Sommario: 1. Il nuovo Regolamento europeo: alcune novità per ga- rantire un “adeguato livello di sicurezza” – 2. Il diritto alla protezione dei dati ed esigenze di sicurezza tra Corte di Giustizia dell’Unione europea e principio di proporzionalità – 3. Le condizioni di liceità del trattamento dei dati e il trattamento “necessario” – 4. La sicurezza pubblica tra nuove competenze del diritto UE e tutela della privacy – 5. Il caso francese. Brevi conclusioni
1. Il nuovo Regolamento europeo: alcune novità per
garantire un “adeguato livello di sicurezza”
Il nuovo Regolamento europeo 2016/679 sulla protezione dei dati1 non è solo un atto che detta la normativa sulla protezione delle persone fisiche con riguardo al trattamento dei loro dati personali a tutela di un diritto fondamentale come riconosciuto, tra l’altro, dall’art. 8
1 Regolamento (UE) 2016/679 del Parlamento europeo e del Consiglio del 27
aprile 2016. Per le principali novità contenute nel regolamento, vedi, ex plurimis, G. Finocchiaro, Introduzione al regolamento europeo sulla protezione dei dati, in
Nuove leggi civ. comm., XL, 2017, 1 e ss. Più in generale, sul processo di approva-
zione, v. L. Bolognini, E. Pelino, Il Regolamento privacy europeo, Milano, Giuffrè, 2016; F. Pizzetti, Privacy e il diritto europeo alla protezione dei dati personali. Dalla
Direttiva 95/46 al nuovo Regolamento europeo, vol. I, Torino, Giappichelli, 2016.
Regolare la tecnologia: il Reg. UE 2016/679
176
della Carta dei diritti fondamentali dell’UE2, quale parametro ‘costi- tuzionale’ fondamentale di interpretazione3, nonché dall’art. 16 del Trattato sul Funzionamento dell’UE (TFUE)4. È altresì un testo sulla sicurezza informatica cui è dedicata un’intera sezione (sez. 2, cap. IV). Anche in questo caso però l’obiettivo principale sembra essere quello di assicurare il diritto alla ‘riservatezza’ dei dati personali (considerando 83), da intendere, in quest’ultima accezione, in ter- mini più ristrettivi rispetto al diritto alla protezione dei dati come diritto di un soggetto di “controllare” il complesso delle informazioni che allo stesso si riferiscono5.
Alla luce anche della Convenzione europea dei Diritti dell’uomo6, la riservatezza, quale sinonimo di privacy, impone in definitiva una
2 Secondo, il comma 1 e 2 di tale articolo specificamente dedicato alla “Prote-
zione dei dati di carattere personale”: «1. Ogni individuo ha diritto alla protezione dei dati di carattere personale che lo riguardano. 2. Tali dati devono essere trattati secondo il principio di lealtà, per finalità determinate e in base al consenso della persona interessata o a un altro fondamento legittimo previsto dalla legge. Ogni individuo ha il diritto di accedere ai dati raccolti che lo riguardano e di ottenerne la rettifica».
3 Così anche la Corte di Giustizia UE, in particolare nella sentenza del 13 maggio
2014, Google Spain, Google Inc. e Agencia Española de Protección de Datos (AEPD), (causa C-131/12), punto 68. V., in merito, per un commento in dottrina, O. Pollicino,
Un digital right to privacy preso (troppo) sul serio dai giudici di Lussemburgo? Il ruolo degli artt. 7 e 8 della Carta di Nizza nel reasoning di Google Spain, in Dir. Inf.,
2014, 569 ss. In generale, sull’utilizzo sempre più crescente nel tempo della Carta dei diritti come parametro autonomo, v. L. Trucco, Carta dei diritti fondamenta-
li e costituzionalizzazione dell’Unione europea, Torino, Giappichelli, 2013, 117 ss.
nonché A. Spadaro, La «cultura costituzionale» sottesa alla Carta dei diritti fonda-
mentali dell’UE. Fra modelli di riferimento e innovazioni giuridiche, in Dir. pubbl. comp. eur., n. 2/2016, in particolare 297 laddove si parla di “auto-applicatività”
delle disposizioni della Carta in tema di diritti fondamentali.
