Dunque, i dati personali hanno ricevuto una tutela ancor più stringente e ampia a seguito dell’entrata in vigore del Trattato di Lisbona. Tre sono stati gli eventi che, con ordine, si andranno ad approfondire e che sono rappresentati dall’inserimento della tutela dei dati personali nei Trattati istitutivi, dall’entrata in vigore della Carta dei diritti fondamentali e del suo articolo 8 e dall’adozione e la successiva entrata in vigore della riforma UE sulla tutela dei dati personali.
In primo luogo, è opportuno rilevare che mai fino al 2009 la tutela dei dati personali era stata inserita nei Trattati istitutivi dell’Unione. Ciò è occorso appunto con la conclusione del Trattato di Lisbona, il quale ha fatto sì che si trovi traccia della protezione delle informazioni sia all’articolo 39 del Trattato sull’Unione europea, sia all’articolo 16 del Trattato sul funzionamento dell’Unione europea.
Ora, mentre per quanto concerne l’articolo 39 del Trattato sull’Unione europea508 questo estende la tutela dei dati personali prevista in altri settori, in particolare, all’uso dei dati nell’ambito del settore della politica estera e della sicurezza comune, l’articolo 16 TFUE prevede invece in modo esplicito e generico che «[o]gni
persona ha diritto alla protezione dei dati di carattere personale che la
507
Ibidem, pag. 54.
508 Trattato sull’Unione europea, (GU 2016 C 202), disponibile al sito http://eur-lex.europa.eu/legal-
riguardano». Al secondo paragrafo, la disposizione continua prevedendo le
procedure per l’adozione di norme relative alla materia qui in esame.
In secondo luogo, la Carta dei diritti fondamentali (già analizzata supra)509 ed entrata in vigore nel 2009, ha stabilito che «[o]gni persona ha diritto alla
protezione dei dati di carattere personale che la riguardano. Tali dati devono essere trattati secondo il principio di lealtà, per finalità determinate e in base al consenso della persona interessata o a un altro fondamento legittimo previsto dalla legge. Ogni persona ha il diritto di accedere ai dati raccolti che la riguardano e di ottenerne la rettifica. Il rispetto di tali regole è soggetto al controllo di un’autorità indipendente». La novità significativa a tal riguardo non sta tanto nel contenuto
della disposizione, bensì nel valore che solo in tempi recenti il diritto alla tutela dei dati personali ha finalmente ricevuto nell’ordinamento UE. Invero, attualmente il diritto alla tutela dei dati personali è stato elevato al livello più alto della gerarchia dei diritti, condividendo il vertice di importanza con il diritto alla dignità (analizzato nel primo capitolo), presente all’articolo 1 della medesima Carta, confermando un’evoluzione giuridica durata per più di quattro decenni510. Tuttavia, secondo
Rodotà, nonostante la suddetta Carta rappresenti una sostanziale ridefinizione dei principi costituenti l’Unione europea, essa non potrebbe fungere da punto di arrivo, dunque da mera sintesi dell’opera giurisprudenziale, normativa e dottrinale dei decenni precedenti la sua entrata in vigore, ma sarebbe piuttosto un punto di partenza per fare in modo che i diritti fondamentali in essa sanciti vengano maggiormente protetti e che venga loro conferito uno spazio di attuazione511; e così
dovrà essere pure per la tutela dei dati personali. L’originalità del documento sta nel fatto che tende a disfarsi delle precedenti gerarchie per crearne una di nuova, in cui i diritti fondamentali sono imprescindibili ed ostacolano il loro bilanciamento con altri diritti o valori512.
Infine, è dunque necessario affrontare l’analisi della riforma sulla tutela dei dati personali che, dopo anni di trattative, progetti di atti normativi e conseguenti modifiche, ha finalmente visto la luce e l’entrata in vigore nel 2016. In particolare, il “pacchetto” della riforma dei dati personali comprende due atti: da un lato, il
509 V. cap. II.IV. supra.
510 P. Hustinx, The reform of EU data protection: towards more effective and more consistent data
protection across the EU, cit., pag. 65.
511 S. Rodotà, Il diritto di avere diritti, Laterza, 2012, pagg. 31 segg. 512 Ibidem.
regolamento n. 2016/679513 che disciplina la raccolta e il trattamento di dati
personali delle persone fisiche e che è destinato a sostituire la direttiva 95/46 dal momento della sua applicazione ufficiale stabilita al 2018, e dall’altro lato dalla direttiva 2016/680 in materia di trattamento di informazioni a carattere personale a fini di investigazione, indagine, accertamento e perseguimento di reati514. Ai fini di
questa dissertazione sarà sufficiente considerare il primo degli atti summenzionati, più pertinente allo sviluppo della ricerca.
