Il diritto comunitario derivato comprende una serie di atti giuridici adottati dalle istituzioni comunitarie, nei limiti delle loro competenze e con gli effetti sanciti dal Trattato, deliberati attraverso procedimenti diversi e separati da quelli nazionali, e “lo scopo o finalità di tali atti è quello di dare applicazione e concretizzare quelli che sono gli obiettivi posti nei trattati UE” . 105
Gli atti del diritto derivato, per questa ragione, incidono in modo rilevante sugli ordinamenti giuridici degli Stati membri e sulle posizioni giuridiche dei singoli.
In particolare, quelli che qui maggiormente interessano, poiché fondamentali per la disciplina generale comunitaria in materia di protezione dei dati personali, sono le direttive ed i regolamenti.
Per quanto riguarda la direttiva, ai sensi dell’articolo 288, par. 3, del Trattato sul funzionamento dell’Unione Europea, “la direttiva vincola lo Stato membro cui è rivolta per quanto riguarda il risultato da raggiungere, salva restando la competenza degli organi nazionali in
Art. 39 del Trattato sull’Unione Europea (C 326/13)in https://eur-lex.europa.eu/
104
resource.html?uri=cellar:2bf140bf-a3f8-4ab2-b506-fd71826e6da6.0017.02/ DOC_1&format=PDF .
C. GARAU, Regolamento o direttiva dell’Unione Europea: differenza e cosa
105
cambia, Termometro Politico, 3 maggio 2019, in https://www.termometropolitico.it/ 1425516_regolamento-o-direttiva-dellunione-europea-differenza-e-cosa-
merito alla forma e ai mezzi” . La direttiva quindi è un testo di 106
applicazione generale per tutti i paesi dell’UE, tuttavia non ha un’applicabilità diretta negli Stati membri, bensì prima di essere applicata in ciascun paese dell’UE deve essere recepita nel diritto nazionale di ciascuno Stato, il quale è vincolato in relazione agli obiettivi da raggiungere stabiliti nella direttiva, lasciando agli Stati un margine di discrezionalità sulla definizione dei mezzi e degli strumenti. Tuttavia, qualora gli Stati non adempiano al dovere di recepimento della direttiva, scaduto il termine previsto per il recepimento, essa acquista, nello Stato inadempiente, diretta applicabilità quando prevede disposizioni precise e incondizionate. Ciò significa che i singoli acquistano diritti che i giudici nazionali devono tutelare, senza che gli Stati possano opporre norme nazionali contrarie.
Il regolamento, invece, ai sensi del par. 2 dell’articolo 288 TFUE, “ha portata generale. Esso è obbligatorio in tutti i suoi elementi e direttamente applicabile in ciascuno degli Stati membri” . Essi, a 107
differenza delle direttive, non hanno bisogno di essere recepiti dal diritto interno, bensì sono, come specifica la norma, direttamente applicabili ed efficaci negli ordinamenti degli Stati membri.
Questa premessa sulla “originalità del fenomeno comunitario” 108
permette di comprendere come l’Unione europea abbia evidenziato l’importanza della protezione dei dati personali dei cittadini europei facendosi carico della disciplina generale in modo da avere una normazione uniforme, prima mediante lo strumento delle direttive vincolanti in relazione agli obiettivi ma attuate in modo diverso tra gli
Art. 288, Trattato sul funzionamento dell'Unione Europea (C 326/47) in https://
106
eur-lex.europa.eu/legal-content/IT/TXT/PDF/?uri=CELEX:12012E/TXT&from=RO Ivi, par. 2.
107
G. ITZCOVICH, Teorie e ideologie del diritto comunitario, Giappichelli, Torino,
108
Stati membri per quanto concerne i mezzi per conseguirli, e poi con il recente regolamento del 2016, volto a sancire e rafforzare l’uniformità della disciplina e l’efficacia della protezione su tutto il continente europeo.
