La disciplina europea in materia di privacy e protezione dei dati personali prima del Regolamento UE 679/2016.

Il diritto europeo si compone di 3 tipi di fonte legislativa:

- fonti di diritto primario, composte dai trattati ratificati dagli Stati membri e dagli atti a questi equiparati;

- fonti di diritto derivato, le quali si differenziano in atti vincolanti, quali i regolamenti, le direttive, le decisioni; atti non vincolanti, quali le raccomandazioni e i pareri; infine, atti atipici;

- fonti di diritto complementare, quali la giurisprudenza della Corte di Giustizia, il diritto internazionale e i principi generali del diritto.

                                                                                                               

270 _{Niemietz c. Germania, ricorso n. 13710/88, sentenza del 16 dicembre}

1992.

271 _{A tale proposito vedi Leander c. Svezia, ricorso n. 9248/81, sentenza del}

26 marzo 1987; Amann c. Svizzera, ricorso n. 27798/95, sentenza del 16 febbraio 2000; Rotaru c. Romania, ricorso n. 28341/95, sentenza del 4 maggio 2000, tutte consultabili al seguente indirizzo https://hudoc.echr.coe.int.

Inizialmente non vi era alcun riferimento ai diritti umani nelle fonti di diritto primario europee, poiché, l’allora Comunità economica europea, era un’organizzazione che aveva come obiettivo principale quello di creare un mercato comune e di sviluppare la cooperazione economica tra stati all’interno del vecchio continente.

Pertanto, essendo nata principalmente con uno scopo di tipo economico, i primi trattati non prevedevano una competenza esplicita in materia di diritti fondamentali; è con la Carta dei diritti fondamentali dell’Unione Europea (detta anche Carta di Nizza) che tale settore entra a far parte delle competenze dell’unione.

La Carta di Nizza, proclamata nel 2000 ma equiparata ai Trattati solo nel 2007 con le modifiche introdotte dal Trattato di Lisbona del 2006, all’articolo 7 garantisce il rispetto della vita privata e familiare, mentre nel successivo articolo 8 si occupa, nello specifico, del diritto alla protezione dei dati personali “innalzando esplicitamente il livello di tale protezione e di quello dei diritti fondamentali nell’ambito UE”272: questa distinzione è importante, poiché rappresenta che, anche a livello di istituzioni europee, il rapporto tra diritto alla privacy e protezione dei dati personali, quale genus a species, era stato recepito.

Pare opportuno spendere qualche parola sul Trattato di Lisbona del 2006, poiché esso, oltre ad attribuire alla Carta di Nizza efficacia giuridica equiparata alle altre fonti primarie, ha apportato delle modifiche anche ai due trattati istitutivi, il Trattato sull’Unione Europea273 e il Trattato sul funzionamento dell’Unione Europea274, i                                                                                                                

272 _{Agenzia dell’Unione Europea per i Diritti Fondamentali e Consiglio}

d’Europa, Manuale sul diritto europeo in materia di protezione dei dati, op. loc. cit., p. 31.

273 _{Prima dell’intervento del Trattato di Lisbona, era identificato come}

quali rappresentano congiuntamente la base giuridica dell’unione, abolendo i cosiddetti tre pilastri e provvedendo al riparto delle competenze di questi ultimi tra organi dell’Unione e Stati membri; con riguardo alla materia dei della tutela dei dati personali, il trattato di Lisbona ha inserito, all’interno del TFUE, l’articolo 16, che prevede specificamente il diritto alla protezione dei dati personali, e che, “fornendo una base giuridica indipendente, per un approccio moderno e globale alla protezione dei dati, applicabile a tutte le questioni di competenza dell’Unione Europea”275_{, ha contribuito alla successiva} adozione del GDPR.276

Dopo questa piccola digressione, torniamo ad occuparci della prima fonte europea sul trattamento dei dati: la Direttiva 95/47/CE del Parlamento Europeo e del Consiglio del 24 Ottobre 1995, relativa alla tutela delle persone fisiche con riguardo al trattamento dei dati personali nonché alla libera circolazione di tali dati.

