La protezione dei dati personali come diritto fondamentale nella legislazione europea: le

legislazione europea: le Direttive ed il nuovo Regolamento UE 679/2016 L’interesse da parte dell’Unione Europea a garantire un’adeguata protezione dei dati personali risale agli anni ’70; è con la Comunicazione “Community policy on data processing”94 _{del 1973 che la Commissione introduce il tema della protezione dei dati}

nelle politiche della Comunità Europea, come risposta alla pratica sempre più frequente di immissione e controllo dei dati sui computer95_{. La Commissione considerava il tema}

di importanza costituzionale, e richiamava gli Stati ad un ampio dibattito e ad audizioni pubbliche sull’argomento96_{. Con la raccomandazione del 1981, per la prima volta la}

Commissione ergeva la tutela dei dati di carattere personale a diritto fondamentale della

92 _{M. Maggiolino, M. Lillà Montagnani (a cura di), Marketing e Diritto, cit.}

93 _{«In contexts where privacy is salient, trust promotes positive marketing outcomes that include consumer} willingness to disclose, purchase intent, click-through, and advertising acceptance» cit. K. D. MARTIN, P. E. MURPHY, The role of data privacy in marketing, in Journal of the Academy of Marketing Science, n. 1, 2017.

94 _{SEC(73) 4300 Final, 21 novembre 1973, Community policy on data processing, Comunicazione della} Commissione al Consiglio.

95 _{Cfr. Il testo G. FUSTER, The emergence of personal data protection as a fundamental right of the} European Union, Springer, 2014, che ripercorre tutte le tappe che hanno portato all’assetto normativo vigente.

96 _{«Several features of the 173 Communication announced already characteristic features of later EU} developments: first and foremost, it is noticeable that the main argument advanced by the European Commission to call for action was the necessity to avoid the surfacing of divergent, or conflicting, national laws. Second it is also noteworthy that the Commission underlined the “constitutional importance” of the issue – despite the fact that by 1973 there were no constitutional provisions on data processing in any European country (yet)» cit. G. FUSTER, The emergence of personal data protection as a fundamental right of the European Union, cit.

108

persona97_{, con ciò dando il via all’intensificarsi dei lavori delle istituzioni europee per la}

preparazione di un’adeguata normativa a livello europeo. Un passo decisivo in questo senso è stato fatto con la Comunicazione della Commissione del 1990 in cui veniva sollecitato un atto legislativo comunitario relativo alla protezione delle persone relativamente al trattamento dei dati personali, in quanto la diversità degli approcci nazionali al tema e l’assenza di un sistema comune costituivano «un ostacolo al completamento del mercato interno»98_{. Alla mancanza di protezione dei diritti}

fondamentali della persona, tra cui quello alla vita privata (privacy), conseguiva infatti una limitazione del flusso transfrontaliero dei dati tra gli Stati, elemento diventato indispensabile per le attività delle imprese, degli organismi di ricerca e per le amministrazioni degli Stati Membri. La Comunicazione del 1990, consistente in un insieme di proposte, tra cui una proposta di direttiva del Consiglio concernente la protezione delle persone relativamente al trattamento dei dati, poneva l’attenzione su due elementi, diventati poi la base dei successivi atti legislativi in materia: il carattere fondamentale del diritto e la dimensione del mercato interno99_{. L’obiettivo alla base della}

proposta riguardava la protezione della vita privata degli individui, diritto garantito dall’art. 8 della convenzione per la salvaguardia dei diritti dell’uomo e delle libertà fondamentali (CEDU) e riconosciuto dai principi generali del diritto comunitario100_.

L’atto finale vide la luce il 24 ottobre del 1995, nella forma di direttiva CE n. 46, avente un duplice oggetto101_{: assicurare che gli Stati proteggessero i diritti fondamentali e le}

libertà degli individui, in particolare quello alla vita privata, ma allo stesso tempo vietare qualsiasi tipo di restrizione alla libera circolazione dei dati personali tra gli Stati membri102_{; essa costituisce il risultato di una ricerca di equilibrio tra esigenze diverse,}

quali la libertà e l’identità personale dei singoli individui e le istanze del mercato,

97 _{Seppur con qualche disguido sulla traduzione.} 98 _{Par. 6, COM(90) 314.}

99 _{G. FUSTER, The emergence of personal data protection as a fundamental right of the European Union,} cit.

100 _{Considerando n. 8, Proposta di direttiva del Consiglio concernente la protezione delle persone} relativamente al trattamento dei dati personali COM(90) 314 def. — SYN 287.

101 _{G. FUSTER, The emergence of personal data protection as a fundamental right of the European Union,} cit.