2.4.1. La Direttiva 95/46/CE
Un atto che ha giocato un ruolo estremamente importante per la tutela dei dati personali nell’Unione europea è la Direttiva 95/46/CE del Parlamento europeo e del Consiglio del 24 ottobre 1995 relativa alla tutela delle persone fisiche con riguardo al trattamento dei dati personali, nonché alla libera circolazione di tali dati, entrata in vigore nel dicembre 1995 e rimasta in vigore fino al GDPR del 2016. Essa fu per molti anni definita come “direttiva madre”, in quanto normativa europea di riferimento in materia, applicabile tra l’altro non solo agli Stati membri ma anche agli Stati aderenti al Sistema economico europeo (SEE), ovvero l’Islanda, il Lichtenstein e la Norvegia. La direttiva aveva lo scopo essenziale di promuovere un livello minimo di tutela dei cittadini e di favorire l’armonizzazione delle normative sulla protezione dei dati personali nel contenente europeo. Si trattava, cioè, di uno strumento di unione ed armonia, avente lo scopo di “rafforzare la libertà delle persone, non quello di sottoporle, anche nell’ambito dell’attività personale e domestica, a una gabbia vincolante di regole” . 109
In particolare, l’esigenza di armonizzazione nasceva, come rilevato da Saetta, “dalla frammentazione in materia tra i diversi paesi aderenti all'Unione, per cui si era reso necessario procedere ad un
F. PIZZETTI, Privacy e il diritto europeo alla protezione dei dati personali. Dalla
109
ravvicinamento delle normative nazionali che però non determinasse un indebolimento della tutela delle persone. In tale prospettiva lasciava agli Stati aderenti una libertà di manovra molto limitata” . 110
Alla luce del considerando n. 7 del preambolo, è possibile notare lo stretto legame tra l’esigenza di armonizzare i livelli di tutela e la costruzione del mercato comune, considerando cioè i divari tra le normative nazionali come potenziali ostacoli alle attività economiche e alla concorrenza, elementi fondamentali del mercato europeo, la realizzazione del quale passa anche attraverso la disciplina comune della circolazione dei dati personali e la tutela dei cittadini in relazione al trattamento dei dati stessi.
Tuttavia, col tempo, si è avuto modo di poter considerare come obiettivo e oggetto della direttiva, ai sensi dell’articolo 1, “la tutela dei diritti e delle libertà fondamentali delle persone fisiche e partico- larmente del diritto alla vita privata, con riguardo al trattamento dei dati personali” . Allo stesso modo risulta chiaro dall’articolo 111
l’ambito di applicazione della direttiva, applicabile “al trattamento di dati personali interamente o parzialmente automatizzato nonché al trattamento non automatizzato di dati personali contenuti o destinati a figurare negli archivi” . Si tratta di una tutela già introdotta con la 112
Convenzione 108, e rafforzata anche grazie all'introduzione di autorità di controllo, c.d. Garanti, come strumento per la corretta attuazione delle norme nell'ambito del territorio nazionale.
Una volta che è stato chiarito l’obiettivo generale della direttiva, è necessario, per capirne l’incidenza sulla materia, affrontare alcuni temi
B. SAETTA, Direttive europee, Protezione dati personali, 22 luglio 2018, in
110
https://protezionedatipersonali.it/direttive-europee .
Art. 1 Direttiva 95/46/CE, in https://eur-lex.europa.eu/legal-content/IT/TXT/
111
PDF/?uri=CELEX:31995L0046&from=it . Ivi, art. 3.
importanti dell’atto in esame, e in particolare quelli che maggiormente interessano questa trattazione sono le definizioni ed i soggetti coinvolti nella protezione dei dati personali, le condizioni da integrare ai fini della liceità del trattamento dei dati, il tema del consenso dell’interessato, il trattamento dei dati sensibili e la questione della sicurezza, il diritto di opposizione dell’interessato, ed infine il trasferimento verso paesi terzi.
2.4.1.1. Definizioni e soggetti della protezione dei dati personali
Un primo elemento importante sono le definizioni di alcune nuove categorie giuridiche la cui conoscenza è imposta dal fatto che la stessa esistenza della protezione dei dati personali nasce dallo sviluppo e dalla diffusione di tecnologie difficilmente prevedibili negli anni precedenti. L’articolo 2 lett. a) della direttiva definisce i dati personali come “qualsiasi informazione concernente una persona fisica identificata o identificabile («persona interessata»)”, riprendendo l’articolo 2 della Convenzione 108, ma aggiungendo che “si considera identificabile la persona che può essere identificata, direttamente o indirettamente, in particolare mediante riferimento ad un numero di identificazione o ad uno o più elementi specifici caratteristici della sua identità fisica, fisiologica, psichica, economica, culturale o sociale” . 113 I dati personali possono essere oggetto di trattamento, ossia, ai sensi della lettera b), qualsiasi operazione o insieme di operazioni automatizzate e non, applicate ai dati personali, e comprendenti molteplici attività diverse quali la raccolta, la registrazione, l'organizzazione, la conservazione, l’elaborazione, la modifica,
Ivi, art. 2, lett a).
l'estrazione, la consultazione, l'impiego, la comunicazione mediante trasmissione, diffusione o qualsiasi altra forma di messa a disposizione, il raffronto o l'interconnessione, nonché il congelamento, la cancellazione o la distruzione. Proprio il trattamento dei dati personali, così definito, rientra nel campo di applicazione della direttiva come previsto dall’articolo 3, par. 1.
