Il Nuovo Pacchetto europeo sulla protezione dei dati personali: dalle origini al diritto all'oblio

(1)

UNIVERSITA’ DI PISA

Dipartimento di Giurisprudenza

Corso di Laurea Magistrale in Giurisprudenza

Tesi di Laurea

Il Nuovo Pacchetto europeo sulla protezione dei dati

personali: dalle origini al diritto all’oblio

Candidato: Relatrice:

Gabriele Rugani Prof.ssa Francesca Martines

(2)

(3)

2

INDICE

INTRODUZIONE ... 10

CAPITOLO 1 – LA PROTEZIONE DEI DATI NEGLI STRUMENTI DI DIRITTO INTERNAZIONALE ... 17

1.1 Le Linee guida dell’OCSE ... 18

1.1.1 Le attività preliminari alle Linee guida ... 18

1.1.2 Il contenuto delle Linee guida ... 20

1.1.2.1 Il primo obiettivo delle Linee guida e l’utilizzo del termine “privacy” ... 20

1.1.2.2 Il secondo obiettivo delle Linee guida ... 22

1.1.3 Gli atti successivi alle Linee guida (e il mantenimento del termine “privacy”) ... 22

1.2 Il Consiglio d’Europa: dalla CEDU alla Convenzione 108 .... 24

1.2.1 L’Articolo 8 della CEDU ... 24

1.2.2 L’utilizzo del termine “privacy” in riferimento all’Articolo 8 della CEDU e la necessità di regolare l’uso dei computer ... 26

1.2.3 Le risoluzioni (73) 22 e (74) 29 sulla protezione della privacy degli individui rispetto alle banche dati elettroniche ... 28

1.2.4 La nascita della nozione di “data protection” e la sua riconduzione nell’ambito della “privacy” ... 30

1.2.5 Le attività preliminari alla Convenzione 108 ... 30

1.2.6 Il contenuto della Convenzione 108 ... 33

1.2.6.1 La protezione dei dati come funzionale alla tutela del diritto alla “privacy” ... 33

1.2.6.2 Gli obiettivi della Convenzione ... 34

1.2.6.3 L’ambito di applicazione ... 35

1.2.6.4 I principi ... 37

1.2.6.5 I diritti dell’interessato ... 38

1.2.6.6 Il Comitato consultivo ... 39

1.2.7 Gli effetti della Convenzione 108 ... 39

1.2.8 Le modifiche alla Convenzione 108 ... 40

1.2.8.1 Gli obiettivi del “Draft Protocol” e l’introduzione del diritto alla protezione dei dati ... 41

(4)

3

1.2.8.2 L’ambito di applicazione individuato dal “Draft Protocol”

... 43

1.2.8.3 Il consenso nel “Draft protocol” ... 44

1.2.8.4 I dati sensibili nel “Draft protocol” ... 44

1.2.8.5 I diritti dell’interessato nel “Draft protocol” ... 46

1.2.8.6 Altre novità del “Draft protocol” ... 47

1.2.8.7 Parallelismi e differenze tra il “Draft protocol” e il Regolamento 2016/679 ... 50

1.2.9 L’impatto della Convenzione 108 sulle discipline nazionali 51 1.3 Il Consiglio d’Europa: la giurisprudenza della Corte EDU .. 53

1.3.1 La “vita privata” ... 55

1.3.2 Le “informazioni relative alla vita privata” ... 56

1.3.3 Le ingerenze lecite nella “vita privata” ... 59

CAPITOLO 2 – LA PROTEZIONE DEI DATI NEL DIRITTO COMUNITARIO / DELL’UNIONE EUROPEA (PRIMA DEL NUOVO PACCHETTO) ... 61

2.1 Le attività preliminari alla Direttiva 95/46/CE ... 61

2.1.1 La Comunicazione della Commissione europea del 1973 .... 61

2.1.2 La Risoluzione del Parlamento europeo del 1975 ... 62

2.1.4 L’attività della Commissione europea tra il 1976 e il 1979 .. 64

2.1.6 La Raccomandazione della Commissione europea del 1981 66 2.1.7 La Risoluzione del Parlamento europeo del 1982 ... 67

