4. La normativa vigente in materia di privacy.
4.1.2. L’Europa, le prime leggi nazionali in materia e la necessità di regole condivise: cenni sulle Linee Guida OCSE e
la Convenzione 108.
l’Europa del secondo dopoguerra, prima dell’avvento dei computer e dello sviluppo della rete internet, adotta uno dei documenti che rappresenterà una delle pietre miliari nella materia della tutela dei diritti umani fondamentali: la Convenzione Europea per la
247 “Nessun individuo potrà essere sottoposto ad interferenze arbitrarie nella
sua vita privata, nella sua famiglia, nella sua casa, nella sua corrispondenza, né a lesioni del suo onore e della sua reputazione. Ogni individuo ha diritto ad essere tutelato dalla legge contro tali interferenze o lesioni.”, testo dell’ articolo 12 della Dichiarazione Universale dei diritti umani ONU del 1948.
248 Nella versione originale inglese troviamo il termine “privacy” e non
“private life”.
salvaguardia dei diritti dell’uomo e delle libertà fondamentali (CEDU), prodotto del lavoro svolto in seno al Consiglio d’Europa250, firmata nel 1950 ed entrata in vigore tra gli Stati membri dello stesso nel 1953.251 Il Consiglio d’Europa, attraverso i propri documenti e la giurisprudenza della Corte Europea dei diritti dell’Uomo252, sono stati i principali protagonisti nella materia della privacy e della protezione dei dati, a causa della mancanza di una disciplina positiva a livello di istituzioni europee, la quale arriverà solo nel 1995 sotto forma di direttiva (95/46/CE) prima, e, in tempi ancora più distanti, di regolamento (679/2016).
Il contenuto della CEDU si ispira a quello della UDHR ed essa “mira a garantire il riconoscimento e l’applicazione universali ed effettivi dei diritti che vi sono enunciati” e a “realizzare una unione più stretta fra i suoi stati membri”253.
250 “Il Consiglio d'Europa (CdE) è un'organizzazione internazionale il cui
scopo è promuovere la democrazia, i diritti umani, l'identità culturale europea e la ricerca di soluzioni ai problemi sociali in Europa. Il Consiglio d'Europa
fu fondato il 5 maggio 1949 con il Trattato di Londra e conta oggi 47 stati membri”, voce Consiglio d’Europa, in Wikipedia, consultabile al seguente indirizzo https://it.wikipedia.org/wiki/Consiglio_d%27Europa.
251 F. Galgani, La nascita del diritto alla privacy negli Stati Uniti e in
Europa, op. loc. cit., consultabile al seguente indirizzo https://www.informatica-libera.net/content/la-nascita-del-diritto-alla-privacy- negli-stati-uniti-e-europa.
252 La Corte Europea dei diritti dell’uomo (corte EDU), con sede a
Strasburgo, è un organo giurisdizionale internazionale istituito dalla CEDU, per garantirne l’applicazione e il rispetto.
253 “I Governi firmatari, membri del Consiglio d’Europa, Considerata la Dichiarazione universale dei Diritti dell’Uomo, proclamata dall’Assemblea generale delle Nazioni Unite il 10 dicembre 1948; Considerato che detta Dichiarazione mira a garantire il riconoscimento e l’applicazione universali ed effettivi dei diritti che vi sono enunciati; Considerato che il fine del Consiglio d’Europa è quello di realizzare un’unione più stretta tra i suoi membri, e che uno dei mezzi per conseguire tale fine è la salvaguardia e lo sviluppo dei diritti dell’uomo e delle libertà fondamentali; Riaffermato il loro profondo attaccamento a tali libertà fondamentali che costituiscono le basi
L’articolo 8 CEDU sancisce il “diritto al rispetto alla vita privata e familiare”254: l’”impostazione europea” 255 del diritto alla privacy, secondo il punto di vista di chi scrive, emerge dal tenore della disposizione stessa, la quale, soprattutto nel secondo comma, si preoccupa di fissare dei limiti per le autorità pubbliche, preoccupazioni che non sembrano emergere leggendo il testo dell’articolo 12 HDHR. L’avvento degli anni ’70 porta con sé la rivoluzione informatica e con essa “l’allarme sociale, verso questa enorme quantità di informazioni immagazzinate e facilmente reperibili, dirompe nel sistema”256: è in questo scenario che fanno il loro ingresso le prime leggi nazionali volte alla protezione dei dati personali; la Svezia fu la prima, nel 1973,
stesse della giustizia e della pace nel mondo e il cui mantenimento si fonda essenzialmente, da una parte, su un regime politico effettivamente democratico e dall’altra, su una concezione comune e un comune rispetto dei diritti dell’uomo di cui essi si valgono; Risoluti, in quanto governi di Stati europei animati da uno stesso spirito e forti di un patrimonio comune di tradizioni e di ideali politici, di rispetto della libertà e di preminenza del diritto, a prendere le prime misure atte ad assicurare la garanzia collettiva di alcuni dei diritti enunciati nella Dichiarazione universale, hanno convenuto quanto segue:”, premessa agli articoli della CEDU.
