5. Riferimenti di diritto comparato in Europa
5.3. La Gran Bretagna
Anche in Gran Bretagna il diritto ala privacy è nato e si è sviluppato soprattutto ad opera dei giudici, i quali hanno costruito singoli rimedi rispetto alla molteplicità delle situazioni giuridiche portate alla loro attenzione244.
L’espansione delle nuove tecnologie e la conseguente evoluzione del concetto di privacy hanno reso, tuttavia, necessario l’intervento legislativo.
Dal 1 Marzo 2000 la tutela dei dati personali in Gran Bretagna è disciplinata dal Data Protection Act 1998245, in attuazione della Direttiva n. 95/46/CE . La nuova legge, che è completata da ben 17 regolamenti di attuazione, ha rafforzato ed esteso il regime di tutela dei dati personali che in Gran Bretagna era previsto sin dal Telecommunications and Data Protection
Act del 1984.
243G. MATHIAS, La legge <<Informatique et Libertés>>: un quadro giuridico rinnovato per la tutela dei dati
personali, in V. CUFFARO, R. D’ORAZIO, V. RICCIUTO (a cura di), Il codice del trattamento dei dati
personali, op. cit. pag 944..
244 Ad esempio il trepass, utilizzato in caso di acquisizione di informazioni sulla vita privata altrui mediante l’invasione o la violazione del diritto di proprietà o altro diritto dell’interessato, il brech of trust o
confidence, finalizzato a tutelare il riserbo su informazioni confidenziali. Cfr. C. SARTORETTI, Contributo allo studio del diritto alla privacy nell’ordinamento costituzionale. Riflessioni sul modello francese, op cit, pag 42 e ss; A.
CERRI, voce Riservatezza (diritto alla), III) Diritto comparato e straniero, in Enc. Giur. Treccani, Istituto Poligrafico e Zecca dello Stato, Roma 1995.
245http://www.statutelaw.gov.uk/content.aspx?LegType=All+Primary&PageNumber=1&BrowseLett
er=D&NavFrom=1&activeTextDocId=3190610&parentActiveTextDocId=3190610&showAllAttributes =0&hideCommentary=0&showProsp=0&suppressWarning=1, questa versione include le modifiche introdotte successivamente.
In particolare, l'ambito di applicazione della legge è stato esteso anche a certe forme di archivi manuali, mentre il data subject (ovvero il soggetto cui si riferiscono i dati personali) gode di una tutela più ampia e le procedure di registrazione sono state sostituite con procedure di notificazione.
Sono stati poi riaffermati i principi di qualità nel trattamento, sono state previste condizioni più stringenti per il trattamento di certi dati particolari (ad esempio quelli "sensibili") insieme a nuove regole per il trasferimento dei dati a Paesi fuori dall'UE.
Infine, sono stati rafforzati i poteri dell'Autorità garante. Questa è stata originariamente denominata Data Protection Registrar (1984), poi Data
Protection Commissioner (1998) e, dal 30 gennaio 2001, Information Commissioner246.
L’Information Commissioner è un’autorità pubblica indipendente, risponde, infatti, della sua attività solo nei confronti del Parlamento britannico, al quale è obbligato periodicamente a riferire su quanto compiuto in adempimento dei suoi doveri di vigilanza e interpretazione del Data
Protection Act e delle leggi affini, come la legge del 2004 sulle informazioni
ambientali e la segretezza delle comunicazioni elettroniche del 2003.
Nel Data Protection Act sono stati stabiliti, poi, i principi cardine per l'elaborazione dei dati personali, a cui tutti gli utilizzatori di dati devono conformarsi incondizionatamente; tali principi, che vengono dettagliatamente specificati dal “Garante” nel corso della propria attività di interpretazione e adeguamento della disciplina, sono sorretti da sanzione penale per omissione da chiunque compiuta.
Tuttavia, si evidenzia anche che la disciplina non si applica ai trattamenti di dati personali effettuati per la sicurezza nazionale, la prevenzione o la repressione del crimine, la valutazione o determinazione della tassazione nazionale e per gli scopi specifici dell'amministrazione statale.