4 Al par.1 dell’art. 16 TFUE si legge che: «Ogni persona ha diritto alla protezione
dei dati di carattere personale che la riguardano».
5 Cfr. G. Finocchiaro, La giurisprudenza della Corte di Giustizia in materia di dati personali da Google Spain a Schrems, in V. Zeno Zenovich-G. Resta (a cura di), La protezione trasnazionale dei dati personali dai safe harbour principles a privacy shield, Roma, RomaTre-Press, 2016, 118.
6 Secondo l’art. 8 della Convenzione, comma 2: «Non può esservi ingerenza di
una autorità pubblica nell’esercizio di tale diritto a meno che tale ingerenza sia prevista dalla legge e costituisca una misura che, in una società democratica, è
Il nuovo Regolamento europeo sulla privacy
tutela specifica che non riguarda tutta una serie di altri diritti – qua- le è quello, ad esempio, di accesso, di rettifica, di cancellazione, di ricevere idonea informativa, ben tutelati invece nel caso più gene- rale della “protezione dei dati” – ma più limitatamente il diritto alla natura ‘confidenziale’ della comunicazione.
La finalità è la protezione della sfera personale dell’individuo che comunica con un altro affinché non vi sia diffusione all’esterno del- le informazioni e la comunicazione possa svolgersi “senza ingeren- ze” da parte di terzi. In quest’ottica il nuovo regolamento, volendo assicurare un “adeguato livello di sicurezza” in grado di prevenire un trattamento non consentito dalla normativa, richiede l’adozione di diverse misure di protezione. Tra queste si pone anche l’obbligo di notifica all’autorità competente. Al fine di migliorare “effettivamen- te” la tutela della riservatezza dei dati personali, questa comunica- zione non riguarda più peraltro, a differenza della disciplina pre- gressa, qualunque tipo di trattamento ma soltanto quei trattamenti che «potenzialmente presentano un rischio elevato per i diritti e le libertà delle persone fisiche, per loro natura, ambito di applicazione, contesto e finalità».
Riproducendo l’impianto normativo precedente, recepito poi nel nostro “Codice in materia di protezione dei dati personali”7 – cosid- detto Codice della Privacy – l’attuale regolamento si mostra così ri- spetto al testo normativo precedente molto più dinamico e flessibile, pur rilevandosi al contempo anche molto più complesso. È proprio in considerazione di questa aumentata complessità che nell’indivi- duare i requisiti che deve possedere il soggetto denominato “data protection officer” – ovvero, il responsabile della protezione dei dati – introdotto per la prima volta all’art. 37, il testo europeo mette l’ac- cento principalmente sulle sue competenze giuridiche. In particola-
necessaria per la sicurezza nazionale, per la pubblica sicurezza, per il benessere economico del paese, per la difesa dell’ordine e per la prevenzione dei reati, per la protezione della salute o della morale, o per la protezione dei diritti e delle libertà altrui».
7 Adottato con d.lgs. 30 giugno 2003, n. 196, tale codice regolamenta in maniera
organica, quale testo unico, la materia sostituendo i diversi interventi legislativi succedutesi nel tempo. V. F. Pizzetti, Privacy e il diritto europeo alla protezione dei
dati personali. Dalla Direttiva 95/46 al nuovo Regolamento europeo, Torino, Giap-
pichelli, 2016.
Regolare la tecnologia: il Reg. UE 2016/679
178
re qui, al comma 5, si prevede che il responsabile della protezione dei dati deve avere “conoscenza specialistica della normativa” oltre che della prassi e pratiche in materia di protezione dei dati nel controllo del rispetto a livello interno del Regolamento. Quale deve essere il “livello necessario di conoscenza specialistica” si specifica in prece- denza. Tra i considerando, al punto 97, si stabilisce che questo livello è determinato in particolare «in base ai trattamenti di dati effettuati e alla protezione richiesta per i dati personali trattati dal titolare del trattamento o dal responsabile del trattamento»8. Peraltro in consi- derazione del livello di rischio, connesso al trattamento dei dati, oc- correrà effettuare in via preventiva – ovvero prima del trattamento – la “valutazione d’impatto” sulla protezione dei dati che pure vedrà interessato il responsabile della protezione dei dati in una ‘consul- tazione preventiva’ con l’autorità competente di controllo (art. 36).