L’articolo 2 introduce anche una serie di soggetti che possiamo, in un certo senso, considerare come i “principali attori nella gestione del trattamento dei dati personali” : alla lettera d) il “responsabile del 114
trattamento” viene definito come la persona fisica, giuridica, autorità pubblica, o altro organismo che determina le finalità e gli strumenti del trattamento di dati personali; alla lettera e) “l’incaricato del trattamento” come la persona fisica o giuridica, l'autorità pubblica, il servizio o qualsiasi altro organismo che elabora dati personali per conto del responsabile del trattamento; alla lettera f) i “terzi”, ossia le persone fisiche o giuridiche, le autorità pubbliche, i servizi o altri organismi che non siano la persona interessata, il responsabile del tratta mento, l'incaricato del trattamento o le persone autorizzate all'elaborazione dei dati; infine, alla lettera g) il “destinatario”, inteso come la persona fisica o giuridica, l'autorità pubblica, il servizio o qualsiasi altro organismo che riceve comunicazione di dati, che si tratti o meno di un terzo, ad esclusione delle autorità che possono ricevere comunicazione di dati nell'ambito di una missione d'inchiesta specifica.
C. CAMINOTTO, A. MINICHIELLO, F. CURTARELLI, I principali soggetti
114
protagonisti del trattamento dei dati, Diritto24 - Il Sole24Ore, 7 luglio 2016, in http://www.diritto24.ilsole24ore.com/art/dirittoCivile/2016-07-07/i-principali- soggetti-protagonisti-trattamento-dati-111828.php.
2.4.1.2. Le condizioni generali di liceità del trattamento e il tema
del consenso
Il Capo II della direttiva è dedicato alle condizioni necessarie affinché il trattamento dei dati personali possa essere considerato lecito. Ad aprire il Capo II è l’articolo 5, il quale riconosce agli Stati membri la discrezionalità nel determinare le condizioni alle quali il trattamento dei dati è lecito, ma comunque sulla base ed entro i limiti della direttiva.
Gli articoli 6 e 7 definiscono i principi fondamentali relativi alla qualità dei dati (art. 6) e alla legittimazione del trattamento dei dati (art. 7). Secondo l’articolo 6, par. 1, gli Stati membri dispongono che i dati personali devono essere a) trattati lealmente e lecitamente, b) rilevati per finalità determinate e successivamente trattati in modo non incompatibile con tali finalità, c) adeguati, pertinenti e non eccedenti rispetto alle finalità per le quali vengono rilevati e/o successivamente trattati, d) esatti e, se necessario, aggiornati prendendo tutte le misure ragionevoli per cancellare o rettificare i dati inesatti o incompleti, e) conservati in modo da consentire l'identificazione delle persone interessate per un arco di tempo non superiore a quello necessario al conseguimento delle finalità prestabilite; il par. 2 del medesimo articolo attribuisce al responsabile del trattamento il compito di garantire il rispetto dei principi relativi alla qualità dei dati di cui al precedente paragrafo. L’articolo 7 stabilisce che gli Stati membri dispongono quando il trattamento dei dati personali può essere effettuato. In particolare, alla lettera a) viene fatto riferimento al tema del consenso dell’interessato, definito alla lettera h) dell’articolo 2 come “qualsiasi manifestazione di volontà libera, specifica e
informata con la quale la persona interessata accetta che i dati personali che la riguardano siano oggetto di un trattamento” . 115
L’aspetto più rilevante del consenso è dato soprattutto dai requisiti che devono caratterizzare la manifestazione di volontà dell’interessato, la quale deve essere, infatti, libera , specifica e informata. A tale scopo, 116
l’articolo 10 impone agli Stati membri di disporre che il responsabile del trattamento, o il suo rappresentante forniscano alla persona presso la quale viene effettuata la raccolta dei dati, almeno le informazioni elencate dall’articolo stesso: l'identità del responsabile del trattamento ed eventualmente del suo rappresentante; le finalità del trattamento dei dati; ulteriori informazioni riguardanti i destinatari dei dati, se rispondere alle domande è obbligatorio o volontario, nonché le possibili conseguenze di una mancata risposta, se esistono diritti di accesso ai dati e di rettifica in merito ai dati che la riguardano, nella misura in cui, in considerazione delle circostanze in cui i dati vengono raccolti, tali informazioni siano necessarie per effettuare un trattamento leale nei confronto dell’interessato.
