La stigmatizzazione del diritto nella nuova normativa comunitaria: la centralità

della Direttiva 95/46 CE ed il riconoscimento nel diritto positivo europeo del diritto all’oblio

Malgrado la Convenzione 108 sia stata approvata in ambito CEDU sin dal 1981, la Comunità europea, fino al 1995, non ha provveduto ad intervenire sulla materia, predisponendo forme di regolamentazione, né sotto la veste giuridica del Regolamento, che della Direttiva, accumulando un notevole ritardo anche rispetto alle normative interne degli Stati membri che, per la maggior parte, si erano munite di una legislazione, più o meno specifica, in materia di protezione dei dati personali.

Nel 1995, con la Direttiva 46 CE, l’Unione Europea finalmente elabora un articolato più dettagliato e specifico in quella materia, in qualche modo legato al Trattato di Maastricht70

cha ha dato formalmente l’avvio a vari processi che, in qualche modo, sono direttamente e indirettamente legati alla necessità di una maggiore protezione dei dati personali. Esigenza, avvertita come necessaria da tutti i Paesi dell’UE, conseguente all’entrata in vigore del Trattato di Maastricht e al successivo smantellamento delle dogane, è stata quella di superare le difficoltà rappresentate dalle ‘frontiere immateriali’, costituite dalle

70 _{Trattato sull’Unione europea del 7 febbraio 1992, entrato in vigore il 1° novembre 1993, in G.U.C.E.,} N. C 191/1.

57

diverse leggi nazionali in materia di protezione dei dati personali, per pervenire ad una normativa europea uniforme che fosse in grado di appianare ogni differenza di trattamento.

Le trattative, iniziate nel 1990, tra i Paesi membri hanno manifestato non poche difficoltà e battute d’arresto, tanto che, soltanto dopo cinque anni, nel 1995, con la Direttiva 46, anche detta Direttiva di armonizzazione, è stato possibile addivenire ad una normativa europea comune, contenente principi e regole non immediatamente vincolanti, ma ai quali tutti gli Stati membri avrebbero dovuto adeguare le loro normative nazionali: obiettivo cui tanto avevano lavorato i Paesi della Comunità, tuttavia, in gran parte ridimensionato dall’affermazione, tra i Paesi membri, del ‘principio del mutuo riconoscimento’, in forza del quale in ogni Stato dell’Unione si sarebbe applicata la legge di protezione dei dati del Paese in cui avrebbe avuto sede lo stabilimento principale del titolare del trattamento. In tal modo si andava a vanificare gran parte della tutela giuridica apprestata all’interessato, considerato che i titolari del trattamento, avendo il loro stabilimento principale fuori dall’Europa, quasi tutti negli Stati Uniti d’America, non erano di conseguenza, obbligati all’applicazione della normativa comune europea.

La Direttiva inoltre, non solo non ha mutuato della Convenzione 108/81 il principio che un Paese membro potesse impedire il trasferimento dei dati dei propri cittadini ad altri Paesi che non avessero offerto adeguate garanzie, ma ne ha rovesciato l’impostazione laddove ha specificato che il trasferimento avrebbe potuto essere consentito solo qualora lo Stato terzo avesse assicurato il medesimo alto livello di protezione dei dati, alla pari di quello offerto dai Paesi comunitari.

In tal modo è vero che sono stati notevolmente elevati i sistemi di protezione dei dati personali all’interno della ‘fortezza europea’, ma, d’altra parte, si sono resi più difficili i rapporti con i Paesi Terzi, come gli Stati Uniti, che non assicuravano le medesime garanzie, avendo fatto della raccolta e trattamento dei dati personali un’attività libera, scevra da limiti e vincoli, in quanto utile e di supporto all’esplicazione dei fondamentali diritti di manifestazione del pensiero, di stampa e di cronaca71_.