109

costituendo il primo intervento armonizzatore in materia di dati personali, susseguito da altri atti normativi volti a rafforzare la protezione a livello comunitario103_.

Dunque, fino al 2016 il quadro giuridico di riferimento a livello europeo in tema di protezione dei dati personali era costituito principalmente da:

- Direttiva 95/46/CE del Parlamento europeo e del Consiglio del 24 ottobre 1995 relativa alla tutela delle persone fisiche con riguardo al trattamento dei dati personali, nonché alla libera circolazione di tali dati;

- Direttiva 97/66/CE del Parlamento europeo e del Consiglio del 15 dicembre 1997 sul trattamento dei dati personali e sulla tutela della vita privata nel settore delle telecomunicazioni;

- Direttiva 2002/58/CE del Parlamento europeo e del Consiglio del 12 luglio 2002 relativa al trattamento dei dati personali e alla tutela della vita privata del settore delle comunicazioni elettroniche (Direttiva e-Privacy), modificata dalla Direttiva 2009/136/CE del Parlamento europeo e del Consiglio del 25 novembre 2009. In Italia, tali disposizioni sono state recepite in numerose norme nazionali che con l’adozione del D. Lgs. 196/2003 sono state accorpate in un testo unico denominato “Codice in materia di protezione dei dati personali”, comunemente noto come “Codice della Privacy”. Ma l’assetto normativo europeo ha subìto una svolta nel maggio 2016 grazie alla pubblicazione sulla Gazzetta Ufficiale dell’Unione europea del nuovo regolamento europeo in materia di protezione dei dati personali, il regolamento (UE) 2016/679 del Parlamento europeo e del Consiglio, del 27 aprile 2016, relativo alla protezione delle persone fisiche con riguardo al trattamento dei dati personali, nonché alla libera circolazione di tali dati (di seguito “Regolamento”).

Come evidenziato nel preambolo del Regolamento, l’adozione della direttiva 95/46/CE non ha impedito la frammentazione dell’applicazione della protezione dei dati personali nell’UE, con ciò determinando una situazione di incertezza e di divergenza tra le normative di recepimento degli Stati membri104_{; la scelta da parte delle istituzioni europee}

103 _{Sul processo di costituzionalizzazione del diritto alla privacy in Europa, cfr. O. POLLICINO, M.} BASSINI, Trattamento dei dati personali e ordine di protezione europeo: alla ricerca di un punto di equilibrio, in M. Ceresa-Gastaldo-H. Belluta (a cura di), L'ordine di protezione europeo. La tutela delle vittime di reato come motore della cooperazione giudiziaria, Giuffrè, 2016. A livello nazionale, cfr. P. COSTANZO, La dimensione costituzionale della privacy, in G. Ferrari (a cura di), La legge sulla privacy dieci anni dopo, Egea, 2008.

110

di regolare la materia ricorrendo ad uno strumento giuridico con effetti diretti in tutti gli Stati membri è determinata dalla necessità di «assicurare un livello coerente di protezione delle persone fisiche in tutta l'Unione e prevenire disparità che possono ostacolare la libera circolazione dei dati personali nel mercato interno». L’adozione di un regolamento garantisce «certezza del diritto e trasparenza agli operatori economici», oltre ad offrire alle persone fisiche in tutti gli Stati membri «il medesimo livello di diritti azionabili e di obblighi e responsabilità dei titolari del trattamento e dei responsabili del trattamento», garantendo un monitoraggio coerente del trattamento dei dati personali105_{. Al centro della}

riforma si pone l’obiettivo di rafforzare la protezione dei dati personali, con una forte attenzione alla dimensione personalistica e individuale; tale obiettivo è stato tradotto in diverse novità, sia dal punto di vista dei diritti degli interessati, che nella prospettiva dei titolari e responsabili del trattamento106_.

Come previsto nelle disposizioni finali, il Regolamento dovrà essere applicato dal maggio 2018 ed abroga la direttiva 95/46/CE. La direttiva e-Privacy permane invece come fonte principale con riguardo al trattamento dei dati personali nelle comunicazioni elettroniche, fino all’entrata in vigore di un nuovo regolamento in materia. Sulla base degli artt. 16 e 114 del Trattato sul funzionamento dell’Unione Europea, è stata presentata infatti una proposta di regolamento, mirante a «tutelare le comunicazioni e i relativi interessi legittimi delle persone giuridiche»107_{. Essa si pone come lex specialis}

nell’ambito del regolamento generale, precisando ed integrando le norme generali sulla protezione dei dati con riferimento alle comunicazioni elettroniche.

4.2. La regola del consenso quale fondamento della disciplina delle