La Direttiva 95/46/CE, detta anche direttiva madre, interviene sulla materia della protezione dei dati personali “di riflesso”: leggendo il considerando n° 3, troviamo infatti enunciato che “considerando che l’instaurazione e il funzionamento del mercato interno […] esigono non solo che i dati personali possano circolare liberamente da uno stato

                                                                                                                                                                                                                                                                     

274 _{Prima dell’intervento del Trattato di Lisbona, era conosciuto come il}

Trattato che istituiva la Comunità Economica Europea.

275 _{Agenzia dell’Unione Europea per i Diritti Fondamentali e Consiglio}

d’Europa, Manuale sul diritto europeo in materia di protezione dei dati, op. loc. cit., p. 32.

276 _{Agenzia dell’Unione Europea per i Diritti Fondamentali e Consiglio}

d’Europa, Manuale sul diritto europeo in materia di protezione dei dati, op. loc. cit., p. 32.

membro all’altro, ma che siano altresì salvaguardati i diritti fondamentali della persona”277_.

Tale considerando “mette in luce il carattere funzionale (e non fondamentale) della tutela dei dati personali al consolidarsi e al buon funzionamento del mercato unico e, di conseguenza, come strumento al fine di garantire le libertà fondamentali dell’Unione”278; la disciplina ivi contenuta, in sostanza, tenta di apportare un equilibrio tra protezione e circolazione dei dati.

Questo passaggio appare in linea con le considerazioni alle quali abbiamo poc’anzi accennato in merito alle trasformazioni occorse all’Unione per effetto delle modifiche introdotte con il Trattato di Lisbona.

A prescindere dal suo scopo primario, l’apporto della direttiva 95/46/CE alla materia della protezione dei dati personali è stato significativo: essa ha istituito la figura dell’Autorità garante per la protezione dei dati personali, la quale è un’autorità indipendente che deve essere presente in ogni stato membro e alla quale è affidato il compito di vigilare sull’applicazione e la conformità delle leggi nazionali alla direttiva 95/46/CE; inoltre, ha istituito il Working Party Article 29 (WP29)279, organo consultivo indipendente composto da un rappresentante esperto per stato membro, il garante europeo per la protezione dei dati personali e un membro della Commissione Europea; con l’avvento del GDPR il WP29 è stato sostituito dal                                                                                                                

277 _{G. De Gregorio, Social network, contitolarità del trattamento e}

stabilimento: la dimensione costituzionale della tutela dei dati personali tra vecchie e nuove prospettive, op. cit., p.464.

278 _{G. De Gregorio, Social network, contitolarità del trattamento e}

stabilimento: la dimensione costituzionale della tutela dei dati personali tra vecchie e nuove prospettive, op. cit., p. 464.

279 _{Voce gruppo dell’articolo 29 per la tutela dei dati, in Wikipedia,}

consultabile al seguente indirizzo

https://it.wikipedia.org/wiki/Gruppo_dell%27articolo_29_per_la_tutela_dei_ dati.

Comitato Europeo per la protezione dei dati, avente sostanzialmente la stessa composizione e le stesse funzioni.

Analizziamo ora i principali aspetti della direttiva 95/46/CE.

Essa si applica al trattamento dei dati automatizzato o semi- automatizzato e al trattamento non automatizzato dei dati effettuato solo attraverso l’utilizzo di banche dati; dal campo di applicazione della direttiva sono esclusi il trattamento dati effettuato da persone fisiche per scopi personali o domestici e quei trattamenti in materie che non rientrano nelle materie di competenze del diritto comunitario280. All’articolo 2 la direttiva ci fornisce una serie di definizioni, quale ad esempio quella di “dato personale” e “trattamento dei dati”, che ritroveremo nelle discipline successive e che non si distanziano da quelle formulate nelle linee guida OCSE 1980 e nella convenzione 108, anche se vengono arricchite; per quanto riguarda i beneficiari della direttiva, occorre notare che essa si riferisce solo alle persone fisiche e non a quelle giuridiche281.

