Legislazione europea in materia di privacy

In materia di privacy il diritto europeo fa riferimento a numerosi documenti normativi che concorrono alla sua composizione e solo una visione unitaria degli stessi può permettere di capire e definire le disposizioni e i principi generali attraverso i quali esso trae la propria caratterizzazione.

Un autore definisce il diritto europeo in materia di protezione dei dati come un complesso sistema di regole e principi che incrociano tra loro atti normativi appartenenti a due diversi ordinamenti: il Consiglio di Europa e l’Unione europea.210 _{Ciascuno dei due ordinamenti ha un} proprio sistema di fonti e allo stesso modo un proprio sistema di Corti, che, nonostante siano spesso intrecciati negli effetti che determinano, devono essere tenuti separati dal punto di vista concettuale.211

3.1. L’ordinamento del Consiglio d’Europa (CEDU) e le fonti in materia di protezione dei dati Il Consiglio d’Europa è un organizzazione internazionale con sede a Strasburgo, costituita a Londra il 5 maggio 1949, all’indomani della seconda guerra mondiale con l’obiettivo di riunire gli Stati d’Europa e promuovere lo Stato di diritto, la democrazia, i diritti dell’uomo e lo sviluppo sociale.212

Esso non deve essere ricondotto al sistema giuridico comunitario dell’Unione europea.213

209 _{“The bill closes a loophole in current law that requires the government to stop tracking} foreign terrorists when they enter the U.S. This provision gives the government 72 hours to track foreign terrorists when they initially enter the United States (it does not apply to U.S. persons) – enough time for the government to obtain the proper authority under U.S. law”. Id.

210 _{Op. Cit. Supra note 6, Cit. p. 27.} 211 _{Id. p. 28.}

212 _{Doc. Cit. Supra note 12.}

213 _{FRAGOLA M., Temi di diritto dell'Unione europea, Giuffrè, 2015 (2 ed). Cit. nota 54 p. 99; il} Consiglio d’Europa è un’organizzazione molto più ampia rispetto all’Unione europea perché vi include tutti i paesi del continente europeo quindi vi è inclusa la Russia (federazione Russa), la Turchia, l’America, e tutti quei paesi situati al confine con il continente asiatico: si compone di 47 Stati, 28 dei quali sono anche Stati membri dell’UE, praticamente tutti tranne uno che è particolarmente problematico in materia di tutela dei diritti umani fondamentali: la Bielorussia. Oltre alle fonti principali di cui si parlerà di seguito, bisogna ricordare la Convenzione di Budapest «sulla criminalità informatica», firmata a Budapest il 23 novembre

3.1.1. La Convenzione europea dei diritti dell’uomo

Il Consiglio d’Europa assume un ruolo fondamentale in quanto nell’ambito di tale organizzazione gli Stati membri hanno redatto e sottoscritto la Convenzione europea dei diritti dell’uomo, firmata a Roma il 4 novembre 1950 ed entrata in vigore il 3 settembre 1953, alla quale gli Stati hanno l’obbligo internazionale di attenersi.214

In questa sede interessa sottolineare che il diritto alla protezione dei dati personali rientra nei diritti tutelati dall’articolo 8 della CEDU, che garantisce il diritto al rispetto della vita privata e familiare, del domicilio e della corrispondenza, e stabilisce le condizioni alle quali il diritto alla protezione dei dati personali può essere soggetto a restrizioni215_{: «1. Ogni persona ha diritto} al rispetto della propria vita privata e familiare, del proprio domicilio e della propria corrispondenza. 2. Non può esservi ingerenza di una autorità pubblica nell’esercizio di tale diritto a meno che tale ingerenza sia prevista dalla legge e costituisca una misura che, in una società democratica, è necessaria alla sicurezza nazionale, alla pubblica sicurezza, al benessere economico del paese, alla difesa dell’ordine e alla prevenzione dei reati, alla protezione della salute e della morale, o alla protezione dei diritti e delle libertà altrui.».

