Le prime leggi di protezione dei dati personali in Europa

Nessuna Carta costituzionale europea dei primi anni successivi alla Seconda Guerra Mondiale aveva provveduto ad inserire, tra i diritti fondamentali, quello alla protezione dei dati personali, quale diritto autonomo, distinto e separato dai diritti alla riservatezza e al rispetto della vita privata che, a differenza del primo, sono stati oggetto di riconoscimento di specifica tutela, a cominciare dalla CEDU62_.

Tanto, perché le Costituzioni dell’immediato dopoguerra, elaborate da una classe giuridica e politica di primissima qualità, che aveva sofferto le persecuzioni e gli abusi ad opera del precedente regime totalitario, hanno manifestato un interesse maggiore verso i valori della democrazia e un legame più profondo con la previsione di ogni possibile forma di tutela di quelli, sottovalutando o quanto meno non manifestando un’adeguata consapevolezza del ruolo e degli effetti, altamente dirompenti, che le nuove tecnologie legate all’informatica avrebbero avuto sui fondamentali diritti e libertà della persona63_.

Nel contesto europeo, pertanto, la consapevolezza della necessità di una normativa specifica a protezione dei dati personali, sganciata dal diritto alla riservatezza e da quello al rispetto della dignità umana, è mancata per lungo tempo anche perché la tecnologia, per altrettanto lungo periodo, è stata percepita come uno strumento, per alcuni versi anche utile e non come un elemento capace di condizionare le modalità di esercizio dei diritti o

62 _{Convenzione europea dei Diritti dell’Uomo (CEDU), art. 8: «Ogni persona ha diritto al rispetto della}

sua vita privata e familiare, del suo domicilio e della sua corrispondenza. Non può esservi ingerenza di un’autorità pubblica nell’esercizio di tale diritto a meno che, tale ingerenza sia prevista dalla legge e costituisca una misura che, in una società democratica, è necessaria per la sicurezza nazionale, per la pubblica sicurezza, per il benessere economico del Paese, per la difesa dell’ordine e per la prevenzione dei reati, per la protezione della salute o della morale o per la protezione dei diritti e delle libertà altrui».

63 _{Sul tema, uno degli autori che nella letteratura giuridica italiana ha manifestato particolare attenzione, è} stato S. RODOTÀ, Tecnologie e diritti, Bologna, 1995; ID., Tecnopolitica: la democrazia e le nuove tecnologie delle comunicazioni, Bari, 2004. Più recente e con un approccio più filosofico: E. SEVERINO, Democrazia, tecnica e capitalismo, Brescia, 2009.

53

persino di comportare la nascita di nuovi diritti, idonei a regolamentare una pacifica ed equilibrata convivenza tra tecnica e democrazia.

Nella stessa direzione hanno operato i padri costituenti italiani, i quali, non avendo per tempo percepito la portata e le conseguenze che le innovazioni tecnologiche, in particolare quelle legate all’archiviazione e al trattamento automatizzato dei dati personali, avrebbero comportato, non hanno riportato nella Carta costituzionale alcun riferimento, diretto o indiretto, alla necessità di prevedere forme di tutela per i dati inerenti alla persona, limitandosi alla previsione espressa delle libertà d’informazione e di stampa. Anche la Convenzione europea dei diritti dell’uomo, elaborata dal Consiglio d’Europa nel 1950 ed entrata in vigore nel 1953, non dedicava alla protezione dei dati personali una normativa specifica, facendo rientrare quell’esigenza nell’art. 8 che, garantendo il rispetto della vita privata e familiare, assorbiva il diritto alla protezione dei dati personali, prevedendo una serie di restrizioni.

La veloce evoluzione delle tecnologie applicate all’informazione ha determinato, intorno agli anni ’60, un crescente bisogno di norme, più precise e dettagliate, finalizzate alla tutela delle persone e alla protezione dei loro dati, in assenza delle quali, il Comitato dei Ministri del Consiglio d’Europa, a metà degli anni ’70, ha adottato varie risoluzioni, in quella materia, facendo riferimento proprio all’art. 8 CEDU.

La stessa giurisprudenza della Corte EDU, istituita nel 1959 con il compito di valutare e decidere sulle denunce presentate da singoli individui, gruppi, ONG o persone giuridiche che avessero lamentato violazioni della Convenzione, più volte si è trovata ad affrontare il tema della protezione dei dati, trattando per la maggior parte casi riguardanti presunte violazioni nel campo delle intercettazioni delle comunicazioni64_{, forme di sorveglianza di}

massa65_{, violazioni di norme inerenti la conservazione dei dati personali da parte delle}

autorità pubbliche66_.

