peculiarità di ciascun modello ordina mentale.

In Italia il diritto alla privacy è stato per lungo tempo misconosciuto, almeno a livello normativo, se non dalla dottrina e da lla giurisprudenza.

Il primo approdo legislativo è rappresentato dalla Legge n. 675 del 1996 in materia di protezione dei dati personali, successivamente modificata dal D.Lgs 196/2003, sempre al fine del recepimento delle già menzionate Direttive comunitarie del 1995 e del 2002259.

La Costituzione italiana, però, a tutt’oggi tace sul diritto alla riservatezza, prevedendo espressamente soltanto delle altre forme di libertà che possono essere comprese nel concetto di privacy, quale la libertà di domicilio (art. 14 Cost.), la libertà e segretezza della corrispondenza (art. 15 Cost.), oltre al generale art. 2 Cost. che riguarda la garanzia ed il riconoscimento dei di ritti inviolabili dell’uomo, come clausola omnicomprensiva anche dei diritti di nuova generazione.

Il codice della privacy italiano definisce, all’art. 4.1 lett. B), i “dati personali” come qualsiasi tipo di informazione che rende identificabile una persona fisica o giuridica, mediante il riferimento ad un numero o ad uno o più elementi specifici, caratteristici della sua identità f isica, fisiologica, psichica, economica, culturale o sociale260. Per “trattamento”, la legge italiana intende qualunque operazione o complesso di operazioni, effettuate anche senza l’ausilio di strumenti elettronici, concernenti la raccolta, la registrazione , l’organizzazione, la conservazione, la consultazione, l’elaborazione, la modificazione, la selezione, l’estrazione, il raffronto, l’utilizzo, l’interconnessione, il blocco, la comunicazione, la diffusione, la cancellazione e la distruzione di dati, regis trati in banche dati o non registrati261.

Al soggetto interessato è riconosciuto il diritto di accedere ai dati personali, nonché di ottenere la conferma della loro esistenza o meno, anche al fine di esercitare su di essi i diritti di aggiornamento, rettific a, cancellazione, anonimizzazione, blocco e quanto previsto ex lege262.

tra questi la Germania, limitatamente alla conservazione dei dati concernenti l’accesso Internet, la telefonia via Internet e la posta elettronica su Internet, chiedendo una proroga di 18 mesi e negli stessi termini anche il Granducato di Lussemburgo, senza però indicare un termine ulteriore specifico.

259 Per alcuni spunti di approfondimento sulle origini storiche del quadro giuridico italiano in materia di privacy e protezione dei dati personali si veda C. SARTORETTI, op.cit., pagg. 38 ss.

260 La differenza della legge sulla privacy italiana rispetto alla direttiva europea attiene al fatto che l’ordinamento europeo non fa nessun riferimento alle persone giuridiche ma solo alle persone fisiche. 261 La definizione di “trattamento” è contenuta all’art. 4.1, lett. A) del Codice Privacy.

262 L’art. 7 del D.Lgs 196/2003 disciplina ed elenca in modo specifico e dettagliato tutti i diritti esercitabili dal singolo individuo in relazione ai dati personali che lo interessano. I successivi articoli 8 e 9, poi, regolamentano i modi e le forme di esercizio di tali diritti e l’art. 10 riconosco il diritto al soggetto

I dati personali devono essere trattati in modo lecito e secondo correttezza; devono essere raccolti e registrati per scopi espliciti e legittimi e devono essere corretti ed aggiornati. Tali dati devono essere pertinenti, completi e non eccedenti le finalità per le quali sono stati raccolti e quindi trattati; devono essere conservati in una forma che consente l’identificazione dell’interessato per un periodo non superiore al raggiungimento degli scopi prefissati.

La violazione delle regole sul trattamento dei dati personali rende questi non utilizzabili263.

All’atto della cessazione del trattamento, secondo quanto disposto dall’art. 16, i dati devono essere distrutti, ceduti ad altro titolar e se destinati ad un trattamento compatibile, conservati per fini meramente personali o per scopi di scienza e conoscenza.

I dati sensibili possono essere trattati da parte di soggetti pubblici solo se vi è una espressa disposizione di legge e per persegui re finalità di interesse pubblico, diversamente è necessario ottenere un’autorizzazione preventiva del Garante264. Lo stesso vale a dirsi per il trattamento di dati giudiziari da parte di soggetti pubblici265.

Regole ulteriori sono previste per i privati e gli enti pubblici economici, quanto al trattamento dei dati sensibili e giudiziari.

I dati sensibili possono essere oggetto di trattamento solo previo consenso dell’interessato o su autorizzazione del Garante e comunque entro i limiti stabiliti dalle disposizioni del D.Lgs 196/03266.

Quanto ai dati giudiziari, invece, questi possono essere trattati solo previo consenso dell’interessato ovvero a seguito di autorizzazione del Garante, con

Nel documento La cooperazione di polizia e giudiziaria e la circolazione della prova digitale nello spazio giudiziario europeo: un bilanciamento critico tra libertà, sicurezza e giustizia. (pagine 93-108)