Inoltre, si è osservato che in generale la disciplina legislativa inglese è focalizzata sulla figura del responsabile del trattamento dei dati personali, piuttosto che sull’esercizio del controllo da parte della persona interessata. Per questo motivo, le regole vigenti non sono riuscite a coinvolgere
particolarmente l’opinione pubblica e non sono generalmente considerate come lo strumento ordinario per la tutela della privacy individuale.
Al riguardo, le stesse corti tendono a rifiutare l’idea che il diritto alla privacy possa costituire nel diritto inglese fondamento di una distinta azione di giudizio, preferendo adattare l’applicazione di altre azioni già esistenti, soprattutto quella esperibile in equity di breach of confidence247.
Quanto alla tutela giurisdizionale ordinaria, si segnala, che in Inghilterra viene esercitata dal Tribunale di primo livello (Information Rights)248, il quale è composto di membri togati e non togati ed è competente, inoltre, a conoscere i reclami avverso le decisioni dell’Information Commissioner.
In riferimento alla Gran Bretagna, si evidenzia infine che nell’aprile 2009 l’Unione europea ha aperto una procedura di infrazione nei confronti del Paese per violazione delle leggi comunitarie sulla privacy249.
La società Phorm avrebbe, infatti, fornito alla British Telecom250una tecnologia in grado di convertire le informazioni sulle abitudini on line degli utenti in elementi utili per campagne di marketing e promozioni commerciali, fornendo agli stessi utenti una “pubblicità su misura”.
Come spiegato dal commissario Viviane Reding251"Le tecnologie come il behavioural advertising possono essere utili alle aziende e ai clienti, ma devono
essere utilizzate nel rispetto della normativa europea. Queste norme esistono per proteggere la privacy dei cittadini e devono essere applicate in maniera rigorosa da tutti gli Stati membri. Seguiamo il caso Phorm da diverso tempo e abbiamo concluso che vi sono dei problemi nel modo in cui il Regno Unito ha applicato parti della normativa europea in materia di riservatezza delle comunicazioni. Invito le autorità britanniche a modificare la legislazione nazionale e a far sì che le autorità dispongano dei poteri
247 In tal senso si rinvia alle osservazioni di I. WALDEN, Data protection nel Regno Unito, in V. CUFFARO, R. D’ORAZIO, V. RICCIUTO (a cura di), Il codice del trattamento dei dati personali, op. cit., pag. 992 e ss.
248The First-tier Tribunal (Information Rights) è stato costituito nel 2000, inizialmente come il Data Protection Tribunal, è stato in seguito ribattezzato Information Tribunal e il 18 gennaio 2010 è stato trasferito nella General Regulatory Chamber of the First-tier Tribunal . Il suo sito web ha i dettagli della procedura di ricorso, i collegamenti alla specifica normativa, comprese le norme procedurali, un elenco dei ricorsi pendenti ("casi in corso"), e delle decisioni dal 2000 in poi in versione integrale. Vedi http://www.informationtribunal.gov.uk/ 249 Cfr http://europa.eu/rapid/pressReleasesAction.do?reference=IP/09/570&format= HTML&aged=0&language=IT&guiLanguage=en 250 http://www.ilsole24ore.com/art/SoleOnLine4/Finanza%20e%20Mercati/2010/02/scheda- britishtelecom.shtml?uuid= 6e7a1eae-224c-11df-bc23-7e37ad467041&DocRulesView=Libero 251Vedi nota 249.
necessari per comminare sanzioni al fine di attuare la normativa dell’UE in materia. In questo modo il Regno Unito potrà rispondere più energicamente alle nuove sfide legate alla ePrivacy e alla tutela dei dati personali, come quelle poste dal caso Phorm, e i consumatori britannici sapranno che la loro privacy e i loro dati sono protetti quando navigano in internet "252.
5.4. La Germania
Anche l’esperienza tedesca in materia è segnatamente caratterizzata dall’importanza del ruolo avuto dalla giurisprudenza e, in particolare, dalla giurisprudenza costituzionale, la quale, insieme alla dottrina, si è proposta per molto tempo di cercare un fondamento costituzionale del diritto alla privacy.
Fra le sentenze del Tribunale federale costituzionale tedesco, merita particolare attenzione la cd. “decisione sul censimento” del 1983 (Volkszählunentscheidung)253, in quanto è considerata pietra miliare nella storia della disciplina dei dati personali, anche al di fuori della Germania.
