La portata unificatrice del regolamento n 679/2016 A livello comunitario, il diritto alla protezione dei dati personali ha

Fiore Fontanarosa

2. La portata unificatrice del regolamento n 679/2016 A livello comunitario, il diritto alla protezione dei dati personali ha

fatto il suo ingresso con la direttiva n. 46/1995, la quale ha adottato un modello di disciplina in virtù del quale la protezione dei dati è funzionale alla garanzia della privacy2_{. Tuttavia, la direttiva, a 20} anni dalla sua attuazione, non era più in grado di fornire il livello di armonizzazione richiesto tra gli Stati membri dell’UE, né l’efficienza nel garantire il diritto alla protezione dei dati personali nell’attuale contesto digitale. Ecco perché la Commissione europea ha deciso di approntare una riforma fondamentale del quadro giuridico di protezione dei dati nell’ambito comunitario.

Il GDPR rappresenta una importante opera di riorganizzazione e di riformulazione del diritto europeo sulla protezione dei dati personali a un livello di generalizzazione adeguato a un testo norma- tivo che mira ad essere il fulcro della legislazione comunitaria in materia3_{. Se si vogliono comprendere lo spirito e la finalità del re-}

2_{G. González Fuster-S. Gutwirth, Opening up personal data protection: A con-} ceptual Controversy, in Computer law & security review, 2013, 29, 535.

3_{F. Piraino, Il regolamento generale sulla protezione dei dati personali e i diritti} dell’interessato, in Nuove leggi civili commentate, 2017, 375.

L’attuazione del Regolamento europeo

golamento de quo è necessario “leggere tra le righe” dei consideran- do. Utile, nell’ambito del discorso che si sta svolgendo, è l’analisi del considerando n. 4, secondo cui il diritto alla protezione dei dati personali non è un diritto assoluto e «deve essere considerato alla luce della sua funzione sociale»; da ciò deriva che, nell’ottica del bilanciamento tra l’interesse della persona e il profilo della circolazione dei dati, il GDPR sarebbe ‘sbilanciato’ in favore di quest’ultimo, il che sarebbe confermato dalla finalità dichiarata di favorire un clima di fiducia per lo sviluppo dell’economia digitale in tutto il mercato interno4_.

Venendo al tema della unificazione della disciplina in materia di tutela dei dati personali, l’utilizzo di un regolamento, in luogo della direttiva, è significativo del mutamento di approccio del legislatore europeo, il quale ha avvertito la necessità di sostituire l’obiettivo ori- ginario dell’armonizzazione con quello, certamente più ambizioso, dell’uniformazione, sebbene non manchino incisivi rinvii ai legisla- tori nazionali5_{. Sotto questo profilo, è indubbio che lo strumento del} regolamento sia funzionale a conseguire un elevato livello di unificazione, sebbene la disciplina preveda, in taluni casi, un certo mar- gine di manovra degli Stati membri che, secondo il considerando n. 10 del regolamento, «dovrebbero rimanere liberi di mantenere o introdurre norme nazionali al fine di specificare ulteriormente l’applicazione del presente regolamento», né si esclude che «il diritto degli Stati membri stabilisca le condizioni per specifiche situazio- ni di trattamento, anche determinando con maggiore precisione le condizioni alle quali il trattamento di dati personali è lecito».

Dunque, il regolamento lascia margini consistenti alle autonome scelte dei diritti nazionali. In primo luogo, si pensi alla ‘delega’ ad individuare le ipotesi di trattamenti fondati sulla necessità di adem- piere a un obbligo legale al quale è assoggettato il titolare (art. 6, par. 1, lett. c), reg. n. 679/2016). In secondo luogo, si pensi alle ipotesi di trattamenti necessari per l’esecuzione di un compito di interesse pubblico o connesso all’esercizio di pubblici poteri di cui è investito

4_{A. Iuliani, Note minime in tema di trattamento dei dati personali, in Europa e} diritto privato, 2018, 306.