A questo punto è più chiara l’importanza del consenso nella disciplina europea del trattamento dei dati personali. Il requisito della manifestazione di volontà informata impone l’obbligo di fornire all’interessato informazioni chiare e precise già ai fini della sola raccolta dei dati prima ancora del loro trattamento, dovendo specificare anche le finalità del trattamento stesso senza alcuna possibilità di disattenderle in seguito alla raccolta. Questi i requisiti per poter
Ivi, art. 2, lett. h),
115
“Il consenso può essere ritenuto effettivamente libero solo se si presenta come
116
manifestazione del diritto all’autodeterminazione informativa, e, dunque, al riparo da qualsiasi pressione e se non vien condizionato dall’accettazione di clausole che determinano un significativo squilibrio dei diritti e degli obblighi derivanti dal contratto”. Così il Garante per la protezione dei dati personali, in Istituti di credito - Criteri generali in materia di informativa e richiesta del consenso dell’interessato, 28 maggio 1997, su https://www.garanteprivacy.it/web/guest/home/docweb/-/ docweb-display/docweb/40425.
considerare come leale la raccolta dei dati personali ed il loro trattamento.
All’articolo 10 segue l’articolo 11, il quale affronta un’ipotesi non infrequente nel mondo del web 2.0, ovvero il caso dei dati non raccolti presso la persona interessata. A tal proposito, gli Stati membri devono disporre che, al momento della registrazione dei dati, qualora sia prevista una comunicazione dei dati a un terzo, o al più tardi all'atto della prima comunicazione dei dati stessi, il responsabile del trattamento o il suo rappresentante debba fornire alla persona interessata le medesime informazioni di cui all’articolo 10.
2.4.1.3. Il trattamento dei dati sensibili e sicurezza
Al tema dei dati sensibili è dedicato l’articolo 8 della direttiva, il quale impone agli Stai membri di vietare “il trattamento di dati personali che rivelano l'origine razziale o etnica, le opinioni politiche, le convinzioni religiose o filosofiche, l'appartenenza sindacale, nonché il trattamento di dati relativi alla salute e alla vita sessuale” . 117
Tuttavia, nei punti successivi dell’articolo, viene elencata una serie significativa di deroghe al par. 1, in presenza delle quali tale paragrafo non trova applicazione.
Le prime deroghe sono quelle che possiamo considerare maggiormente legate alla figura dell’interessato, e che comprendono i casi di consenso espresso al trattamento dei dati sensibili da parte dell’interessato, il caso di trattamento necessario ai fini della tutela di un interesse vitale della persona interessata, o il caso in cui il trattamento avvenga, con garanzie adeguate, da una fondazione o
Ivi, art. 8, par. 1.
un'associazione senza scopo di lucro, con carattere politico, filosofico, religioso o sindacale, nell'ambito di uno scopo lecito e a condizione che riguardi unicamente i suoi membri o le persone che abbiano contatti regolari con l’organismo e che i dati non vengano comunicati a terzi senza il consenso dell’interessato.
Il secondo ordine di deroghe al par. 1 dell’articolo 8 si lega all’ambito sanitario, quando cioè il trattamento dei dati è necessario alla prevenzione o alla diagnostica medica, alla somministrazione di cure o alla gestione di centri di cura e quando il trattamento viene effettuato da un professionista in campo sanitario soggetto al segreto professionale sancito dalla legislazione nazionale.
Infine, sono previste deroghe eventuali per quanto riguarda i dati relativi alle infrazioni, alle condanne penali o alle misure di sicurezza, il cui trattamento può effettuato solo sotto il controllo dell'autorità pubblica o sulla base del diritto nazionale, seppur con le garanzie opportune.
Inoltre, sempre sotto la condizione costantemente presente delle opportune garanzie, gli Stati membri possono, per motivi di interesse pubblico rilevante, stabilire ulteriori deroghe, oltre a quelle previste dal paragrafo 2, sulla base della legislazione nazionale o di una decisione dell'autorità di controllo.
Oltre ad evidenti margini di discrezionalità offerti ai legislatori nazionali, è possibile registrare, soprattutto in relazione alle deroghe al par. 1 riferite a infrazioni, condanne penali, o misure di sicurezza, un’importanza significativa della questione chiave della sicurezza pubblica, particolarmente cara, come vedremo, soprattutto al modello americano.