Sarà comunque conveniente premettere che da tempo si percepiva l’esigenza di novità legislative nel settore della privacy che fossero in grado di rispondere alle nuove domande o ai nuovi rischi della tecnologia, in quanto la direttiva 95/46, sebbene adottata proprio negli anni in cui il World Wide Web iniziava a diffondersi, non era in grado di reagire agli stimoli socio-economici esterni apportati dallo sviluppo delle tecnologie515. Infatti, le motivazioni principali che hanno portato il legislatore UE a puntare ad un rinnovamento consistente della normativa di settore, sono per la maggior parte collegate allo sviluppo che nei vent’anni di vita della direttiva 95/46 hanno subìto le tecnologie e al fatto che la medesima direttiva non fosse più adeguata a disciplinare le fattispecie che da queste potessero conseguire. Inoltre, lo strumento normativo scelto all’epoca, ossia la direttiva, aveva implicato che in tutti gli Stati membri le legislazioni in materia di tutela della privacy potessero essere significativamente diverse, nonostante vi fosse comunque l’obiettivo comune di far circolare liberamente i dati personali tra gli Stati membri, a certe condizioni e nell’alveo di determinate tutele minime. Dopo l’entrata in vigore e l’attuazione della direttiva 95/46, l’assetto normativo UE in materia di tutela della privacy, dunque, era piuttosto armonizzato, ma non ancora a sufficienza per garantire un perfetto funzionamento della libera circolazione dei dati, anche con riguardo alla realizzazione del mercato unico. Va da sé che lo strumento normativo
513
Regolamento (UE) 2016/679 del Parlamento europeo e del Consiglio, del 27 aprile 2016, relativo alla protezione delle persone fisiche con riguardo al trattamento dei dati personali, nonché alla libera circolazione di tali dati e che abroga la direttiva 95/46/CE (regolamento generale sulla protezione dei dati), GU L 119 del 4.5.2016.
514 Direttiva (UE) 2016/680 del Parlamento europeo e del Consiglio, del 27 aprile 2016, relativa alla
protezione delle persone fisiche con riguardo al trattamento dei dati personali da parte delle autorità competenti a fini di prevenzione, indagine, accertamento e perseguimento di reati o esecuzione di sanzioni penali, nonché alla libera circolazione di tali dati e che abroga la decisione quadro 2008/977/GAI del Consiglio, GU L 119 del 4.5.2016.
515
L.A. Bygrave, Data privacy law and the Internet: policy challenges, in N. Witzleb, D. Lindsay, M. Paterson, S. Rodrick (cur.), Emerging challenges in Privacy Law, Cambridge University Press, 2014, pag. 260.
scelto per la riforma della materia è il regolamento, vincolante per tutti gli Stati membri allo stesso modo ed in ogni sua parte. Infine, la riforma ha dovuto tener conto della rivoluzione dei diritti fondamentali occorsa nell’UE a partire dal 2009. Difatti, se in precedenza il diritto alla privacy risultava avere valore essenziale sulla base della giurisprudenza della Corte di giustizia, ciò (almeno teoricamente) lasciava comunque un maggiore margine di manovra per quanto riguarda la possibilità per i giudici o per i legislatori di comprimerlo a fronte di esigenze diverse. Dopo l’entrata in vigore della Carta dei diritti fondamentali, il diritto alla privacy e ai dati personali avrebbe necessariamente dovuto ricevere una tutela più efficace e gerarchicamente sovraordinata, poiché effettivamente riconosciuto come fondamentale516. Peraltro, secondo Albrecht, a dette motivazioni se ne
aggiungerebbero altre che consisterebbero nella necessità di introdurre un effetto extraterritoriale della normativa sulla privacy (così come già avviene per il diritto della concorrenza517), ma anche per tutelare la situazione dei responsabili del trattamento di dati personali e degli interessati (le persone fisiche identificate o identificabili cui i dati si riferiscono)518. Sotto il profilo economico, inoltre, la
differenza sussistente tra le legislazioni in materia di dati personali nei vari Stati membri, ancora perdurante nella vigenza della direttiva 95/46, avrebbe comportato una situazione in cui si determinava una sensibile distorsione della concorrenza tra le imprese che, utilizzando i dati personali, risultavano più favorite di altre assoggettate alla legge di uno Stato membro diverso519.