2.1.8 Il Sistema d’Informazione Schengen ... 68

2.2 La Direttiva 95/46/CE ... 72

2.2.1 L’iter legis ... 72

2.2.1.1 Il Pacchetto del 1990 ... 72

2.2.1.2 La Proposta rivista del 1992 ... 75

2.2.1.3 L’approvazione della Direttiva ... 77

2.2.2 Gli obiettivi della Direttiva e la protezione dei dati come funzionale alla tutela del diritto alla “privacy” ... 77

2.2.2.1 Il primo obiettivo della Direttiva e l’utilizzo del termine “privacy” in riferimento all’Articolo 8 della CEDU ... 78

2.2.2.2 Il secondo obiettivo della Direttiva ... 80

2.2.3 Il contenuto della Direttiva ... 81

(5)

4

2.2.3.2 Le definizioni ... 82

2.2.3.3 I principi ... 82

2.2.3.4 Il consenso ... 83

2.2.3.5 I dati sensibili ... 83

2.2.3.6 I diritti e gli obblighi ... 84

2.2.3.7 Il trasferimento di dati verso Paesi terzi ... 86

2.2.3.8 I codici di condotta ... 86

2.2.3.9 Le autorità di controllo nazionali e il Gruppo di lavoro “Articolo 29” ... 86

2.2.4 L’Impatto della Direttiva 95/46/CE sulle discipline nazionali ... 87

2.2.4.1 L’Italia ... 88

2.2.4.2 Gli altri Stati ... 90

2.3 Gli atti successivi alla Direttiva 95/46/CE ... 92

2.3.1 L’Articolo 286 TCE e il Regolamento (CE) n. 45/2001 ... 92

2.3.2 Gli altri atti di diritto comunitario derivato ... 94

2.3.3 Il Terzo pilastro e la Decisione quadro 2008/977/GAI ... 98

2.3.4 Gli articoli 7 e 8 della Carta di Nizza ... 101

2.3.4.1 Il diritto al “rispetto della vita privata e della vita familiare” ... 104

2.3.4.2 Il diritto “alla protezione dei dati di carattere personale” ... 107

CAPITOLO 3 – L’ADOZIONE DEL NUOVO PACCHETTO EUROPEO SULLA PROTEZIONE DEI DATI PERSONALI .. 114

3.1 La Base Giuridica ... 114

3.1.1 L’Articolo 16 del TFUE ... 114

3.1.2 La Dichiarazione Numero 20 e la Dichiarazione Numero 21 ... 118

3.2 Gli atti della Commissione nel periodo 2003-2010 ... 120

3.2.1 La relazione del 2003 ... 120

3.2.2 La Comunicazione del 2007 ... 121

3.3 L’elaborazione delle due proposte del 2012 ... 125

3.3.1 Il contesto delle proposte ... 125

3.3.2 I passaggi che determinano il contenuto delle proposte ... 126

(6)

5 3.4 L’adozione del Nuovo Pacchetto sulla protezione dei dati

personali nel 2016 ... 130

3.4.1 L’Iter di adozione del Nuovo Pacchetto ... 130

3.4.2 Le ragioni alla base del Nuovo Pacchetto sulla protezione dei dati personali ... 131

3.4.3 La scelta dello strumento giuridico per sostituire la Direttiva 95/46/CE ... 135

CAPITOLO 4 – IL REGOLAMENTO (UE) 2016/679 ... 138

4.1 L’Articolo 1 ... 138

4.1.1 Gli obiettivi del Regolamento ... 138

4.1.2 La sostituzione definitiva del diritto alla “privacy” con il diritto alla “protezione dei dati personali” ... 140

4.1.3 Confronto tra il diritto alla “privacy”/“vita privata” e il diritto alla “protezione dei dati personali” ... 143

4.1.3.1 Il diritto alla “privacy”/“vita privata” ... 143

4.1.3.2 Il diritto alla “protezione dei dati personali” ... 147

4.1.3.3 Cosa cambia ... 149

4.1.4 Le reazioni alla sostituzione del diritto alla “privacy” con il diritto alla “protezione dei dati personali” ... 151