64 _{Corte eur. dir. uomo, sentenza del 6 settembre 1978, Klass e altri c.Germania, serie A nº 28, pp. 23-25,} 50, 54 e 55, in Quaderni eur., 2015, 71; Corte eur. dir. uomo, sentenza 2 agosto 1984, Malone c. Regno

Unito in Riv. Dir. Internaz., 1986, 838; Corte eur. dir. uomo, sentenza, 3 aprile 2007 Copland c. Regno Unito.

65_{; Corte eur. dir. uomo, sentenza, 3 aprile 2007 Copland c. Regno Unito, in cui si tratta di dati raccolti} attraverso la sorveglianza dell’uso che una persona fa di Internet, ivi compreso le e-mail; Corte eur. dir. uomo sentenza del 2 settembre 2010, Uzun/Germania, in www.osservatoriocedu.eu, in cui la Corte decide se la sorveglianza via GPS compiuta dalle autorità investigative interferisca o meno nel diritto del ricorrente al rispetto della propria vita privata.

66 _{Corte eur. dir. uomo, sentenza del26 marzo 1987, Leander/Svezia in Rep. Giur. It., 2008; Corte eur. dir.} uomo, sentenza del 4 dicembre 2008, S. & Marper/Regno Unito, in www.biodiritto.org, in cui due cittadini inglesi, accusati di aver commesso alcune fattispecie di reato, venivano sottoposti a prelievo coattivo di

54

In tutte le sue pronunce, la Corte ha avuto modo di precisare che l’art. 8 CEDU, in assenza di altre e più specifiche norme, non solo obbliga gli Stati ad astenersi da qualsiasi azione che possa violare quel diritto espressamente previsto dalla Convenzione, ma impone loro l’obbligo di garantire attivamente l’effettivo rispetto della vita privata, proteggendo gli individui dagli abusi che possono accompagnare la raccolta e il trattamento dei dati personali, imponendo il rispetto dei principi di correttezza e liceità nella fase della raccolta e del successivo trattamento, la destinazione dei dati ad un uso compatibile con la raccolta, la loro archiviazione per scopi specifici e legittimi e la durata della conservazione, limitata al tempo necessario relativo alle finalità della raccolta stessa. Precorrendo i tempi, vietava altresì il trattamento dei dati sensibili, come quelli inerenti la razza, le opinioni politiche, la salute, la religione, l’orientamento sessuale o i precedenti giudiziari dell’individuo e nel contempo riconosceva all’interessato il diritto ad essere informato del trattamento e della conservazione di informazioni e dati relativi alla sua persona, oltre a quello di chiederne, se del caso, la rettifica.

Quelle stesse esigenze che hanno giustificato gli interventi del Comitato dei Ministri del Consiglio d’Europa e della Corte EDU, hanno portato molti degli Stati nazionali a dotarsi di numerose leggi di protezione dei dati personali, in assenza dell’intervento univoco del Legislatore europeo, con un aggravio dei problemi causati dalla difficoltà di una reciproca compatibilità, o di vera e propria confliggenza, tra le varie legislazioni nazionali.

Spinto dalle necessità di cui sopra, agli inizi degli anni ’80 del secolo scorso, si assisteva finalmente ad un nuovo intervento del Legislatore europeo, in particolare del Consiglio d’Europa, che il 28 gennaio 1981, a Strasburgo, adottava la Convenzione n. 108, relativa alla ‘Protezione delle persone rispetto al trattamento automatizzato di dati di carattere personale67_.

campioni biologici per la profilazione genetica, con conseguente storage permanente dei dati acquisiti nel database nazionale. A seguito del riconoscimento della loro innocenza i due chiedevano ripetutamente, con esito negativo, la cancellazione dei dati dai database nazionali. Adita la CEDU, questa si è pronunciata in merito ritenendo “incompatibili con l’art. 8 della Convenzione le modalità di conservazione di campioni e dati previste dal National DNA Database del Regno Unito” e condannando lo stato inglese in quanto la legislazione statale che ammette la conservazione illimitata di dati anche di cittadini innocenti “era lesiva del diritto alla vita privata dei ricorrenti e non rispettava lo standard di proporzionalità richiesto, superando il margine di apprezzamento statale ammesso”.

67 _{Convenzione 108/1981, art. 1: «Scopo della presente Convenzione è quello di garantire, sul territorio di}

ogni Parte, ad ogni persona fisica, qualunque siano la sua cittadinanza o residenza, il rispetto dei diritti e delle libertà fondamentali, ed in particolare del diritto alla vita privata, nei confronti dell’elaborazione automatizzata dei dati di carattere personale che la riguardano ("protezione dei dati")».