Dunque, alla luce di quanto sopra, appariva necessario predisporre un testo normativo che riprendesse certamente quanto di positivo era stato fatto nel passato520, ma che si spingesse oltre, anche oltre la necessità di garantire una tutela più armonizzata e identica in tutti gli Stati membri521, per ricomprendere quelle
fattispecie giuridiche difficilmente inquadrabili rispetto alla casistica che si
516 P. Hustinx, The reform of EU data protection: towards more effective and more consistent data
protection across the EU, cit., pagg. 65 segg.
517 Per approfondimenti si v. cap. IV. infra. 518
V. articolo 4, regolamento n. 2016/679.
519 J.P. Albrecht, Uniform Protection by the EU – The EU Data Protection Regulation Salvages
Informational Self-determination, cit., pag. 121.
520 Secondo Albrecht, la riforma non ha rappresentato una rivoluzione in materia di tutela di dati
personali, ma rappresenta comunque un passo enorme in avanti nell’adeguamento delle fattispecie astratte a quelle concrete della vita reale, sempre più digitalizzata. Ibidem, pag. 124.
concretizza con caratteristiche di continua novità, di pari passo con lo sviluppo della tecnologia.
Detto testo è stato quindi approvato dopo una lunga serie di trattative, ma dal punto di vista contenutistico non rinuncia alle tutele già approntate e disponibili grazie all’applicazione della direttiva 95/46. In particolare, si nota come, sorprendentemente, nonostante la continua ed imperversante innovazione tecnologica, il regolamento n. 2016/679 (anche detto General Data Protection
Regulation, abbreviato “GDPR”) accoglie tutti i concetti e i principi basilari
precedentemente enucleati dalla direttiva 95/46, assoggettandoli però ad un procedimento di chiarificazione e, in qualche modo, di rinnovamento. Esempi di siffatto rinnovamento si ritrovano, a titolo esemplificativo, nella ripulitura della nozione di minimizzazione dei dati, sulla base della quale il trattamento dei dati personali dovrà d’ora in poi essere limitato a quelli strettamente necessari522. Un’altra espressione che è stata meglio chiarita è rappresentata dalla nozione di “privacy by design”523. Tale espressione considera la privacy in una fase tecnologica molto avanzata, tale per cui le impostazioni in materia di privacy presenti nei vari dispositivi digitali possano essere definite e decise in base alle esigenze individuali di ogni soggetto, titolare di informazioni personali raccolte e
522 P. Hustinx, The reform of EU data protection: towards more effective and more consistent data
protection across the EU, cit., pag. 66 segg
523 L’elaborazione di tale concetto, sviluppatasi a partire dagli anni ‘90 ad oggi, si basa sull’uso di
un metodo proattivo di approccio alla tutela della privacy che è essenzialmente basato sull’inserimento ed il conseguente uso di tecnologie particolari, incluse nei prodotti informatici o relativamente ai servizi informatici sin dalla rispettiva progettazione. La realizzazione e il funzionamento di detta strumentazione si basa ovviamente sui principi giuridici applicativi della tutela della privacy (ad esempio, a tal proposito si vedano i Fair Information Practice Principles americani di cui si tratterà infra). La privacy by design non può che essere identificata con la tutela della privacy attraverso il design, la progettazione, degli strumenti informatici che consentono la protezione dei dati personali sin da quando l’utente inizia a farne uso. Ciò significa evidentemente che nella fase di progettazione di detti strumenti, ci si debba porre da subito delle questioni molto rilevanti relative i possibili rischi per la confidenzialità dei dati e per l’autodeterminazione informativa che risulterebbe lesa nel caso in cui i suddetti dati fossero violati o comunque trattati in maniera illegittima. Accanto al concetto di privacy dy design, sarebbe opportuno considerare anche quello contestuale di privacy by default, il quale, ai fini della tutela della riservatezza delle informazioni personali, implicherebbe l’utilizzo di determinati meccanismi di protezione di default, vale a dire in modo automatico, scelti a priori dai produttori dei prodotti informatici o dai fornitori dei servizi informatici, fatta salva la facoltà di cambiare le impostazioni di protezione iniziale da parte del soggetto che di quei prodotti o di quei servizi fa uso. A. Principato, Verso nuovi approcci
alla tutela della privacy: privacy by design e privacy by default settings, in Contratto e Impresa/Europa, 2015, 1, pagg. 198 segg. Alcuni accademici di lingua italiana, reinterpretano il
concetto con l’espressione “privacy incorporata” che si avvale prevalentemente e con maggior successo di tecniche di criptazione o anonimizzazione e di non tracciamento. C. Focarelli, La
privacy. Proteggere i dati personali oggi, cit., pag. 63. Per ulteriori approfondimenti si v.
trattate da detti dispositivi, consentendo così a quest’ultimo di creare una sorta di cessione di proprie informazioni calibrata su misura delle proprie esigenze.