Una delle differenze che possiamo trovare tra le definizioni è quella rispetto al soggetto che nella direttiva 95/46/CE viene indicato quale “responsabile del trattamento”: esso, nella disciplina successiva, verrà indicato con “titolare del trattamento”.

La sezione I della direttiva è rubricata “principi relativi alla qualità dei dati”: essa, comprensiva del solo articolo 6, si occupa di fissare le caratteristiche che i dati e le relative modalità di trattamento devono rispettare; nello specifico, l’articolo fa riferimento alle finalità del                                                                                                                

280 _{Il campo di applicazione della direttiva è indicato all’articolo 3 della}

direttiva 95/46/CE.

trattamento, le quali devono essere esplicite e legittime, e ai dati in sé, i quali devono essere esatti, adeguati, pertinenti e non eccedenti in riguardo alle predette finalità, e conservati solo per il tempo necessario al perseguimento delle finalità per le quali sono stati raccolti.282

Nel successivo articolo 7, la direttiva si occupa di determinare i “principi relativi alla legittimazione del trattamento dei dati”, quelli che poi nel GDPR verranno indicati come “basi giuridiche del trattamento”: la loro funzione è quella di fissare un elenco di quelle condizioni che rendono lecito un trattamento, a partire dal consenso del soggetto cui i dati si riferiscono, fino ad arrivare ad interessi propri del soggetto che si troverà a trattare quei dati283.

Anche i diritti dell’interessato e gli obblighi di informazione sussistenti nei confronti di quest’ultimo, ricalcano quelli che saranno poi sanciti nella legislazione successiva, con l’eccezione del diritto all’oblio, il quale non è menzionato nella direttiva in esame, ma verrà consacrato nella sentenza della Corte di Giustizia dell’Unione Europea del 13 maggio 2014, conosciuta come “sentenza Google Spain” e successivamente, dall’articolo 17 del GDPR.

La direttiva introduce anche il principio secondo il quale il trasferimento dei dati personali verso paesi terzi è consentito solo nel caso in cui questi ultimi presentino delle garanzie adeguate circa il successivo trattamento relativo a quei dati; tale principio verrà ulteriormente specificato nel GDPR.

                                                                                                               

282 _{Art. 6, direttiva 95/46/CE.} 283 _{Art. 7, direttiva 95/46/CE.}

Per concludere la nostra analisi, possiamo affermare che la direttiva 95/46/CE pone il “nucleo” della disciplina in materia di trattamento dei dati personali, il quale subirà un arricchimento e una dilatazione nella legislazione successiva, senza però subire stravolgimenti tali da snaturarne l’essenza originaria.

La direttiva, come in precedenza accennato, essendo una fonte del diritto europeo non direttamente applicabile, ha la funzione di guidare l’azione dei legislatori dei vari paesi membri, i quali, per adempiere agli obblighi previsti, possono agire o adattando la disciplina nazionale in materia, se già presente, oppure, se sprovvisti, adottando una normativa in linea con i principi della direttiva: questa seconda direzione è quella che prese l’Italia, la quale, pur avendo già iniziato i lavori, non si era ancora dotata di una disciplina positiva.

Il risultato della recezione in Italia della direttiva 95/46/CE è stato l’adozione della L. 675/1996, la quale, seppur con estremo ritardo, anche a fronte d’impegni presi sul piano comunitario e internazionale284, ha dotato il nostro paese di un sistema normativo per la tutela dei dati personali, applicabile alle persone fisiche e giuridiche. La L. 675/96 interviene in una materia che, in assenza di una specifica disciplina positiva, fino a quel momento risultava “dominata” dal solo apporto dottrinale e giurisprudenziale, introducendo un principio                                                                                                                