3.1.2. La Convenzione n. 108 del Consiglio d’Europa

La Convenzione n. 108/1981 «sulla protezione delle persone rispetto al trattamento automatizzato di dati di carattere personale» è stata firmata a Strasburgo il 28 gennaio 1981 è parte dell’ordinamento CEDU. Essa nasce dall’esigenza216 _{venuta alla luce con l’avvento delle} tecnologie dell’informazione negli anni ’60, di norme dettagliate e specifiche in grado di tutelare le persone proteggendone i dati personali. La Convenzione n. 108 è uno strumento internazionale giuridicamente vincolante in materia di protezione dei dati.217 _{Essa si applica a} tutti i trattamenti di dati personali effettuati sia nel settore privato che in quello pubblico, e le sue funzioni principali sono quella di proteggere l’individuo dagli abusi che possono derivare dalla raccolta e dal trattamento dei dati personali e quella di regolamentare il flusso transfrontaliero di dati personali. I principi stabiliti dalla Convenzione per assolvere alle sue funzioni, sono quelli di correttezza e liceità della raccolta e del trattamento automatizzato dei dati, in particolare i dati devono essere archiviati per specifici scopi legittimi, non destinati a un uso incompatibile con tali scopi né conservati oltre il tempo necessario, inoltre gli stessi principi fanno riferimento anche alla qualità dei dati nonché alla loro adeguatezza, pertinenza e non eccedenza (proporzionalità) ed esattezza.218

2001, ed una trentina di Raccomandazioni del Consiglio che riguardano diversi settori specifici in materia di privacy.

214 _{Tutti gli Stati membri del CDE hanno ormai recepito o dato efficacia alla Convenzione} europea dei diritti dell’uomo nel rispettivo diritto nazionale, che impone loro di agire conformemente alle disposizioni contenute nella stessa.

215 _Ibidem.

216 _{Per adempiere a questa esigenza, a partire dagli anni ’70 il Comitato dei ministri del} Consiglio d’Europa, facendo riferimento all’articolo 8 della Convenzione europea dei diritti dell’uomo, ha adottato diverse risoluzioni con lo scopo di regolamentare la materia: CDE, Comitato dei ministri (1973), risoluzione (73) 22 sulla tutela della riservatezza delle persone in rapporto alle banche di dati elettroniche nel settore privato, 26 settembre 1973; CDE, Comitato dei ministri (1974), risoluzione (74) 29 sulla tutela della riservatezza delle persone in rapporto alle banche di dati elettroniche nel settore pubblico, 20 settembre 1974.

217 _{Supra note 55.} 218 _Ibidem.

La Convenzione inoltre vieta il trattamento dei dati “sensibili”, come la razza, le opinioni politiche, la salute, la religione, l’orientamento sessuale o i precedenti giudiziari di un individuo e sancisce altresì il diritto dell’individuo di essere informato della conservazione di informazioni che lo riguardano ed eventualmente di chiederne la rettifica. Le restrizioni dei diritti stabiliti nella Convenzione sono possibili solo quando sono in gioco interessi prevalenti, quali la sicurezza o la difesa dello Stato.219

Quanto alla funzione di regolamentare il flusso transfrontaliero di dati personali, benché la Convenzione preveda la libera circolazione dei dati personali tra le parti contraenti, essa impone anche alcune restrizioni nel caso in cui i paesi verso i quali questi siano diretti non assicurino una protezione equivalente.220

3.2. La giurisprudenza della Corte europea dei diritti umani (Corte EDU)

La Corte Europea dei Diritti umani (d’ora in poi Corte EDU) è un organo giurisdizionale internazionale con sede a Strasburgo, istituito nel 1959 dalla Convenzione europea per la salvaguardia dei diritti dell'uomo e delle libertà fondamentali (d’ora in poi CEDU), per assicurarne l'applicazione ed il rispetto221_{. Vi aderiscono quindi tutti i 47 membri del} Consiglio d'Europa.222

