Divergenze giuridiche in tema di protezione dei dati personali nei Paesi dell’Unione europea

Fiore Fontanarosa

3. Divergenze giuridiche in tema di protezione dei dati personali nei Paesi dell’Unione europea

Nell’ambito dell’Unione europea il riconoscimento effettivo del dirit- to alla protezione dei dati personali non dipende soltanto dal quadro giuridico, ma anche dalla interpretazione ed applicazione della normativa comunitaria da parte dei giudici e delle Autorità garanti della protezione dei dati (DPA). Invero, la legislazione in tema di protezione dei dati personali contiene molte norme ‘aperte’, le quali richiedono una ulteriore ‘traduzione’ in regole e pratiche concrete, a seconda del settore di riferimento. A causa delle differenze riscontrabili nel contesto giuridico, ma anche culturale, dei vari Paesi membri dell’Unio-

10_{J.P. Albrecht, How the GDPR Will Change the World, in EDPL, 2016, 3, 287.} 11_{J.P. Albrecht, op. loc. cit.}

Questo E-book appartiene a silvia.lupi@unife.it

Regolare la tecnologia: il Reg. UE 2016/679

194

ne europea, la direttiva n. 46/1995 è stata implementata in maniera diversa negli Stati comunitari. Sebbene il GDPR abbia l’obiettivo di armonizzare ulteriormente la normativa esistente nella materia de qua, molti ritengono che le descritte divergenze continueranno ad esistere12_{. I dubbi espressi circa la capacità uniformatrice del GDPR} si basano, sostanzialmente, sulla scarsa uniformazione raggiunta dall’Unione europea nel settore della protezione dei dati personali, prodotta dalla implementazione della direttiva n. 46/1995. Que- sto perché, secondo alcuni, le differenze giuridiche riscontrabili nei diversi Stati costituirebbero un importante e forse insormontabile ostacolo al raggiungimento di una armonizzazione totale del settore in discorso.

Di seguito si analizzeranno alcune evidenti divergenze riscontrabili in tema di diritto alla protezione dei dati personali negli ordinamenti dei Paesi membri, nonché le principali novità introdotte dal GDPR le quali, invece di smussare le citate differenze, potrebbero addirittura acuirle. Un primo aspetto riguarda le fonti del diritto alla protezione dei dati personali ed in particolare la ‘concorrenza’ tra strumenti di hard law e quelli di soft law. Invero, molti Paesi hanno una legislazione settoriale che protegge ulteriormente il trattamento dei dati personali: si pensi all’assistenza sanitaria, alle telecomuni- cazioni, alla finanza, al diritto penale, al settore pubblico. In alcuni Stati, poi, pur non esistendo una legislazione di settore sono presenti alcuni strumenti giuridici, quali ‘linee guida’, codici di condotta o altre forme di soft law, volti a regolamentare il trattamento dei dati personali. Ai sensi dell’art. 27 della direttiva n. 46/1995 gli Stati membri avrebbero dovuto incoraggiare l’uso dei codici di condotta e di autoregolamentazione. Anche il GDPR incoraggia all’utilizzo dei codici di condotta (art. 40, parr. 1 e 2, reg. n. 679/2016). Il fatto è che proprio su questo punto si registrano, tra gli Stati comunitari, notevoli divergenze. Si pensi che, ad esempio, la Svezia e il Regno Unito sono Paesi che hanno una lunga tradizione nel campo della autoregolamentazione ed hanno sviluppato, di conseguenza, codici di autoregolamentazione nel settore della privacy mentre altri Stati, come ad

12_{B. Custers-F. Dechesne-A.M. Sears-T. Tani-S. van der Hof, A comparison of data} protection legislation and policies across the EU, in Computer law & security re- view, 2018, 34, 235.

L’attuazione del Regolamento europeo

esempio i Paesi Bassi, la Germania, l’Irlanda e la Francia, utilizzano, nel settore del trattamento dei dati personali, una combinazione di forme di autoregolamentazione e di regolamentazione governativa; altri ancora, quali la Romania, l’Italia e la Spagna, si sono maggior- mente orientati verso forme di regolamentazione governativa13_.