254 “1. Ogni persona ha diritto al rispetto della sua vita privata e familiare, del
suo domicilio e della sua corrispondenza. 2. Non può esservi ingerenza di una autorità pubblica nell'esercizio di tale diritto a meno che tale ingerenza sia prevista dalla legge e costituisca una misura che, in una società democratica, è necessaria per la sicurezza nazionale, per la pubblica sicurezza, per il benessere economico del paese, per la difesa dell'ordine e per la prevenzione dei reati, per la protezione della salute o della morale, o per la protezione dei diritti e delle libertà altrui.”, testo dell’articolo 8 CEDU.
255 Della quale abbiamo accennato nel paragrafo precedente. 256 G. Cassano, Diritto dell’Internet, op. cit. , p. 5.
a dotarsi di una disciplina completa in materia257, mentre altri stati 258iniziarono nello stesso periodo a promulgare singolo disposizioni. Tali norme erano finalizzate a “controllare il trattamento dei dati personali da parte delle autorità pubbliche e delle grandi imprese”259; occorre notare che il contenuto delle prime disposizioni positive in materia di privacy riguardano la tutela della sua accezione più moderna, quella concernente appunto la protezione e il controllo sui propri dati personali.
Ci si rese subito conto che la dimensione nazionale non fosse quella adatta a fronteggiare l’avvento delle sfide imposte dalla società dell’informazione: è in tale contesto che il Consiglio d’Europa, dopo l’articolo 8 CEDU, torna ad occuparsi della materia e adotta due risoluzioni, una indirizzata a tutelare la vita privata delle persone fisiche in relazione alle banche dati private (1973) e a quelle pubbliche (1974), “entrambe […] volte e a stabilire degli standard minimi per la protezione della riservatezza rispetto alle informazioni contenute nelle banche dati elettroniche; esse avevano però semplice valore di raccomandazione e quindi non vincolavano i governi nazionali”260. È la necessità di una fonte armonizzata in una materia come quella della privacy e della protezione dei dati personali, la quale per propria natura pone sfide “sovranazionali”261, che porta all’approvazione, il 22
257 G. Cassano, Diritto dell’Internet, op. loc. cit. , p. 5.
258 solo per citarne alcuni: Land tedesco dell’Assia (1970); Portogallo (1977);
Spagna (1978); Francia (1978), G. Cassano, Diritto dell’Internet, op. loc. cit. , p. 5.
259 Agenzia dell’Unione Europea per i Diritti Fondamentali e Consiglio
d’Europa, Manuale sul diritto europeo in materia di protezione dei dati, op. cit., p. 21.
260 G. Cassano, Diritto dell’Internet, op. cit. , p. 8.
Settembre 1980, della Convenzione contenente la “protezione delle persone riguardo al trattamento automatizzato dei dati a carattere personale”, meglio conosciuta come Convenzione 108.
La convenzione n. 108 è il primo strumento europeo intervenuto con lo scopo di “garantire, sul territorio di ogni Parte, ad ogni persona fisica, qualunque siano la sua cittadinanza o residenza, il rispetto dei diritti e delle libertà fondamentali, ed in particolare del diritto alla vita privata”262 introducendo in modo esplicito la “protezione dei dati” nei confronti dell’attività di elaborazione automatica degli stessi, configurandolo il settore come una specificazione del diritto alla privacy: questo passaggio appare cristallino nella versione inglese dell’articolo 1 il quale, nel fissare gli obbiettivi della convenzione stessa, afferma “the purpose of this Convention is to secure in the territory of each Party for every individual, whatever his nationality or residence, respect for his rights and fundamental freedoms, and in particular his right to privacy, with regard to automatic processing of personal data relating to him ("data protection").”263
Prima di analizzare il primo intervento proveniente dall’Unione Europea264, pare opportuno fare cenno ad un altro documento che ha rivestito un’importanza fondamentale nella disciplina sul trattamento dei dati personali: facciamo riferimento alle “linee guida sui flussi
262 Articolo 1, Convenzione di Strasburgo n. 108/1981, consultabile al
seguente indirizzo https://www.coe.int/en/web/conventions/full-list/- /conventions/rms/0900001680078b37.
263 Articolo 1, Convenzione di Strasburgo n. 108/1981, consultabile al
seguente indirizzo https://www.coe.int/en/web/conventions/full-list/- /conventions/rms/0900001680078b37.
264 Poiché, come abbiamo avuto modo di sottolineare, il Consiglio d’Europa
transfrontalieri e sulla protezione dei dati di carattere personale” adottate nel 1980 dall’OCSE265.