La Corte EDU ha sia funzione consultiva, in quanto su richiesta del Comitato di ministri può emettere pareri consultivi in merito all’ interpretazione della Convenzione e dei suoi protocolli addizionali, sia funzione contenziosa in quanto può decidere sia sui ricorsi degli Stati contraenti223 _{sia sui ricorsi dei singoli individui}224_{, nei quali si lamenti la violazione di} una delle disposizioni della Convenzione o dei suoi protocolli addizionali, ma sempre dopo che siano stati esperiti i ricorsi giurisdizionali nazionali ordinari.225

Essa dunque ha funzione sussidiaria rispetto alla giurisdizione nazionale, infatti come spiega un’autrice, la Corte non ha il compito di sostituirsi ai giudici nazionali, ma di verificare, alla luce della causa nel complesso, se le decisioni dagli stessi adottate, in virtù del loro potere discrezionale, siano compatibili con le disposizioni della Convenzione, di volta in volta evocate.226

219 _Ibidem.

220 _{Nel 2001 è stato adottato un Protocollo addizionale alla Convenzione n. 108, che introduce} disposizioni in materia di flussi transfrontalieri dei dati verso le parti non contraenti, i cosiddetti paesi terzi, e l’istituzione obbligatoria delle autorità di controllo nazionali per la protezione dei dati: CDE, Protocollo addizionale alla Convenzione sulla protezione delle persone rispetto al trattamento automatizzato di dati a carattere personale, concernente le autorità di controllo e i flussi transfrontalieri di dati, STCE n.°181, 2001.

221 _{La Corte EDU garantisce che gli Stati adempiano gli obblighi previsti dalla Convenzione} valutando le denunce presentate da singoli individui, gruppi di individui, ONG o persone giuridiche che lamentino l’esistenza di violazioni della Convenzione. Ibidem

222 _{Wikipedia alla voce “Corte europea dei diritti dell'uomo”}

223 _{La Corte EDU può esaminare le cause interstatali intentate da uno o più Stati membri del} CDE contro un altro Stato membro.

224 _{Per adire la Corte EDU non è necessario essere cittadino di uno degli Stati membri.} 225 _{Op. Cit. Supra note 6, Cfr. p. 29.}

226 _{PUTATURO DONATI M. G., Magistrato, assistente di studio presso la Corte costituzionale in} Il diritto al rispetto della vita privata e familiare, di cui all’art. 8 della CEDU, nell’interpretazione della Corte Edu: il rilievo del detto principio sul piano del diritto internazionale e su quello del diritto interno, Cit. p. 3.; la Corte ha chiarito che l’articolo 8 della CEDU non solo obbliga gli Stati ad astenersi da qualsiasi azione che possa violare questo diritto previsto dalla

Con la propria giurisprudenza227_{, la Corte EDU ha affrontato il tema della protezione dei dati} sotto molteplici aspetti, in particolare sono vastissime le cause in cui si è pronunciata in merito all’interpretazione dell’articolo 8 della Convenzione che protegge la vita privata e il cui campo di applicazione si è esteso nel corso degli anni fino a comprendere tra i vari aspetti e per quel che interessa in questa sede, quelli riguardanti l’intercettazione delle comunicazioni228_{, quelli inerenti alle varie forme di sorveglianza}229 _{, quelli il cui core sono le} garanzie rispetto alla conservazione dei dati personali da parte delle autorità pubbliche230 nonché quelli riguardanti il profilo del diritto di accesso231_{, della libertà di espressione}232_, della libertà delle arti e delle scienze233_.