Un’altra novità introdotta dal GDPR riguarda la previsione della figura del responsabile della protezione dei dati. Quest’ultimo è un soggetto incaricato di vigilare sul rispetto della normativa in materia di privacy e di fungere da punto di contatto con l’autorità di controllo. In realtà, tale figura non costituisce una novità ‘assoluta’ nel contesto europeo, poiché essa era già prevista dalle disposizioni normative nazionali di diversi Stati membri, fra cui Germania, Sve- zia, Paesi Bassi, Francia e Lussemburgo, mentre la maggior parte dei Paesi UE non contemplava, finora, la figura del Data Protection Offi- cer (DPO). In ogni caso, nei Paesi appena citati la figura del respon- sabile della privacy non era considerata obbligatoria, ad eccezione della Germania, Paese nel quale i responsabili della privacy sono richiesti per le organizzazioni aventi più di 10 dipendenti. Del resto, la Germania è stata anche il primo Paese, nel 1970, ad istituire la figura del Data Protection Officer14_{. Certo è che con l’entrata in vigore} del GDPR molte aziende e Pubbliche Amministrazioni avranno l’ob- bligo di nominare il responsabile della protezione dei dati15_{. Questi} responsabili della privacy non sono richiesti solo all’interno dell’UE, ma anche in altri Paesi, nelle ipotesi in cui le aziende (extra-comu- nitarie) cooperano o commerciano con organizzazioni che si trovano all’interno del territorio comunitario.

Un terzo elemento di potenziale divergenza nell’implementazione del GDPR riguarda l’applicazione di quest’ultimo da parte delle Autorità nazionali garanti della protezione dei dati, per le questioni di loro competenza. Questo perché le Data protection agencies (DPA) hanno poteri diversi, nonché opzioni divergenti, nel sanzionare le violazioni delle leggi dettate nella materia in discorso. Del resto, la

13_{B. Custers-F. Dechesne-A.M. Sears-T. Tani-S. van der Hof, op. cit., 240.} 14_{Sul punto v. B. Custers-F. Dechesne-A.M. Sears-T. Tani-S. van der Hof, op.} loc. cit.

15_{Si stima che in tutto il mondo saranno necessari circa 75.000 addetti alla}

privacy.

Regolare la tecnologia: il Reg. UE 2016/679

196

precedente legislazione comunitaria ha subìto un’opera di ‘fram- mentazione’ in tutta l’Unione europea a causa della diversa interpretazione ed applicazione della direttiva n. 46/1995 operata dagli Stati membri proprio sul versante sanzionatorio. Infatti, nei Paesi comunitari le sanzioni attualmente previste in materia di trattamento dei dati personali variano ampiamente. Alcuni Paesi, come la Spagna, dispongono di un sistema sanzionatorio fortemente repressivo delle violazioni commesse in subiecta materia, mentre altri Paesi, quali la Francia, hanno optato per un regime sanzionatorio più mite. Nei Paesi Bassi, in Romania e in parte anche in Italia, le DPA hanno la possibilità di imporre sanzioni che dipendono dal fatturato annuo delle aziende, un tipo di sanzione che è ora applicabile in tutti gli Stati UE, in conseguenza dell’entrata in vigore del GDPR. In termini assoluti, le ammende massime sono molto elevate in Francia (mas- simo 3 milioni di euro) e più basse in Romania (22.000 euro). Anche le sanzioni penali, nei Paesi nei quali è prevista la loro irrogazione, variano notevolmente, con pene detentive massime che vanno dai 6 mesi ai 5 anni16_.

Una quarta criticità, che è stata espressa dalla dottrina nei ri- guardi della capacità unificatrice del regolamento n. 679/2016, concerne il trattamento di quelli che vengono correntemente designati con l’espressione ‘dati sensibili’, cioè di quei dati che, nell’ambito della categoria dei dati personali, occupano una posizione di specia- le rilevanza e ‘delicatezza’ in ragione della loro particolare ‘natura’. Ebbene, dal punto di vista comparatistico ancora oggi permangono differenze di disciplina normativa riguardo alla categoria di informazioni inquadrabili come dati sensibili. Questo perché l’art. 8 della direttiva n. 46/1995, dopo aver stabilito, al co. 2, le ipotesi di deroga al divieto di trattare i dati personali idonei a rivelare l’origine razziale o etnica, le opinioni politiche, le convinzioni religiose o filosofiche, l’appartenenza sindacale, nonché il trattamento dei dati relativi alla salute e alla vita sessuale, prevedeva, al co. 4, che gli Stati membri potevano, per motivi di interesse pubblico rilevante, stabilire ulteriori deroghe oltre a quelle previste dalla direttiva stessa, sulla base della legislazione nazionale o di una decisione dell’autorità di controllo. Sebbene la maggior parte degli Stati comunitari si sia limitata ad