Tra le altre peculiarità innovative del recente testo normativo in materia di tutela dei dati personali figurano una spiccata tendenza per il tentativo di semplificazione e di riduzione dei costi pubblici e amministrativi (ad esempio attraverso l’eliminazione di alcuni procedimenti di notifica di trattamenti di dati personali da parte del titolare del trattamento stesso nei confronti dell’autorità garante competente), una forte propensione a sottolineare l’importanza dell’applicazione dei principi e sulle procedure per garantire il rispetto dei diritti e degli obblighi connessi alla privacy, garantendo peraltro un’applicazione più vasta di quella riservata alla direttiva 95/46 che ricomprende ora non solo il settore privato, bensì anche il trattamento dei dati personali effettuato nel settore pubblico524. Inoltre, il Regolamento pone l’accento e rafforza i concetti, in particolare, di “interessato” (la persona fisica cui le informazioni riservate si riferiscono) e di “autorità di
regolamentazione”525.
Peraltro, tre elementi devono essere particolarmente sottolineati nell’analisi dei contenuti normativi del Regolamento, e sono rappresentati da, in primo luogo, l’aumento della possibilità, anche concreta, per l’interessato di controllare come viene effettuato il trattamento dei propri dati personali; in secondo luogo, la responsabilità concreta degli enti responsabili del trattamento, su cui il legislatore UE pone ora l’onere della prova, in un’eventuale fase contenziosa, di dimostrare di aver adeguatamente gestito il trattamento delle informazioni in questione; in terzo luogo, la necessità di un più efficace metodo di esecuzione, accompagnato da una sorveglianza più severa da parte delle autorità amministrative competenti (la cui indipendenza è stata ulteriormente rafforzata, anche alla luce della giurisprudenza UE)526 e l’intenzione di creare una rete collaborativa tra le autorità di controllo
524
P. Hustinx, The reform of EU data protection: towards more effective and more consistent data
protection across the EU, cit., pagg. 66 segg.
525 Ibidem.
526 V. sentenza del 9 marzo 2010, Commissione/Germania, C-518/07 (ECLI:EU:C:2010:125), punti
17-30, e in particolare, punti 21-25 qui riportati (enfasi aggiunta): «[o]rbene, la libera circolazione
dei dati personali è tale da incidere sul diritto alla vita privata, come riconosciuto segnatamente all’art. 8 della Convenzione europea per la salvaguardia dei diritti dell’uomo e delle libertà fondamentali (v., in tal senso, Corte eur. D.U., sentenze Amann c. Svizzera del 16 febbraio 2000, Recueil des arrêts et décisions 2000 II, §§ 69 e 80, e Rotaru c. Romania del 4 maggio 2000, Recueil des arrêts et décisions 2000 V, §§ 43 e 46) e dai principi generali di diritto comunitario. Per tale motivo, e come emerge in particolare dal decimo ‘considerando’ e dall’art. 1 della direttiva 95/46, essa si propone anche di non indebolire la protezione assicurata dalle norme nazionali esistenti,
competenti su scala mondiale527. Orbene, secondo Albrecht, in particolare, uno dei
propositi più pregevoli della riforma, oltre all’innalzamento della tutela dei dati personali in quanto diritto fondamentale ad un livello ancor più elevato, sarebbe rappresentato dalla sua “extraterritorialità” sia in termini geografici, sia settoriali. L’extraterritorialità geografica si riferirebbe infatti a tutele rafforzate nei confronti dei soggetti i cui dati sono trattati da società provenienti da Paesi terzi e che svolgono attività commerciali all’interno dell’area del mercato unico. D’altra parte, l’extraterritorialità settoriale si concretizzerebbe in una sorta di effetto orizzontale della legislazione così adottata in diversi settori normativi (ad esempio, dal mercato interno, alla cooperazione giudiziaria o di polizia tra Stati membri, a scopi di sicurezza interna)528. L’adozione di tale riforma ha peraltro consentito una migliore