In riferimento all’ultimo aspetto citato, un’autrice sostiene che uno dei modi di intendere il diritto alla vita privata è quello di limite al procedere penale, e pertanto in quest’ottica, affinché l’ingerenza sia lecita, essa deve essere prevista dalla legge234_{, o per dirla così come} Convenzione, ma impone anche loro, in talune circostanze, l’obbligo di garantire attivamente l’effettivo rispetto della vita privata e familiare. Cfr., per esempio, Corte EDU, I. c. Finlandia, n. 20511/03, 17 luglio 2008; Corte EDU, K.U. c. Finlandia, n.°2872/02, 2 dicembre 2008; in tal proposito PUTATURO DONATI M. G scrive: “all’impegno di carattere negativo degli Stati parti si aggiungono gli obblighi positivi di adottare misure atte a garantire il rispetto effettivo della «vita familiare e della vita privata». Il confine tra obblighi positivi e negativi posti a carico degli Stati contraenti, ai sensi dell’art. 8, non si presta ad una definizione precisa ma i principi applicabili sono, comunque, assimilabili. Nell’adempiere ad entrambi gli obblighi (positivo e negativo), lo Stato deve trovare un giusto equilibrio tra i concorrenti interessi generali e dei singoli, nell’ambito del margine di apprezzamento che gli è conferito. Inoltre, la procedura decisionale prevista deve essere “equa” e tale da garantire il dovuto rispetto degli interessi tutelati dall’articolo 8".

227 _{Si veda MASCIA A., La protezione dei dati secondo la giurisprudenza della CEDU, in blog} personale, 2010: https://antonellamascia.wordpress.com/2010/02/02/la-protezione-dei- dati-secondo-la-giurisprudenza-della-cedu/

228 _{Alcuni dei casi rientranti nella casistica e in merito ai quali si è pronunciata la Corte EDU} sono: Malone c. Regno Unito, Copland c. Regno Unito.

229 _{Alcuni dei casi rientranti nella casistica e in merito ai quali si è pronunciata la Corte EDU} sono: Allan c. Regno Unito, Klass e altri c. Germania, Uzun c. Germania.

230 _{Alcuni dei casi rientranti nella casistica e in merito ai quali si è pronunciata la Corte EDU} sono: S. e Marper c. Regno Unito, Leander c. Svezia, Khelili c. Svizzera, Brunet c. Francia.

231 _{Alcuni dei casi rientranti nella casistica e in merito ai quali si è pronunciata la Corte EDU} sono: Gaskin c. Regno Unito, Haralambie c. Roumania, Társaság a Szabadságjogokért c. Ungheria, 2009.

232 _{Alcuni dei casi rientranti nella casistica e in merito ai quali si è pronunciata la Corte EDU} sono: Axel Springer AG c. Germania, 2012, Mosley c. Regno Unito, 2011.

233 _{Corte EDU, Vereinigung bildender Künstler c. Austria, 2007.}

234 _{Un autrice precisa che la secondo la giurisprudenza europea la legge deve essere} accessibile e prevedibile, ma soprattutto chiara e precisa nei contenuti, CAPITTA A. M., Conservazione dei DNA profiles e tutela europea dei diritti dell’uomo, in Archiviopenale.it, 2013. Cfr. nota 31, che fa chiaramente riferimento alla causa S. e Marper c. Regno Unito nella quale al paragrafo 95 «La legge deve essere altresì sufficientemente accessibile e prevedibile, sarebbe a dire essa deve essere enunciata con un precisione tale da consentire alla persona interessata di regolare la propria condotta conformemente», articolo disponibile al sito web:

http://www.archiviopenale.it/apw/wp-content/uploads/2013/06/4-cultura-europea-2- capitta-dna.pdf; la Corte ha affermato in diverse occasioni questo concetto, in particolare con riferimento alle misure di sorveglianza, si veda quanto asserito in occasione della sentenza

affermato nella sentenza citata di seguito, nonché con parole riportate dalla stessa autrice: “la tutela garantita dall’ Articolo 8 al rispetto della vita privata e familiare, subirebbe un indebolimento inaccettabile se l’utilizzo delle moderne tecniche scientifiche fosse autorizzato senza alcuna limitazione”235_.