16_{B. Custers-F. Dechesne-A.M. Sears-T. Tani-S. van der Hof, op. cit., 241.}

Questo E-book appartiene a silvia.lupi@unife.it

L’attuazione del Regolamento europeo

una integrale trasposizione della norma di cui all’art. 8, senza preve- dere ulteriori fattispecie di deroghe, oltre a quelle, cioè, tipizzate dalla direttiva, tuttavia alcuni Stati hanno deciso di apprestare forme ‘rafforzate’ di tutela riguardo ad ulteriori ‘particolari’ informazioni personali, non comprese nel citato articolo, il che ha, ovviamente, determinato una divergenza nell’attuazione del provvedimento comunitario rispetto alla categoria dei dati sensibili17_{. Il regolamento} del 2016 riproduce, sostanzialmente, la disposizione della direttiva del 1995 prevedendo, infatti, che: «Gli Stati membri possono man- tenere o introdurre ulteriori condizioni, comprese limitazioni, con riguardo al trattamento di dati genetici, dati biometrici o dati relativi alla salute». A nostro avviso, tale disposizione si attaglia per- fettamente allo spirito armonizzante della direttiva, piuttosto che a quello uniformante del regolamento europeo. Questo perché la pos- sibilità rimessa agli Stati membri di ‘rafforzare’ la tutela prevista in favore dei dati sensibili, se da un lato mira ad elevare il livello protettivo di tale particolare categoria di informazioni personali, dall’altro ‘sconta’ delle criticità sul versante della unificazione della disciplina nella materia in esame.

Un ultimo elemento di differenziazione nell’attuazione del GDPR, elemento che, per la verità, era emerso già all’indomani dell’emana- zione del regolamento, avvenuta nel 2016, dunque molto prima della sua entrata in vigore, concerne la disciplina in materia di consenso prestato dai soggetti minori d’età al trattamento dei dati personali. Invero, la direttiva n. 46/1995 non conteneva disposizioni speci- fiche per i minori d’età; quindi, i responsabili del trattamento dei dati dovevano rispettare gli stessi requisiti legali, indipendentemen- te dall’età degli interessati18_{; invece, il GDPR ha introdotto, all’art. 8,} una specifica previsione volta a proteggere i minori d’età, definendo le condizioni che rendono ‘legittimo’ il consenso prestato da costoro alla elaborazione dei dati personali19_.

17_{Sul punto v. amplius M. D’amico, Il trattamento “pubblico” dei dati sensibili:} la disciplina italiana a confronto con il modello europeo, in Diritto comunitario e degli scambi internazionali, 2002, 820.

18_{E. Lievens-V. Verdoodt, Looking for needles in a haystack: Key issues affecting} children’s rights in the General Data Protection Regulation, in Computer law & security review, 2018, 34, 270.

19_{E. Lievens-V. Verdoodt, op. cit., 271.}

Regolare la tecnologia: il Reg. UE 2016/679

198

La necessità di regolamentare l’interazione fra i minori e la c.d. società dell’informazione è stata da tempo avvertita Oltreoceano. La legislazione federale statunitense, già dal 1998, con il Children’s Online Privacy Protection Act (COPPA), ha disciplinato il trattamento online dei dati personali concernenti i minori, fissando a 13 anni l’età per il consenso al trattamento (c.d. consenso digitale). Ad imitazione della disciplina statunitense il legislatore comunitario, all’art. 8 del GDPR, sancisce che qualora la liceità del trattamento presupponga il consenso dell’interessato, ai sensi dell’art. 6, par. 1, lett. a), «per quan- to riguarda l’offerta diretta di servizi della società dell’informazione ai minori, il trattamento di dati personali del minore è lecito ove il minore abbia almeno 16 anni. Ove il minore abbia un’età inferiore ai 16 anni, tale trattamento è lecito soltanto se e nella misura in cui tale consenso è prestato o autorizzato dal titolare della responsabi- lità genitoriale». In ogni caso, l’ultimo capoverso dell’art. 8, par. 1, rende flessibile il limite d’età per il consenso digitale, prevedendo la possibilità, per gli Stati membri, di stabilire per legge un’età inferiore, purché non al di sotto dei 13 anni. Tale previsione, pur opportu- na, secondo alcuni, a garanzia dei diritti fondamentali del bambino, quali la libertà di espressione, di associazione e di riunione, sanciti dagli artt. 13 e 15 della Convenzione sui diritti dell’infanzia e dell’a- dolescenza, potrebbe ingenerare non pochi problemi applicativi, in assenza di una armonizzazione delle discipline nazionali20_.