tutela dei diritti dei singoli individui, anche con riguardo all’impossibilità, a partire dal GDPR in poi, per gli operatori commerciali di scegliere quegli Stati (comunque all’interno dell’Unione) che applicassero un regime sanzionatorio più clemente rispetto ad altri529. Tale fenomeno, cosiddetto di “forum shopping”, ora non avrebbe più ragion d’essere nella misura in cui il GDPR non necessiti di essere implementato in ogni Stato membro e sono stati azzerati, entro i confini del
ma, al contrario, di garantire, nella Comunità, un elevato grado di tutela delle libertà e dei diritti fondamentali con riguardo al trattamento dei dati personali (v., in tal senso, sentenze Österreichischer Rundfunk e a., cit., punto 70, nonché 16 dicembre 2008, causa C 73/07, Satakunnan Markkinapörssi e Satamedia, Racc. p. I 9831, punto 52). Le autorità di controllo previste all’art. 28 della direttiva 95/46 sono quindi le custodi dei menzionati diritti e libertà fondamentali, e la loro designazione, negli Stati membri, è considerata, come rilevato dal sessantaduesimo ‘considerando’ della citata direttiva, un elemento essenziale per la tutela delle persone con riguardo al trattamento di dati personali. Al fine di garantire detta protezione, le autorità di controllo devono assicurare un giusto equilibrio fra, da un lato, il rispetto del diritto fondamentale alla vita privata e, dall’altro, gli interessi che impongono una libera circolazione dei dati personali. Peraltro, in base all’art. 28, n. 6, della direttiva 95/46, le varie autorità nazionali sono chiamate a prestarsi reciproca cooperazione e persino ad esercitare i loro poteri su domanda dell’autorità di un altro Stato membro. La garanzia dell’indipendenza delle autorità nazionali di controllo è diretta ad assicurare l’efficacia e l’affidabilità del controllo del rispetto delle disposizioni in materia di protezione delle persone fisiche con riguardo al trattamento dei dati personali e deve essere interpretata alla luce di tale finalità. Essa non è stata disposta al fine di attribuire uno status particolare a dette autorità ed ai loro agenti, bensì per rafforzare la protezione delle persone e degli organismi interessati dalle loro decisioni. Ne discende che, nello svolgimento delle loro funzioni, le autorità di controllo devono agire in modo obiettivo ed imparziale. A tale fine esse devono essere sottratte a qualsiasi influenza esterna, compresa quella, diretta o indiretta, dello Stato o dei Länder, e non solamente essere poste al riparo dall’influenza degli organismi controllati».
527 P. Hustinx, The reform of EU data protection: towards more effective and more consistent data
protection across the EU, cit., pagg. 68-69.
528
J.P. Albrecht, Uniform Protection by the EU – The EU Data Protection Regulation Salvages
Informational Self-determination, cit., pagg. 122 segg.
medesimo territorio comunitario, i rischi di sopravvivenza di normative in materia molto diverse tra loro530.
Nonostante il processo per l’adozione della riforma in esame si sia particolarmente dilungato e fosse altrettanto complesso, a causa di motivazioni tra le più disparate che coinvolgevano principalmente i poteri politici e gli attori economici531, si ritiene
che, alla fine dei conti, essa rappresenti, almeno per lo stato attuale, una buona soluzione win-win sia per i soggetti titolari dei dati personali, che per i responsabili del loro trattamento, perché ogni responsabile del trattamento dovrà interfacciarsi con un singolo punto di contatto e soprattutto perché i cittadini UE potranno vedere il proprio diritto fondamentale tutelato in modo più efficace, grazie ad un assetto di
enforcement nettamente migliorato532.
Invero, se mediante la direttiva 95/46, il legislatore comunitario si era preminentemente occupato di tutelare la libera circolazione dei dati, necessaria alla proficua realizzazione del mercato unico, con il nuovo regolamento ci si orienta più sul rafforzamento dei diritti individuali533. Prova ne è altresì il fatto che è stato parimenti semplificato l’esercizio del diritto a un ricorso effettivo per i soggetti lesi dalla violazione della normativa UE a tutela delle informazioni personali, mediante l’inclusione espressa nel GDPR sia della possibilità di adire direttamente un’autorità di controllo, in base all’articolo 77, sia di ricorrere al giudice del luogo