È questo l’oggetto del caso S. e Marper c. Regno Unito236_{, in cui la Corte ebbe a constatare la} violazione dell’ art. 8 della CEDU relativo al rispetto della vita privata e familiare.

Nel caso di specie si trattava di stabilire se fosse proporzionale o meno, l’ingerenza rappresentata dalla conservazione sine die in una banca dati di impronte digitali, campioni cellulari e profili genetici di persone sospettate di reati ma non condannate e neppure perseguite penalmente.

In tale occasione, la Corte di Strasburgo constatò che vi fosse un’ingerenza sproporzionata237 nell’esercizio della vita privata e familiare garantito dall’art. 8 CEDU.238

Ancora più restrittiva la considerazione della Corte nella causa Leander c. Svezia239_{, un caso in} cui era stato utilizzato un dossier segreto per l’assunzione di una persona: nel caso di specie la Corte ritenne che la semplice conservazione dei dati riguardanti la vita privata di una persona

Weber e Saravia c. Germany del 29 giugno 2006: «La nozione della prevedibilità nello specifico settore delle misure di sorveglianza adottate segretamente, come ad esempio quelle di intercettazione delle comunicazioni, non può assumere il significato in base al quale un individuo debba essere in grado di prevedere quando le autorità possono intercettare le comunicazioni in modo tale che questi possa adattare in conseguenza la propria condotta (…). A ben vedere, soprattutto quando un potere spettante all’esecutivo è esercitato in segreto, i pericoli di arbitrarietà sono evidenti (…). Conseguentemente è essenziale che esistano regole di intercettazione delle conversazioni telefoniche chiare e dettagliate, e questo a maggior ragione in considerazione del fatto che la tecnologia in uso in questo settore diviene di giorno in giorno più sofisticata (…)»; per ulteriori approfondimenti in merito si veda PAOLUCCI C. M., Cooperazione giudiziaria e di polizia in materia penale, Utet Giuridica, 2011.

235 _{Concetto enunciato nella sentenza S. e Marper c. Regno Unito e ripreso da A. M. Capitta nel} suo articolo citato in nota 213.

236 _{Deciso dalla Grande Camera il 4 dicembre 2008 (n. 30562/04 e 30566/04)}

237 _{Un autore specifica che l’ingerenza sproporzionata constava nel fatto che non venisse} assicurato un giusto equilibrio tra i contrastanti interessi pubblici e privati, in tal proposito l’autore specifica che “si trattava di fattispecie relativa a conservazione in banca dati di impronte digitali, campioni di cellule e profili del DNA di persone indagate di reati anche dopo che il procedimento penale nei loro confronti si era chiuso rispettivamente con un proscioglimento e una archiviazione; in quel caso la Corte ebbe altresì a disporre l’adozione da parte dello Stato convenuto di misure generali e/o individuali per adempiere all’obbligo di garantire ai ricorrenti ed alle persone nella loro stessa posizione l’esercizio del diritto al rispetto della loro vita privata.” SCARACELLA A., Viola la CEDU conservare in un database informazioni relative a soggetti i cui procedimenti penali non abbiano trovato sviluppo, in Dir. Pen. e Processo, 6, 2015. Cit. p. 757. Articolo disponibile al sito web: http://www.lexenia.it/viola-la-cedu-conservare-in-un-database-informazioni-relative-a- soggetti-i-cui-procedimenti-penali-non-abbiano-trovato-sviluppo/

238 _{«la Corte, (...), ritiene che, sebbene possa essere necessario distinguere, quanto a prelievo,} utilizzo e conservazione, tra impronte digitali da un lato e campioni e profili dall’altro lato, tuttavia dal punto di vista della loro giustificazione, la conservazione delle impronte digitali costituisce una ingerenza di pari portata nella vita privata». Corte EDU, Paragrafo 86, causa S. e Marper c. Regno Unito.

costituisce ex se una ingerenza ai sensi dell’articolo 8, e dunque in questa prospettiva risulta irrilevante se le informazioni conservate siano poi effettivamente utilizzate o meno.