55

I tempi richiedevano una normativa europea che, in maniera uniforme, regolasse un fenomeno altamente pervasivo della vita privata, e la Convenzione 108, che sicuramente rappresenta un salto di qualità rispetto all’art. 8 CEDU, rispondeva perfettamente a quell’esigenza68_{, avendo consentito la raccolta e il trattamento dei dati solo in presenza}

di basi giuridiche che lo avessero autorizzato, di scopi specifici e legittimi che lo giustificassero e della loro destinazione ad un uso compatibile con la finalità per la quale erano stati raccolti.

Richiedeva altresì, la necessità che i dati raccolti fossero corretti, pertinenti allo scopo e non eccessivi rispetto alla finalità perseguita, riconoscendo il diritto all’interessato di chiederne la rettifica se inesatti e di ottenere informazioni in merito a quali dati fossero conservati.

Vietava il trattamento dei dati sensibili.

In merito al trasferimento delle informazioni raccolte, conteneva un principio opposto a quello che poi sarebbe stato introdotto con la Direttiva 95/46 CE, ossia quello della loro circolazione senza necessità di autorizzazioni69_.

68 _{Sul tema, particolarmente importanti sono gli art. 5 e 6 della Convenzione 108 del 1981.}

Art 5:« I dati a carattere personale oggetto di un’elaborazione automatizzata sono: a) ottenuti e elaborati

in modo lecito e corretto; b) registrati per scopi determinati e legittimi ed impiegati in una maniera non incompatibile con detti fini; c) adeguati, pertinenti e non eccessivi riguardo ai fini per i quali vengono registrati; d) esatti e, se necessario, aggiornati; e) conservati in una forma che consenta l’identificazione delle persone interessate per una durata non superiore a quella necessaria ai fini per i quali sono registrati».

Art 6: «I dati di carattere personale indicanti l’origine razziale, le opinioni politiche, le convinzioni

religiose o altri credo, nonché i dati a carattere personale relativi allo stato di salute ed alla vita sessuale, non possono essere elaborati automaticamente a meno che il diritto interno non preveda garanzia adatte. Lo stesso dicasi dei dati di carattere personale relativi alle condanne penali».

69 _{Al contrario, l’art. 25 Dir. 95/46 CE, prevede che gli Stati membri devono assicurare che i trasferimenti} di dati personali, che siano stati oggetto di trattamento o siano destinati ad esserlo, verso un Paese terzo, possano avere luogo solo se il Paese terzo garantisce un livello adeguato di protezione. Insomma, la Convenzione 108 del 1981 e la Direttiva 95/46 CE muovono da due principi opposti: la prima, che il trasferimento «non può essere impedito salvo che…», la seconda il trasferimento «non può essere concesso

salvo che…». La cosa non è priva di interesse perché indica con tutta evidenza che la Convenzione 108 si

collochi in una prospettiva che privilegia la libera circolazione dei dati e dei casellari, in coerenza con la lotta che essa fa (e si è ancora nel 1981) all’impostazione di altri Paesi che, considerando i casellari e gli archivi soprattutto come strumenti di controllo sui cittadini, ne vietavano la circolazione tra gli Stati. La Direttiva CE, invece, muove da una visione della Comunità europea come una “fortezza”, caratterizzata anche dalla specifico alto livello di protezione dei dati personali e dunque vieta il loro trasferimento all’estero se non è garantito un analogo livello di protezione. Inoltre impone quest’obbligo a tutti gli Stati membri proprio perché si concepisce come una Comunità e dunque come un’area che garantisce a tutti i cittadini in essa residenti, un medesimo alto livello di protezione dei dati personali. In realtà la norma l’art. 25 della Direttiva CE è congegnato in modo da creare una sorta di barriera immateriale ai confini della Comunità, finalizzata di fatto anche a proteggere le sue attività economiche e produttive da ingerenze concorrenziali di imprese operanti in Paesi che non assicurino eguali tutele.

56

Nata dall’esigenza di una normativa europea autonoma e soprattutto uniforme, diretta a predisporre forme di tutela effettiva delle persone dalle aggressioni alla loro vita privata ad opera delle nuove tecnologie informatiche e, pur traendo ispirazione dall’art. 8 CEDU, rappresentava un salto di qualità rispetto a quello, tanto da aver portato, e non solo i giuristi, ad affermare che il lungo cammino, cominciato in Europa dagli Stati totalitari, che hanno usato le innovazioni tecnologiche per aumentare i controlli sui propri cittadini, si sia concluso proprio con questa Convenzione, adottata quando già alcuni Paesi si erano dotati di proprie leggi in materia di trattamento automatizzato dei dati personali.

Il valore della Convenzione, pertanto, era altissimo: chiudeva una fase storica, portando oltre ogni limite la sfida nei confronti di chi raccoglie e tratta informazioni archiviate in banche dati automatizzate, senza il rispetto delle garanzie definite dalla Convenzione, anticipando, per alcuni versi, il quadro concettuale che avrebbe caratterizzato la successiva legislazione europea.