Il giudice costituzionale tedesco, infatti, si è accorto con notevole lungimiranza, rispetto ad altre Corti costituzionali, di quali avrebbero potuto essere le ripercussioni di intensi e generalizzati processi di trattamento di dati personali sulle libertà individuali.
In particolare, a quel tempo l’opinione pubblica era concentrata sulla “legge sul censimento per il 1983”. Questa aveva sollevato molte critiche non solo da pare della società, ma anche dalle autorità federali e statali di protezione dei dati personali.
Davanti al BVerG sono stati presentati così più 1300 ricorsi! Non sorprende, quindi, che Il Tribunale federale abbia esteso l’oggetto della sua pronuncia, finendo per occuparsi non solo della legge impugnata254, ma
252 Una rassegna dettagliata dei procedimenti di infrazione nel settore delle telecomunicazioni è disponibile alla pagina: http://ec.europa.eu/information_society/policy/ecomm/implementation _enforcement/infringement/
253 NYW, 1984, pag 420 e ss. Cfr A. DI MARTINO, La protezione dei dati personali, in S. P. PANUNZIO (a cura di), I diritti fondamentali e le corti in Europa, Jovine, 2005 pag. 386 e ss.; C.SARTORETTI, Contributo allo studio del diritto alla privacy nell’ordinamento costituzionale, op cit. pag 44.
254In particolare sulla dichiarazione di illegittimità costituzionale del § 9 nella parte in cui prescriveva il collegamento tra finalità statistiche e amministrative dei dati raccolti con il censimento. Secondo A. DI MARTINO, ult.. op. cit.: “ Da un punto di vista processuale, la decisione merita di essere ricordata non
anche dei principi in materia di tutela dei dati personali che fosse possibile dedurre dalle norme costituzionali.
Con la sentenza citata, il BVerfG ha attribuito inequivocabilmente alla tutela dei dati personali un rilievo costituzionale, attraverso l’individuazione di un Recht auf informationelle Selbustberstimmung, ovvero di un diritto all’autodeterminazione informativa, ricostruito come concretizzazione del diritto generale della personalità di cui agli artt. 1, comma 1 e 2 comma 1 della Costituzione. Il suo contenuto è individuato nel “potere di ciascuno di decidere sostanzialmente da sé circa la rivelazione e l’utilizzo dei propri dati personali”.
Importante, inoltre, è la dimensione sociale affidata a questo diritto. La Corte, infatti, ha sviluppato il concetto di autodeterminazione individuale quale presupposto per l’esercizio delle libertà democratiche. Esso risulta gravemente inibito dalla non conoscenza della sorte delle informazioni personali cedute dagli individui. Chi ignora cosa verrà raccolto e da chi non sa quali comportamenti può legittimamente tenere e, temendo che alcuni fatti siano schedati, rinuncia ad esempio a partecipare ad assemblee, manifestazioni, riunioni sindacali, cioè all’esercizio di diritti costituzionali.
Questo avrebbe conseguenze non solo sul suo sviluppo personale, ma anche su quello collettivo, poiché l’autodeterminazione è una condizione elementare che si basa sulla possibilità di agire e coagire dei cittadini e quindi sulla democrazia.
Il libero sviluppo della personalità presuppone la protezione del singolo dalla memorizzazione, utilizzazione e trasferimento incontrollato di dati personali255.
solo per questa non ortodossa estensione del thema decidendum, ma anche perché è stata emessa sulla base di una cd Rechtssatzverfassungbeschwerde, ossia un ricorso diretto avente ad oggetto una norma di legge, ammesso solo in ipotesi particolarmente restrittive.” Per quest’ultimo aspetto si rinvia a J. LUTHER, R. ROMBOLI, R. TARCHI, Esperienze di giustizia costituzionale. Tomo I. Usa, Canada, Svizzera, Austria, Germania, Francia, Giappichelli, Torino, 2000.