4.2 Le altre “Disposizioni generali” ... 153

4.2.1 Definizioni ... 153

4.2.1.1 Il termine “consenso” ... 154

4.2.1.2 Il “titolare del trattamento” e il “responsabile del trattamento” ... 154

4.2.1.3 Il “dato personale” e il “trattamento” ... 156

4.2.2 L’ambito di applicazione ... 158

4.2.2.1 L’ambito di applicazione materiale ... 158

4.2.2.2 L’ambito di applicazione territoriale ... 159

4.3 I principi ... 162

4.3.1 Il principio di liceità e le condizioni per il consenso ... 164

4.3.1.1 Il principio di liceità ... 164

4.3.1.2 Le condizioni per il consenso ... 165

4.3.2 I dati sensibili ... 165

4.4 I diritti dell’interessato ... 169

4.4.1 Il diritto all’informazione e il diritto di accesso dell’interessato ... 169

(7)

6

4.4.1.2 Il diritto d’accesso ... 170

4.4.2 Il diritto alla portabilità dei dati ... 171

4.4.3 Il diritto all’oblio ... 173

4.4.4 La profilazione e il diritto di opposizione ... 175

4.4.4.1 La profilazione ... 175

4.4.4.2 Il diritto di opposizione ... 176

4.4.5 Limitazioni ... 177

4.5 Gli obblighi e le responsabilità del titolare e del responsabile del trattamento ... 179

4.5.1 Le valutazioni d’impatto ... 180

4.5.2 Privacy by design and by default ... 182

4.5.3 Sicurezza del trattamento e data breach ... 184

4.5.4 I registri delle attività di trattamento, i codici di condotta e i meccanismi di certificazione ... 186

4.5.5 Il Data Protection Officer ... 188

4.6 I trasferimenti di dati personali verso Paesi terzi e organizzazioni internazionali ... 192

4.6.1 La decisione di adeguatezza ... 192

4.6.2 Le garanzie adeguate e le deroghe in specifiche situazioni 193 4.6.3 I rapporti UE-USA: Safe arbour e Privacy Shield ... 195

4.7 Le autorità di controllo nazionali e il Comitato europeo per la protezione dei dati ... 197

4.7.1 Le autorità di controllo nazionali ... 197

4.7.1.1 One-stop-shop ... 197

4.7.1.2 I poteri ... 198

4.7.1.3 Le sanzioni ... 199

4.7.2 Comitato europeo per la protezione dei dati ... 201

4.8 Le implicazioni del Regolamento 2016/679 ... 204

CAPITOLO 5 – LA DIRETTIVA UE N. 2016/680 ... 208

5.1 Gli obiettivi della Direttiva ... 208

5.2 Le “Disposizioni generali” e i principi ... 210

5.2.1 L’ambito di applicazione ... 210

5.2.2 Le definizioni ... 211

(8)

7

5.2.3.1 Le distinzioni tra diverse categorie di interessati e di dati

... 213

5.3 I diritti dell’interessato e gli obblighi e le responsabilità del titolare e del responsabile del trattamento ... 215

5.3.1 I diritti dell’interessato ... 215

5.3.1.1 Il diritto di accesso ai dati ... 215

5.3.1.2 I diritti di rettifica, cancellazione e limitazione ... 217

5.3.2 Gli obblighi e le responsabilità del titolare e del responsabile del trattamento ... 218

5.4 I trasferimenti di dati personali verso Paesi terzi e organizzazioni internazionali, le autorità di controllo nazionali e il Comitato europeo per la protezione dei dati ... 220

5.4.1 Il trasferimenti di dati personali verso Paesi terzi e organizzazioni internazionali ... 220

5.4.1.1 I rapporti UE-USA: Data protection umbrella agreement ... 221

5.4.2 Le autorità di controllo nazionali e il Comitato europeo per la protezione dei dati ... 223

CAPITOLO 6 – IL DIRITTO ALL’OBLIO ... 225

6.1 Il caso Google Spain ... 225

6.1.1 I fatti ... 225

6.1.2 La prima questione pregiudiziale ... 227

6.1.3 La seconda questione pregiudiziale ... 228

6.1.3.1 Le Conclusioni dell’Avvocato generale sulla seconda questione pregiudiziale ... 230

6.1.3.2 La Sentenza della Corte (per quanto concerne la seconda questione pregiudiziale) ... 232

6.1.4 La terza questione pregiudiziale ... 236

6.1.4.1 Le Conclusioni dell’Avvocato generale sulla terza questione pregiudiziale ... 236

6.1.4.2 La Sentenza della Corte (per quanto concerne la terza questione pregiudiziale) ... 239

6.1.5 Criticità della Sentenza Google Spain ... 244

6.1.5.1 La problematica del soggetto chiamato a decidere circa la rimozione ... 244

6.1.5.2 Gli altri difetti intrinseci della pronuncia ... 246

(9)