284  _{“la Legge dava attuazione alla direttiva comunitaria 95/46/CE del 24} ottobre 1995 relativa alla tutela delle persone fisiche con riguardo al trattamento dei dati personali, nonché alla libera circolazione dei dati». La legge costituiva, inoltre, l’adempimento di altri obblighi internazionali presi dal nostro Paese, fra i quali quelli derivanti dall’Accordo di Schengen e quelli derivanti dalla Convenzione del Consiglio d’Europa sulla «Protezione delle persone rispetto al trattamento automatizzato di dati di carattere personale», adottata a Strasburgo il 28 gennaio 1981.”, S. Peron, Rassegna di

Giurisprudenza in materia di privacy anche alla luce del codice della privacy che entrerà in vigore in 1° gennaio 2004, in Responsabilità civile e previdenza, Milano, Giuffrè, Vol. LXVIII, 4-5/2003, p. 1000.

normativo per il quale “la riservatezza delle persone […] costituisce un diritto assoluto, inviolabile e meritevole di tutela”285_.

Negli anni successivi all’adozione della L. 675/96 la materia della privacy e della protezione dei dati personali assiste a un forte incremento produttivo del materiale normativo, sia in ambito nazionale sia europeo; a fronte di ciò appare dunque opportuna l’adozione di una normativa organica che disciplini il settore, anche in considerazione dei “diritti e delle libertà fondamentali tutelati dalla disciplina in questione”286.

Nella Relazione di accompagnamento al codice, della quale è stato detto in precedenza, la necessità di attuazione di un testo unico e coordinato viene espressa in modo chiaro: nella stessa, infatti, viene effettuata una ricognizione puntuale di tutti i provvedimenti intervenuti in materia dopo l’adozione della L. 675/96, rendendo palese tale necessità.

Il Codice della privacy pertanto, rappresenta un tentativo, riuscito, di riordino e semplificazione del sistema attuale, il quale “riunisce in un unico testo la L. 675/96 e gli altri decreti legislativi, regolamenti e codici deontologici che si sono succeduti nei sei anni successivi dall’emanazione della legge [675/96]” ed inoltre le “importanti innovazioni che hanno tenuto conto sia delle decisioni emanate dal

                                                                                                               

285 _{S. Peron, Rassegna di Giurisprudenza in materia di privacy anche alla}

luce del codice della privacy che entrerà in vigore in 1° gennaio 2004, op.

loc. cit., p. 1002.

286 _{Relazione parlamentare di accompagnamento al testo del “codice in}

materia di protezione dei dati personali, consultabile al seguente indirizzo

Garante che dalla direttiva UE 2000/58 sulla riservatezza delle comunicazioni elettroniche”287_.

4. 2. Il Regolamento Europeo 679/2016.

L’ultima tappa di questo nostro viaggio è rappresentato dall’adozione del Regolamento Europeo 675/2016 del Parlamento Europeo e del Consiglio, relativo alla protezione delle persone fisiche con riguardo al trattamento dei dati personali, nonché alla libera circolazione di tali dati, conosciuto anche come Regolamento generale sulla protezione dei dati (RGPD in italiano, GDPR in inglese).

Le motivazioni di base che hanno portato all’adozione di una nuova normativa a distanza di 20 anni dalla direttiva 95/46/CE, possono essere così riassunte:

- la direttiva 95/46/CE, pur prevedendo un sistema di protezione dei dati personali dettagliato e sistematico, doveva necessariamente misurarsi con la successiva recezione da pare degli ordinamenti degli stati membri, non essendo una fonte di diritto direttamente applicabile. A tale proposito, gli stati, come risulta peraltro dall’articolo 13 della stessa direttiva, godevano di un margine di discrezione in relazione all’applicazione; in conseguenza di ciò, la disciplina in materia risultava non totalmente omogenea, con spazi di applicazione difforme in termini di definizioni, procedure e sanzioni288, che                                                                                                                

287 _{S. Peron, Rassegna di Giurisprudenza in materia di privacy anche alla}

luce del codice della privacy che entrerà in vigore in 1° gennaio 2004, op.

loc. cit., p. 999.