255"Mit dem Recht auf informationelle Selbstbestimmung wären eine Gesellschaftsordnung und eine diese ermöglichende Rechtsordnung nicht vereinbar, in der Bürger nicht mehr wissen können, wer was wann und bei welcher Gelegenheit uber sie weiß. Wer unsicher ist , ob abweichende Verhaltensweisen jederzeit notiert und als Information dauerhaft gespeichert, verwendet oder weitergegeben werden, wirdversuchen, nicht durch solche Verhaltensweisen aufzufallen. Wer damit rechnet, daß etwa die Teilnahme an einer Versammlung oder einer Bürgerinitiative behördlich registriert wird und daß ihm dadurch Risiken entstehen können, wird möglicherweise auf eine Ausübung seiner entsprechenden Grundrechte (Art. 8, 9 GG) verzichten. Dies wurde nicht nur die individuellen Entfaltungschancen des einzelnen beeinträchtigen, sondern auch das Gemeinwohl, weil Selbstbestimmung eine elementare Funktionsbedingung eines auf Handlungs – und Mitwirkungsfähigkeit seiner Bürger begründeten freiheitlichen demokratischen Gemeinwesens ist", citazione in lingua originale da M. PROSPERI, il diritto
Inoltre, dal giudice costituzionale tedesco sono stati tracciati anche i confini del diritto fondamentale all’autodeterminazione informativa, allorché ha affermato che questo trova limite unicamente nella legge. Un provvedimento legislativo può, dunque, porre limiti al diritto in oggetto attraverso l’esplicita indicazione sia dei requisiti di tali limitazioni, sia del grado della loro intensità.
Tuttavia, ogni intervento legislativo deve ispirarsi al principio di proporzionalità tra mezzo applicato e finalità perseguita256.
La raccolta dei dati e la loro elaborazione, inoltre, sono consentite soltanto nei casi in cui questi processi avvengono in un legame stretto con una finalità concreta e lecita. “Questo principio di connessione tra la raccolta dei dati e scopo (Zweckbindung) è una delle colonne portanti della disciplina tedesca”257.
Per quanto riguarda la normativa, fin dagli anni settanta la Germania possiede un’ampia disciplina in materia di privacy e trattamento personale sia a livello federale che di singoli Lander. I Lander dell’Assia e della Renania Palatinato, infatti, già rispettivamente nel 1970 e 1974 si sono muniti di una normativa e hanno previsto un’autorità garante eletta dal Parlamento258.
Il Parlamento federale, invece, ha adottato nel 1977 il
Bundesdatenschtuzgesetz, a cui sono succedute la legge del 1990 e il BDSG del
2001, che ha attuato la Direttiva n. 95/46, quest’ultima ampiamente modificata nel luglio 2009259.
Le modifiche sono state finalizzate a "limitare il commercio illegale di dati personali" e hanno dato maggior interesse al controllo sul trattamento dei loro dati personali260. Ad esempio, i poteri di controllo delle autorità di protezione dei dati sono stati aumentati, per il trattamento dei dati con
256F. A. SCHURR, La tutela dei dati personali nell’esperienza tedesca, in V. CUFFARO, R. D’ORAZIO, V. RICCIUTO (a cura di), Il codice del trattamento dei dati personali, op. cit.. pag 978
257 Così F. A. SCHURR, La tutela dei dati personali nell’esperienza tedesca, in V. CUFFARO, R. D’ORAZIO, V. RICCIUTO (a cura di), Il codice del trattamento dei dati personali, op. cit.. pag. 978.
258 Per le leggi dei singoli Lander, vedi http://ec.europa.eu/justice/policies/privacy/law/
implementation_en.htm#italye http://www.privacy.it/l inkpriv1.html.
259http://translate.googleusercontent.com/translate_c?hl=it&langpair=en|it&u=http://www.bfdi.bu nd.de/EN/DataProtectionActs/Artikel/BDSG_idFv01092009.pdf%3F__blob%3DpublicationFile&rurl =translate.google.it&usg=ALkJrhg9II0xZk6szorFjxVGtoOnhOpeQw.
260 Cfr http://translate.google.it/translate?hl=it&langpair=en|it&u=http://www.stbdirect marketing.com/german-data-protection.aspx.
finalità di marketing si è passati dal paradigma dell’opt out al opt in, è stato introdotto un livello maggiore di protezione per i dati dei lavoratori e sono aumentate le sanzioni in caso di violazione della legge.
Nel complesso, il sistema tedesco si basa sul cd. divieto con riserva di permesso, secondo il quale il trattamento dei dati personali, tendenzialmente vietato, è consentito in presenza di precisi presupposti di carattere sostanziale, come il consenso dell’interessato, il prevalente interesse del responsabile del trattamento o quello generale261.
