La protezione dei dati personali è un tema su cui vi è una attenzione legislativa sin da anni in cui l’attuale sviluppo tecnologico e le problematiche annesse non erano nemmeno immaginabili. Possiamo trovare una base di questo lungo processo normativo nell’art. 12 della Dichiarazione Universale dei Diritti dell’Uomo del 1948 “Nessun individuo potrà essere sottoposto a interferenze arbitrarie nella sua vita privata, nella sua famiglia, nella sua casa, nella sua corrispondenza, né a lesione del
60 M. Abrams, The Origins of Personal Data and its Implications for Governments, The Information Accountability Foundation, http://informationaccountability.org/wp-content/uploads/Data-Origins- Abrams.pdf, ultimo accesso: 28/12/2018.
69
suo onore e della sua reputazione. Ogni individuo ha diritto a essere tutelato dalla Legge contro tali interferenze o lesioni”. Sebbene nella dichiarazione ci si riferisca ancora a quelli che siamo abituati a definire “dati” come informazioni rientranti nella “corrispondenza”, il principio sotteso riguarda qualunque informazione necessiti una tutela dal punto di vista della riservatezza, potendo essa riguardare aspetti personali e privati dell’interessato. Nel 1950 la Convenzione Europea dei Diritti dell’Uomo, all’art. 8, rubricato “Diritto alla vita privata e familiare”, al comma 1, ritorna sull’aspetto del diritto alla tutela della corrispondenza, salvo in casi di sicurezza nazionale, di tutela del benessere economico del Paese, di sicurezza dell’ordine e della prevenzione dei reati, di protezione della salute o della morale, di protezione dei diritti o delle libertà altrui.
Il primo Paese ad adottare una legislazione in materia di data protection è stata la Svezia nel 197361. Il “Data Act” svedese, nonostante fosse sorto in un Paese tra i primi
a sfruttare l’informatizzazione nei processi amministrativi, riguardava principalmente la tutela dei dati personali nei tradizionali registri elettronici. L’atto non conteneva previsioni e linee guida riguardo a come e quando i dati dovrebbero essere processati e da esso possiamo difficilmente trarre quindi dei principi guida per la normativa futura. Quello che l’atto prevedeva era la necessità di un consenso a priori di una autorità, il “Data inspection Board”, in grado di conferire l’autorizzazione necessaria alla registrazione di informazioni personali62.
Successivamente, nel 1977, anche nella Repubblica Federale di Germania si ha un provvedimento in materia di protezione dei dati personali. Il German Federal Data
Protection Act (Bundesdatenschutzgesetz – BDSG) compie un nuovo passo in avanti
rispetto alle precedenti azioni normative in Europa. Nella sezione 1 dell’atto si Legge come lo scopo della protezione sia quello di mettere in sicurezza le informazioni a carattere personale da possibili abusi per scongiurare danni agli interessi individuali ad
61 E. Kosta, Consent in European Data Protection Law, Martinus Nijhoff Publishers, Leiden, Boston, 2013, pag. 34.
62 S. Oman, Implementing Data Protection in Law, Stockholm Institute for Scandinavian Law, 2010, pag. 391.
70
esse sottesi63. L’atto non si concentra su una tutela del dato in quanto tale, come un
bene necessitante di protezione, ma permane una visione strumentale finalizzata alla tutela della privacy dell’individuo. L’attività di processare e trattare dati personali viene descritta in termini di libertà negativa nella sezione 3 dell’atto, specificando esso come l’attività di processare dati personali sia di per sé proibita, salvo nei casi previsti dall’atto stesso o da altre future normative in materia. Il BDSG offre una definizione di dati personali, descrivendoli come informazioni personali o riguardanti circostanze materiali circa un soggetto identificato o identificabile. Il provvedimento non adopera distinzioni fra i dati più accessibili, quali ad esempio il nome, ed i dati maggiormente sensibili, come ad esempio il credo religioso. Dalla descrizione offerta di dati personali appare implicito come il provvedimento consenta qualsiasi trattamento di dati anonimizzati o aggregati, non essendo essi riferibili agli interessi di una specifica persona, così come non viene prevista protezione per i dati riguardanti una persona giuridica. L’atto prevede inoltre che la raccolta di dati da parte dei soggetti governativi sia legittima solo in presenza di un determinato fine pubblico, vietando una raccolta di dati preventiva per scopi ed incarichi futuri e incerti, così come la Sezione 10 prevede che la trasmissione tra enti di materiale informativo protetto dal BDSG sia consentita solo qualora l’ente ricevente necessiti di tali dati, allo stesso modo, per scopi immediati e predefiniti. Similmente, qualora un ente trasferisca i dati in proprio possesso a terze parti, ciò sarà legittimo solo nei casi in cui il trasferimento sia necessario per il raggiungimento degli scopi prefissati dall’ente (Sezione 9).
Altro momento importante per lo sviluppo della normativa in materia di protezione dei dati personali si ha nel 1980 con la pubblicazione da parte dell’OCSE delle linee guida per la protezione della privacy e il flusso transfrontaliero dei dati. La finalità di questo Documento, come espresso nella prima parte, è di fornire delle indicazioni che comprendano i vari possibili ambiti in cui si possano avere violazioni, sia che si tratti di settore pubblico o privato, sia che la violazione riguardi le modalità di trattamento, la
63 J. Riccardi, The German Federal Data Protection Act of 1977: Protecting the right to Privacy?, Boston College International and Comparative Law Review, Volume 6, issue 1, article 8, 1983, pagg. 243 – 256.
71
natura dei dati, o il contesto di utilizzo64. Il Documento fornisce 8 linee guida definite
“Basic Principles of National Application” volte a definire i confini di una attività di trattamento legittima: il principio di minimizzazione dei dati (collection limitation principle), il principio di qualità dei dati (data quality principle), la limitazione della finalità (purpose specification principle), il principio di limitazione dell’uso (use limitation principle), il principio di sicurezza del trattamento (security safeguards principle), il principio di apertura verso sviluppi e innovazioni nelle modalità di trattamento, nel rispetto dei dati personali (openess principle), il principio di accesso e di partecipazione (individual participation principle) ed il principio di responsabilità (accountability principle).
È necessario però entrare nel dettaglio dei principi fondanti un legittimo trattamento dei dati personali ed analizzarne l’evoluzione fino all’approvazione del Regolamento Generale sulla Protezione dei Dati.