Nello stesso senso, cioè di constatazione di violazione dell’articolo 8, si segnala il caso Khelili c. Svizzera240_{, in cui la ricorrente, cittadina francese, era stata inscritta come “prostituta” per} cinque anni nella banca dati della polizia di Ginevra, in assenza di alcuna condanna al riguardo ma sulla base di una finalità di prevenzione.

La Corte nella sentenza del caso, non sottovalutò l’importanza della finalità preventiva del crimine, ma alla luce del caso di specie e in considerazione dell’importanza primaria della presunzione di innocenza in una società democratica, si dichiarò contraria al fatto che

il mantenimento della parola “prostituta” come professione della donna (la quale non era mai stata condannata per esercizio illecito della prostituzione ai sensi del codice penale), potesse rispondere ad un “bisogno sociale imperativo” ex art. 8 della Convenzione.241

Più recente è la sentenza Brunet c. Francia242 _{: nel caso di specie la quinta sezione della Corte} di Strasburgo, all’unanimità, ha ritenuto violato il diritto alla privacy del ricorrente Francois Xavier Brunet, cittadino francese. La Corte, con riferimento all’art. 8, ha ritenuto che le regole per la conservazione dei dati -seppur si trattasse di dati che non avevano ad oggetto impronte digitali o profili del DNA ma che consistevano in dettagli sull’identità e sulla personalità, e dunque dovevano essere considerati, particolarmente sensibili- nel database STIC (un database utilizzato per la ricerca dei criminali), applicate al ricorrente, non garantivano un giusto equilibrio tra i concorrenti interessi in gioco, pubblici e privati.

Di conseguenza, il mantenimento di tali dati costituiva un’ingerenza sproporzionata nel diritto del Brunet, al rispetto della sua vita privata e non era necessario in una società democratica. Vi era dunque stata una violazione dell’articolo 8 della Convenzione.

Con riguardo all’aspetto della varie forme di sorveglianza si veda il caso Allan c. Regno Unito243 _{in cui le autorità avevano segretamente registrato le conversazioni private di un} detenuto con un amico nella sala visite del carcere e con un altro detenuto in una cella.

Al momento dei fatti non esisteva un sistema legale che regolamentasse l’uso di dispositivi di registrazione in segreto da parte della polizia, e dunque questo tipo di ingerenza non era conforme alla legge. La Corte Edu ha deliberato che l’uso di dispositivi di audio registrazione e videoregistrazione nella cella del ricorrente, nella sala visite del carcere e su un altro detenuto costituiva violazione del diritto del ricorrente alla vita privata e dunque nel caso di specie si è pronunciata asserendo l’esistenza della violazione dell’art. 8.244

Sempre nell’ambito di questo aspetto, nella causa Klass e altri c. Germania245 _{i ricorrenti} sostenevano che la legislazione tedesca violasse l’art. 8 in quanto autorizzava che la posta, la corrispondenza e le telecomunicazioni fossero sorvegliate segretamente, in particolare nel caso di specie lamentavano altresì che la persona interessata non era stata informata delle misure di sorveglianza e, al termine di tali misure, non poteva adire i tribunali.

In questo caso la Corte ha deliberato che seppure il rischio di sorveglianza interferiva con la libertà di comunicazione fra gli utenti di servizi postali e di telecomunicazione, erano tuttavia state attuate garanzie sufficienti contro eventuali abusi in merito, e che altresì la legislazione

240 _{Corte EDU, Khelili c. Svizzera, n. 16188/07, 18 ottobre 2011.}

241 _{Si veda il BOLLETTINO DI INFORMAZIONE SULLA GIURISPRUDENZA DELLE CORTI}