Come si è visto, l’art. 8 consente agli Stati membri di abbassare la soglia d’età di 16 anni ad un minimo di 13 anni. Se gli Stati membri dovessero utilizzare tale opzione, il risultato sarebbe l’applicazione, in materia di consenso digitale espresso dai minori, di soglie d’età differenziate nei Paesi dell’Unione europea. Ciò implica che le so- cietà che forniscono servizi online in più Stati comunitari dovranno rispettare regole diverse nei vari Stati membri, il che richiede sforzi e investimenti supplementari, in particolare per le aziende più pic- cole21_{. I primi dibattiti in ordine alla questione in esame sono già} emersi in diversi ordinamenti giuridici e alcuni legislatori nazionali o le Autorità per la protezione dei dati (DPA) hanno espresso il loro

20_{F. Naddeo, Il consenso al trattamento dei dati personali del minore, in Dir.} informazione e informatica, 2018, 44 e s.

21_{E. Lievens-V. Verdoodt, op. cit., 272.}

Questo E-book appartiene a silvia.lupi@unife.it

L’attuazione del Regolamento europeo

parere in merito. Nei Paesi Bassi, ad esempio, la legge nazionale sulla protezione dei dati conteneva già un limite di 16 anni per il trattamento dei dati personali dei minori basato sul consenso. La recente proposta di legge, che dà attuazione al GDPR, non si discosta da questo limite d’età. Al contrario, altri Stati membri stanno prendendo in considerazione l’adozione di un’età inferiore. In Spagna, sebbene l’Autorità garante della protezione dei dati personali ha dichiarato, immediatamente dopo l’adozione del GDPR, che l’età prevista per il consenso dei minori sarebbe stata mantenuta a 14 anni, l’attuale progetto che dà attuazione al regolamento n. 679/2016 stabilisce il limite a 13 anni22_{. In Austria, il Parlamento ha recentemente adottato} emendamenti alla legge austriaca sulla protezione dei dati, che ora prevede che i minori possano acconsentire al trattamento dei dati in relazione ai servizi erogati della società dell’informazione, a partire dai 14 anni. In Belgio, l’Autorità garante ha sottolineato che le aziende che elaborano dati personali dei soggetti minorenni dovrebbe- ro sviluppare meccanismi di verifica, sia dell’età dell’individuo, che del consenso espresso dei genitori. La Commissione per i diritti dei bambini ha emanato un parere in cui raccomanda al governo belga di ridurre l’età del consenso a 13 anni; secondo la Commissione, infatti, una soglia d’età elevata metterebbe troppe responsabilità nelle mani dei genitori dei soggetti minorenni23_{. Infine, in Italia il decreto} legislativo di adeguamento al GDPR ha fissato in 14 anni l’età mini- ma per l’accesso ai servizi offerti dalla società dell’informazione nei casi previsti dall’art. 8 del regolamento comunitario.

4. Conclusioni

A conclusione del presente saggio si vuol tentare di offrire una ri- sposta all’interrogativo posto in premessa e cioè se il regolamento n. 679/2016 possa contribuire a favorire una maggiore uniformazione della disciplina della protezione dei dati personali all’interno dello spazio giuridico comunitario, anche alla luce delle considera- zioni espresse da coloro che ipotizzano che il GDPR possa addirittura

22_{E. Lievens-V. Verdoodt, op. cit., 272 e s.} 23_{E. Lievens-V. Verdoodt, op. cit., 273.}

Nel documento La circolazione dei dati personali nella proposta di Direttiva UE sulla fornitura di contenuti digitali (pagine 194-200)