71 _{Vale la pena richiamare a questo proposito la sentenza della Corte di Giustizia (Grande Sezione) del 6} ottobre 2015, C-362/14, che ha annullato la decisione della Commissione UE, relativa ai cd. Accordi Safe habour. Alla luce delle carte svelate da Hedward Snowden sull’uso illegittimo della raccolta, trattamento e conservazione dei dati ad opera della NSA, la CGUE ha annullato la decisione della Commissione UE sul Safe harbour, con la sentenza C-362, Maximilian Schrems/Data Protection Commissioner, perché secondo

58

La tutela del diritto all’autodeterminazione informatica ha trovato una sua prima ed embrionale strutturazione nel quadro della Dir. 95/46, relativa alla “Tutela delle persone fisiche con riguardo al trattamento dei dati personali nonché alla libera circolazione degli stessi”72_{, che, per qualche decennio, ha avuto il monopolio della regolamentazione della}

materia e che, solo con l’entrata in vigore del nuovo Regolamento di protezione dei dati personali, ha visto svanire la sua centralità e quella dei principi e delle regole in essa contenuti, nel panorama giuridico europeo.

A quella normativa, in vigore ormai da quasi vent’anni, sono altresì vincolate le leggi nazionali di protezione dei dati, dal momento che tutti gli Accordi di adesione man mano stipulati, sulla base delle regole fissate dal Trattato di Amsterdam del 1997, hanno imposto l’obbligo ai Paesi entranti, di adeguarsi all’acquis communitair’, del quale faceva parte anche la Dir. 95/46. Di conseguenza tutti Paesi, via via entrati nell’Unione, hanno dovuto adottare leggi di protezione dei dati armonizzate con la Direttiva73_{, che}

continueranno ad esplicare i loro effetti, anche nella vigenza del Regolamento 2016/679, purché non confliggenti con i precetti nello stesso contenuti, essendo diversamente condannate alla disapplicazione ad opera del giudice nazionale, in assenza di forza abrogativa, da parte del Regolamento, nei confronti delle leggi nazionali, interne ai singoli Stati.

Anche l’Italia ha dato attuazione al lavoro del Legislatore comunitario, sebbene con significativo ritardo, cessato quando è stato chiaro che se avesse voluto entrare a pieno titolo nella Convenzione di Schengen, dal 1° gennaio 1998, avrebbe dovuto necessariamente adottare una normativa di protezione dati coerente con quella europea. Normativa di cui il nostro Paese si è dotato con l’elaborazione della Legge 675/1996. Sebbene in questi vent’anni, com’è stato più volte ribadito dai Garanti nazionali riuniti nel Gruppo Articolo 29, la Direttiva si sia dimostrata un’eccellente cassetta degli attrezzi’, non sempre, tuttavia, si è palesata all’altezza di gestire le nuove sfide che la rapidità dell’evoluzione tecnologica ha lanciato al diritto alla protezione dei dati.

in giudici europei non c’erano sufficienti garanzie che la riservatezza dei dati degli europei venisse tutelata anche in America.

72 _{Titolo della Direttiva, come pubblicata sulla GU della Comunità europea il 23 novembre 1995, numero} 1, 281/31.

73 _{Obbligo che è rimasto in vigore fino all’adozione del nuovo Regolamento di protezione dei dati personali,} 2016/679.

59

La stessa, infatti, consacrava un ‘modello statico’ di trattamento dei dati personali, un modello fondamentalmente uno ad uno che vedeva le due parti, interessato e titolare del trattamento, ingessati in ruoli rigidi, mentre la realtà dei social networks impone un modello di uno a tutti, di condivisione dei dati destinati, fin dall’origine ad una circolazione globale. Di qui la difficoltà crescente di applicare quelle regole ai nuovi fenomeni e alle nuove modalità di trattamento e uso dei dati nel mondo digitale, senza aver preliminarmente spostato il baricentro delle responsabilità da chi fornisce il dato a chi lo fa circolare.

La sua inadeguatezza, quindi, a gestire le nuove modalità di trattamento, fornendo protezione a tutte le nuove figure ed esigenze giuridiche emerse, ha comportato, quale ovvia conseguenza, non solo interventi della Corte di Giustizia su questioni pregiudiziali, sollevate dalle Corti nazionali, aventi ad oggetto l’interpretazione di parti della Direttiva stessa, nell’intento di poterle adeguare, il più possibile, al nuovo scenario giuridico, quanto vere e proprie proposte legislative, da parte del Legislatore comunitario, alcune delle quali sono state assorbite nel nuovo Regolamento sulla protezione dei dati personali.