Il diritto tedesco opera poi una distinzione relativamente alla protezione delle persone fisiche, con riguardo al trattamento dei dati personali, a seconda che detto trattamento sia effettuato da organismi pubblici o meno.
Le autorità incaricate di vigilare sul rispetto delle disposizioni in materia, da un lato, da parte degli organismi pubblici e, dall’altro, da parte degli organismi diversi da quelli pubblici e delle imprese di diritto pubblico che partecipano alla concorrenza sul mercato (öffentlich-rechtliche
Wettbewerbsunternehmen), sono infatti distinte.
Sul trattamento dei dati personali da parte degli organismi pubblici vigilano, a livello federale, il Bundesbeauftragter für den Datenschutz und die
Informationsfreiheit (Incaricato federale per la protezione dei dati e la libertà
dell’informazione)262 e, a livello dei Länder, i Landesdatenschutzbeauftragte (Incaricati per la protezione dei dati dei Länder)263.
Tali organismi sono tutti responsabili solamente nei confronti dei rispettivi Parlamenti e di norma non sono sottoposti ad alcuna vigilanza, istruzioni o altra influenza da parte degli organismi pubblici che sono soggetti al loro controllo.
Per contro, la struttura delle autorità incaricate di sorvegliare il trattamento dei dati in parola da parte dei settori diversi da quello pubblico varia da un Land all’altro264.
261 A. DI MARTINO, La protezione dei dati personali, in S. P. PANUNZIO (a cura di), I diritti fondamentali e le corti in Europa, op. cit., pag. 420 e 386 e ss.
262www.bfdi.bund.de
263https://www.ldi.nrw.de/mainmenu_Service/submenu_Links/Inhalt2/Datenschutzbeauftragte/Dat enschutzbeauftragte.php
264 Si evidenzia, tra l’altro, che Le leggi dei Länder hanno tuttavia la caratteristica comune di assoggettare espressamente dette autorità di controllo ad una forma di vigilanza dello Stato. Tuttavia, la Commissione europea ha ritenuto questo incompatibile con le previsioni indicate dalla Direttiva n. 95/46 (art. 28, n. 1, secondo comma) e il 5 luglio 2005 ha inviato una lettera di diffida alla Repubblica federale di Germania. Quest’ultima ha risposto con una lettera del 12 settembre 2005, affermando che il sistema tedesco di vigilanza in materia soddisfa i requisiti della direttiva in parola. Il 12 dicembre 2006, la
Commissione ha inviato un parere motivato alla Repubblica federale di Germania, ribadendo la censura formulata in precedenza.
Nella sua risposta del 14 febbraio 2007, lo Stato ha confermato il suo punto di vista iniziale. La Commissione ha, quindi, deciso, di proporre ricorso alla Corte di Giustizia. Secondo quest’ultima: “La garanzia dell’indipendenza delle autorità nazionali di vigilanza è diretta ad assicurare l’efficacia e l’affidabilità del controllo del rispetto delle disposizioni in materia di protezione delle persone fisiche con riguardo al trattamento dei dati personali e deve essere interpretata alla luce di tale finalità. Essa non è stata disposta al fine di attribuire uno status particolare a dette autorità ed ai loro agenti, bensì per rafforzare la protezione delle persone e degli organismi interessati dalle loro decisioni. Ne discende che, nello svolgimento delle loro funzioni, le autorità di controllo devono agire in modo obiettivo ed imparziale. A tale fine esse devono essere sottratte a qualsiasi influenza esterna, compresa quella, diretta o indiretta, dello Stato o dei Länder, e non solamente essere poste al riparo dall’influenza degli organismi controllati.” Pertanto la Corte ha statuito che la Germania ha violato gli obblighi imposti dalla suddetta normativa comunitaria, con sentenza del 9 marzo 2010, causa C-518/07, GUUE C 113/4 del 1 maggio 2010, consultabile su http://eur-lex.europa.eu/LexUriServ/LexUriServ.do?uri=OJ:C:2010:113: 0003:0004:IT:PDF e integrale su http://eur-lex.europa.eu/Notice.do?mode=dbl&lang=e n&ihmlang=en&lng1=en,it&lng2=da,de,en,et,fi,fr,it,mt,nl, pl,ro,sk,sl,sv,&val=509216:cs&page=.