Nella premessa delle stesse, possiamo rinvenire le motivazioni che hanno spinto l’OCSE ha sviluppare tali linee guida e le finalità che l’organizzazione con riguardo alla loro adozione: in relazione al primo profilo la ragione deve essere rinvenuta nelle possibili conseguenze che lo svilupparsi delle elaborazioni, automatizzate o meno, di grandi quantità di dati può comportare, le quali rendono necessario riconsiderare la protezione della privacy in relazione ai dati personali266; per quanto riguarda le finalità, l’OCSE si pone due obiettivi: dare una spinta allo sviluppo e all’armonizzazione delle normative nazionali in materia per meglio tutelare i diritti coinvolti, e allo stesso tempo tutelare il flusso transfrontaliero di tali dati, posto che una normativa troppo restrittiva avrebbe causato ripercussioni
265 L’organizzazione per la cooperazione e lo sviluppo economico (OECD in
inglese) “è un’organizzazione internazionale di studi economici per i paesi membri, paesi sviluppati aventi in comune un’economia di mercato. L’organizzazione svolge prevalentemente un ruolo di assemblea consultiva che consente un’occasione di confronto delle esperienze politiche, per la risoluzione dei problemi comuni, l’identificazione di pratiche commerciali e il coordinamento delle politiche locali e internazionali dei paesi membri. L’OCSE conta 35 paesi membri e ha sede a Parigi.”, voce Organizzazione
per la cooperazione e lo sviluppo economico, in Wikipedia, consultabile al
seguente indirizzo
https://it.wikipedia.org/wiki/Organizzazione_per_la_cooperazione_e_lo_svil uppo_economico.
266 “The development of automatic data processing, which enables vast quantities of data to be transmitted within seconds across national frontiers, and indeed across continents, has made it necessary to consider privacy protection in relation to personal data”, in Premesse alle “linee guida sui flussi transfrontalieri e sulla protezione dei dati di carattere personale”,
OCSE, 1980 consultabile al seguente indirizzo:
http://www.oecd.org/internet/ieconomy/oecdguidelinesontheprotectionofpriv acyandtransborderflowsofpersonaldata.htm.
negative nel settore dell’economia, ormai di tipo globale e dipendente dalle informazioni267.
Le linee guida OCSE del 1980 inoltre, all’articolo 1268, forniscono il nucleo di alcune delle definizioni che, seppur arricchite e modificate, ci accompagneranno lungo il percorso dello sviluppo della disciplina sulla protezione dei dati: il riferimento è alle definizioni di dato personale, data controller (l’attuale “titolare del trattamento dati”) e flusso transfrontaliero di dati.
Occorre sottolineare che, in mancanza di una disciplina positiva in materia di privacy e protezione dei dati personali proveniente dalle istituzioni europee269, il principale protagonista in materia per lungo tempo è stato proprio il Consiglio d’Europa il quale, attraverso la produzione di atti e la conseguente giurisprudenza della Corte EDU, ha
267 “OECD Member countries considered it necessary to develop Guidelines which would help to harmonise national privacy legislation and, while upholding such human rights, would at the same time prevent interruptions in international flows of data”, in Premesse alle “linee guida sui flussi transfrontalieri e sulla protezione dei dati di carattere personale”, OCSE,
1980 consultabile al seguente indirizzo
http://www.oecd.org/internet/ieconomy/oecdguidelinesontheprotectionofpriv acyandtransborderflowsofpersonaldata.htm.
268 “1. For the purposes of these Guidelines:
a) "data controller" means a party who, according to domestic law, is
competent to decide about the contents and use of personal data regardless of whether or not such data are collected, stored, processed or disseminated by that party or by an agent on its behalf;
b) "personal data" means any information relating to an identified or identifiable individual (data subject);
c) "transborder flows of personal data" means movements of personal data across national borders”, Articolo 1, “linee guida sui flussi transfrontalieri e sulla protezione dei dati di carattere personale”, OCSE, 1980 consultabile al
seguente indirizzo:
http://www.oecd.org/internet/ieconomy/oecdguidelinesontheprotectionofpriv acyandtransborderflowsofpersonaldata.htm
269La quale, come avremo modo di analizzare nel prosieguo, farà la sua
avuto il merito di definire ed ampliare i concetti principali in materia, fornendo una base solida per le future evoluzioni.
Nello specifico, la giurisprudenza della Corte EDU, in particolare attraverso l’interpretazione dell’articolo 8 CEDU, ha ampliato l’area di applicazione della definizione di “vita privata”, ricomprendendovi non solo la sfera domestica ma anche quella lavorativa270, estendendo l’ampiezza delle informazioni personali suscettibili di essere ricomprese nell’ambito di protezione di cui all’articolo 8 CEDU271.
4.1.3. La disciplina europea in materia di privacy e protezione