288 _{Agenzia dell’Unione Europea per i Diritti Fondamentali e Consiglio}

d’Europa, Manuale sul diritto europeo in materia di protezione dei dati, op. cit., p. 33.

non garantivano una tutela omogenea ai soggetti interessati in ogni paese membro289_{; (questa problematica, tuttavia, riguarda} tutte le direttive)

- in vent’anni, l’evoluzione che ha interessato il settore della tecnologia, come abbiamo avuto modo di illustrare nel secondo capitolo, ha compiuto passi da gigante, e questa circostanza, ha impattato molto nel sistema di protezione dei dati;

- inoltre, attraverso le modifiche apportate dal Trattato di Lisbona del 2006, “l'Unione dispone di una base giuridica esplicita ai fini della protezione dei dati, che comprende il trattamento dei dati personali nel settore pubblico e privato ma anche nell'ambito dell'applicazione della legge (derivante dal crollo della struttura a pilastri dell'Unione prima dell'entrata in vigore del trattato di Lisbona) (articolo 16, paragrafo 2, del TFUE)”290.

-

Ricapitolando pertanto, le esigenze che hanno portato all’adozione del GDPR possiamo ricondurle alla necessità di armonizzare la discipline nazionali sulla protezione dei dati in relazione alle sfide imposte                                                                                                                

289 _{Parlamento Europeo – Commissione per le libertà civili, la giustizia e gli}

affari interni, Progetto di relazione sulla proposta di Regolamento del

Parlamento Europeo e del Consiglio concernente la protezione dei dati,

2013, p. 218 consultabile al seguente indirizzo http://www.europarl.europa.eu/sides/getDoc.do?pubRef=-

.%2f%2fEP%2f%2fNONSGML%2bCOMPARL%2bPE- 501.927%2b04%2bDOC%2bPDF%2bV0%2f%2fIT.

290 _{Parlamento Europeo – Commissione per le libertà civili, la giustizia e gli}

affari interni, Progetto di relazione sulla proposta di Regolamento del

Parlamento Europeo e del Consiglio concernente la protezione dei dati,

2013, p. 218 consultabile al seguente indirizzo http://www.europarl.europa.eu/sides/getDoc.do?pubRef=-

%2f%2fEP%2f%2fNONSGML%2bCOMPARL%2bPE- 501.927%2b04%2bDOC%2bPDF%2bV0%2f%2fIT.

dall’era digitale e sulla base di una normativa espressa che riconduce il settore in esame all’interno della competenza dell’Unione.

Il GDPR si inserisce nel sistema della protezione dei dati conservando il “nucleo” della disciplina previgente291, ampliandone la portata e introducendo nuovi strumenti.

Se da un lato mantiene questa connessione con i principi fissati in materia, dall’altro apporta modificazioni significative che hanno come conseguenza una sostanziale diversità nel tipo di approccio richiesto al soggetto che tratta i dati personali.

Con il GDPR, infatti, si passa da un sistema di gestione del trattamento basato sull’adempimento formale a modelli e procedure imposti, ad un approccio nel quale è richiesta al Titolare del trattamento dei dati e ai soggetti i quali collaborano o eseguono operazioni sotto il suo controllo, una valutazione preliminare globale del flusso dei dati, che garantisca di individuare in una prospettiva di prevenzione i rischi e le attività idonee a contenerli o a prevenirli.

Questo rappresenta il “cuore” del nuovo sistema di gestione dei dati previsto dal GDPR, che viene indicato come “principio di accountability” (in italiano indicato con il termine “responsabilità” o “rendicontazione”); l’attuazione di tale principio, in termini concreti, passa per “l’implementazione di misure tecniche ed organizzative adeguate, ma soprattutto disegnate sulle specifiche caratteristiche dell’organizzazione”292.