Come scritto da Pagallo, ”il problema della sicurezza sorge con le esigenze tecniche di proteggere i dati raccolti e trattati, e con i rischi
che la circolazione pone alla stessa sicurezza pubblica” . 118
Il tema della sicurezza, quindi, non sorge soltanto in relazione al soggetto interessato dal trattamento dei dati, come previsto, ad esempio, dall’articolo 17 sulla protezione dei dati da distruzione accidentale o illecita, perdita accidentale, diffusione o accesso non autorizzati. Tale tema viene in rilievo anche in riferimento alla ragion di stato, alla quale, talvolta, possono cedere il passo alcuni dei diritti previsti in relazione alla raccolta e al trattamento dei dati personali dell’interessato. Al riguardo, l’articolo 13 dispone che “gli Stati membri possono adottare disposizioni legislative intese a limitare la portata degli obblighi e dei diritti previsti dalle disposizioni dell'articolo 6, paragrafo 1, dell'articolo 10, dell'articolo 11, paragrafo 1 e degli articoli 12 e 21, qualora tale restrizione costituisca una misura necessaria alla salvaguardia: a) della sicurezza dello Stato; b) della difesa; c) della pubblica sicurezza; d) della prevenzione, della ricerca, dell’accertamento, del perseguimento di infrazioni penali o di violazioni della deontologia delle professioni regolamentate; e) di un rilevante interesse economico o finanziario di uno Stato membro o dell'Unione europea, anche in materia monetaria, di bilancio e tributaria; f) di un compito di controllo, ispezione o disciplina connesso, anche occasionalmente , con l'esercizio dei pubblici poteri nei casi di cui alle lettere c), d) ed e); g) della protezione della persona interessata o dei diritti e delle libertà altrui” . 119
A ciò si aggiunge il par. 3 dell’articolo 3, il quale nega l’applicazione delle disposizioni della direttiva ai trattamenti dei dati in materia di
U. PAGALLO, La tutela della Privacy negli Stati Uniti D’America e in Europa,
118
cit., pag. 131.
Art. 13, par. 1, Direttiva 95/46/CE, in https://eur-lex.europa.eu/legal-content/IT/
119
politica estera e di sicurezza comune di cui al titolo V del TUE, ai trattamenti aventi come oggetto la pubblica sicurezza, la difesa, la sicurezza dello Stato (compreso il benessere economico dello Stato, laddove tali trattamenti siano connessi a questioni di sicurezza dello Stato) e le attività dello Stato in materia di diritto penale.
Ciò che è importante rilevare è come il diritto alla protezione dei dati personali non sia un diritto garantito in assoluto, ma deve essere bilanciato con altre esigenze fondamentali e tassativamente previste, 120
potendo eventualmente cedere difronte ad esse.
2.4.1.4. Il diritto di opposizione dell’interessato
Il riconoscimento di un diritto del soggetto implica la necessità di circondarlo di garanzie che permettano al soggetto stesso di monitorare il rispetto effettivo di tale diritto ed eventualmente opporsi a quei meccanismi che ne possano determinare la violazione. A tal proposito abbiamo già visto, come espressione di volontà favorevole e preventiva, il tema del consenso dell’interessato, al quale si affianca, come espressione di volontà contraria e successiva, un’altra prerogativa del soggetto, ovvero il diritto di opposizione.
L’articolo 14 prevede, alla lett. a), che gli Stati devono riconoscere all’interessato il diritto di opporsi in qualsiasi momento al trattamento di dati che lo riguardano per morivi preminenti e legittimi derivanti da una sua situazione particolare, salvo disposizione contraria della
“L'attuale contesto economico - sociale esige una maggiore attenzione alla tutela
120
della sicurezza dei cittadini e della circolazione (anche transfrontaliera) dei loro dati personali, in un'ottica di bilanciamento con il principio comunitario di libera circolazione all'interno dell’UE”. CAMERA DEI DEPUTATI, Protezione dei dati personali, Servizio Studi, XVIII Legislatura, 5 settembre 2018, in https://
normativa nazionale, alla quale quindi viene riconosciuta una discrezionalità rilevante. In ogni caso, qualora l’opposizione sia giustificata, il trattamento effettuato dal responsabile non può più riguardare tali dati.
Alla lett. b), lo stesso articolo riconosce il diritto dell’interessato di opporsi su richiesta e gratuitamente al trattamento dei dati a fini di invio di materiale pubblicitario, e di essere informato prima che i dati siano comunicati per la prima volta a terzi o utilizzati per conto di terzi a fini pubblicitari. La persona interessata deve inoltre essere informata