5_{A. Iuliani, op. cit., 304 e s.}

Regolare la tecnologia: il Reg. UE 2016/679

192

il titolare (art. 6, par. 1, lett. e), reg. n. 679/2016)6_{. Inoltre, si pensi} all’art. 9, par. 4, il quale consente ai diritti nazionali di mantenere o di introdurre ulteriori condizioni, comprese limitazioni, per quanto concerne il trattamento dei dati genetici, biometrici e relativi alla salute. Infine, sempre rimanendo in materia di dati ‘sensibili’, tra le fattispecie di liceità del trattamento di quest’ultimi ve ne è una che compariva già nella dir. n. 46/1995, sebbene sotto forma di possibilità rimessa agli Stati membri, vale a dire quella del trattamento necessario per motivi di interesse pubblico rilevante sulla base del diritto dell’Unione o degli Stati membri, che deve essere proporzionato alla finalità perseguita, rispettare l’essenza del diritto alla protezione dei dati e prevedere misure appropriate e specifiche per tutelare i diritti fondamentali e gli interessi dell’interessato. Secondo alcuni questa previsione normativa cozzerebbe con lo spirito uniformatore del regolamento, rappresentando una fonte di potenziale frammen- tazione del quadro giuridico europeo, poiché il concetto di interesse pubblico rilevante è rimesso alla valutazione degli Stati membri, con la conseguenza che potrebbero registrarsi interpretazioni divergen- ti nei vari Paesi membri7_{. Del resto, la stessa proporzionalità alla} finalità perseguita, ovvero il rispetto dell’essenza del diritto costitu- iscono concetti che ben si prestano ad interpretazioni ‘autarchiche’ da parte degli Stati comunitari, il che potrebbe produrre contenziosi con la Commissione europea in ordine alla corretta applicazione del regolamento8_.

Oltre che per le numerose ‘deroghe’ previste in favore della disciplina nazionale, il GDPR è stato criticato dai primi commentatori anche sotto il profilo definitorio: basti pensare che la nuova disciplina non precisa ulteriormente la nozione di dati personali, che rimane piuttosto ambigua se si fa riferimento soltanto al testo dispositivo, laddove indicazioni interpretative possono essere rinvenute nel Preambolo, nonostante quest’ultimo sia privo di valore giuridico vincolante9_.

6_{F. Piraino, op. cit., 372.}

7_{M. Granieri, Il trattamento di categorie particolari di dati personali nel Reg. UE} 2016/679, in Nuove leggi civili commentate, 2017, 174.

8_{In tal senso M. Granieri, op. loc. cit.}

9_{M.G. Stanzione, Il regolamento europeo sulla privacy: origini e ambito di appli-} cazione, in Europa e diritto privato, 2016, 1260.

L’attuazione del Regolamento europeo

Le considerazioni finora espresse inducono quindi a riflettere cir- ca la reale portata unificatrice del regolamento, facendo sorgere il dubbio che il legislatore comunitario abbia voluto porre l’accento, non tanto sull’obiettivo dell’unificazione (o armonizzazione totale) del settore, quanto piuttosto su quello di apprestare garanzie volte a proteggere, quindi in un certo senso a favorire, la libera circolazione dei dati personali. Nonostante le criticità appena esposte in ordine alla questione dell’uniformazione giuridica, alcuni ritengono che il “cambio di passo” delle istituzioni comunitarie, riscontrabile in subiecta materia, non riguardi tanto l’aspetto ‘sostanziale’, quanto quello ‘formale’, essendo cioè rappresentato proprio dal ‘passaggio’ dallo strumento della direttiva a quello del regolamento10_{. Tuttavia,} anche dal punto di vista contenutistico una parte della dottrina, par- ticolarmente quella straniera, ritiene che il GDPR abbia una forte portata unificatrice, poiché esso regolerebbe, in maniera uniforme, le questioni più importanti, lasciando dei poteri di specificazione, ‘limitati’ ed ‘eccezionali’, agli Stati, i quali devono comunque sempre giustificare le previsioni normative eventualmente introdotte nell’ordinamento interno che si distaccano dall’obiettivo comunitario, quest’ultimo rappresentato dal raggiungimento di un quadro giuridico pienamente armonizzato11_.

3. Divergenze giuridiche in tema di protezione dei

Nel documento La circolazione dei dati personali nella proposta di Direttiva UE sulla fornitura di contenuti digitali (pagine 191-194)