                                                                                                               

291 _{“Come si evince la considerando numero 9 del Regolamento Europeo in}

tema di protezione dei dati personali, i principi e gli obblighi della direttiva 95/46/CE rimangono validi”, Agenzia dell’Unione Europea per i Diritti Fondamentali e Consiglio d’Europa, Manuale sul diritto europeo in materia

di protezione dei dati, op. cit., p. 34.

292 _{T. D’Onofrio – C. Macculi, La rivoluzione GDPR, in Corriere Tributario,}

Questo passaggio ci permette di inquadrare e comprendere meglio il principio di accountability, introducendo altri due principi chiave della normativa ex GDPR, ovvero i principi di privacy by design e di privacy by default: il primo “comporta che le attività, i prodotti e i servizi che prevedono il trattamento dei dati personali debbano essere progettati, impostati e sviluppati in modo da assicurare il rispetto dei diritti e delle garanzie a tutela della privacy”293, mentre il secondo fa riferimento alla circostanza secondo la quale “il trattamento per impostazione predefinita debba avere ad oggetto solo i dati necessari al perseguimento della specifica finalità prefissata”294.

Per garantire l’applicazione di questo nuovo indirizzo, il GDPR si muove in diverse direzioni:

- implementa ed inserisce nuove procedure e adempimenti, quali il registro dei trattamenti, valutazione d’impatto sulla protezione dei dati personali, procedure di notificazione dei data breach;

- estende l’ambito delle garanzie previste per gli interessati, attraverso l’arricchimento di contenuto di quelli già previsti dalla normativa precedente o l’introduzione di nuovi diritti, di matrice giurisprudenziale o interpretativa, quali il diritto all’oblio, il diritto d’accesso, il diritto alla portabilità dei dati; - si occupa di fare chiarezza in relazione alle attività e alle

responsabilità dei soggetti protagonisti della disciplina, inserendo nuove figure (DPO) o specificando il contenuto di posizioni già note (responsabile del trattamento);

- interviene sul sistema sanzionatorio, rendendo le sanzioni omogenee ma soprattutto realmente dissuasive, in relazione al                                                                                                                

293 _{T. D’Onofrio – C. Macculi, La rivoluzione GDPR, op. loc. cit., p. 1840.} 294 _{T. D’Onofrio – C. Macculi, La rivoluzione GDPR, op. loc. cit., p. 1840.}

loro ammontare (fino a 20 milioni di euro o, se superiore, il 4% del fatturato mondiale totale annuo dell’esercizio precedente). -

Dopo aver fatto questa premessa e prima di addentrarci più nello specifico nell’analisi della disciplina del GDPR, occorre segnalare che quest’ultimo non è l’unico provvedimento della “riforma europea della privacy”, la quale comprende altri 2 documenti, i quali sono passati un po’ in secondo piano a fronte del risalto attribuito al Regolamento UE; nello specifico, facciamo riferimento:

- alla direttiva UE 2016/680, relativa alla protezione delle persone fisiche con riguardo al trattamento dei dati personali da parte delle autorità competenti ai fini di prevenzione, indagine, accertamento e perseguimento di reati o esecuzione di sanzioni penali, nonché alla libera circolazione dei dati, che abroga la precedente decisione quadro 2008/977/GAI del Consiglio: tale direttiva si occupa di “stabilire norme specifiche per la protezione dei dati nei settori della cooperazione giudiziaria in materia penale e della cooperazione di polizia”295, settore escluso dall’ambito di applicazione del GDPR, il quale però non si limita a quello dello scambio dei dati tra autorità preposte degli stati membri, ma “si estende al trattamento dei dati personali a livello nazionale”296_;

- l’altro provvedimento che compone il trittico di riforma europeo della privacy è la direttiva UE 2016/681, sull’uso dei dati del codice di prenotazione ai fini di prevenzione,                                                                                                                

295 _{Agenzia dell’Unione Europea per i Diritti Fondamentali e Consiglio}

d’Europa, Manuale sul diritto europeo in materia di protezione dei dati, op.

Nel documento Il trattamento dei dati personali nell'era digitale: nuove lesioni e forme di tutela (pagine 107-120)