8

6.1.6 Un approccio alternativo ... 251

6.2 Il diritto all’oblio nel Regolamento (UE) 2016/679 ... 255

6.2.1 L’Articolo 17 nell’iter che porta all’adozione del Pacchetto ... 255

6.2.1.1 La Proposta della Commissione ... 255

6.2.1.2 Le modifiche successive ... 257

6.2.2 L’Articolo 17 del Regolamento 2016/679 ... 258

6.2.2.1 Il testo ... 258

6.2.2.2 Il paragrafo 1 ... 260

6.2.2.3 Il paragrafo 2 ... 265

6.2.2.4 Il paragrafo 3 ... 267

6.3 L’Articolo 17: una grande novità? ... 272

6.3.1 Rispetto all’Articolo 12 lettera b) della Direttiva ... 272

6.3.2 Rispetto alla Sentenza Google Spain ... 274

6.3.2.1 Le condizioni ... 275

6.3.2.2 Le eccezioni ... 275

6.3.2.3 A chi rivolgersi per ottenere la cancellazione ... 278

6.3.2.4 Conclusioni ... 280

6.4 L’utilizzo dell’espressione diritto all’oblio nel Regolamento: una scelta opportuna? ... 282

CONCLUSIONI ... 288

(10)

(11)

10

INTRODUZIONE

Il 4 maggio 2016 viene pubblicato sulla Gazzetta Ufficiale dell’Unione europea il c.d. “Nuovo Pacchetto europeo sulla protezione dei dati personali”, l'insieme normativo che definisce un quadro comune in materia di tutela dei dati per tutti gli Stati membri dell'UE. Esso comprende il Regolamento 2016/679 “relativo alla protezione delle persone fisiche con riguardo al trattamento dei dati personali, nonché alla libera circolazione di tali dati”, e la Direttiva 2016/680 “relativa alla protezione delle persone fisiche con riguardo al trattamento dei dati personali da parte delle autorità competenti a fini di prevenzione, indagine, accertamento e perseguimento di reati o esecuzione di sanzioni penali, nonché alla libera circolazione di tali dati”. Il Regolamento, che sostituisce la Direttiva 95/46/CE, entra in vigore il 24 maggio 2016 e sarà direttamente applicabile in tutti gli Stati membri a partire dal 25 maggio 2018; la Direttiva, che sostituisce la Decisione quadro 2008/977/GAI, entra in vigore il 5 maggio 2016 e dovrà essere recepita dai Paesi UE entro il 6 maggio 2018.

L’obiettivo della presente trattazione è quello di evidenziare i limiti del quadro giuridico precedente, soprattutto a fronte delle nuove esigenze, e i fattori che hanno dunque reso necessaria una riforma del settore. Al contempo verranno messe in luce non solo le novità, ma anche le principali questioni problematiche legate al Pacchetto stesso: alcuni suoi aspetti innovativi non ricevono al momento la considerazione che meriterebbero; in altri suoi punti, al contrario, è meno innovativo di quanto fosse lecito aspettarsi.

Quanto alla disciplina preesistente, innanzi tutto verranno analizzati i primi strumenti di diritto internazionale in materia di protezione dei dati, come le Linee guida dell’OCSE (1980) e la Convenzione 108 del

(12)

11

Consiglio d’Europa (1981). Successivamente sarà presa in esame la Direttiva 95/46/CE, che si ispira agli strumenti sopramenzionati e che, a sua volta, ha un’influenza diretta sull’elaborazione delle due fonti del Nuovo Pacchetto, soprattutto del Regolamento 2016/679, che è appunto destinato a sostituirla. Tale Regolamento non è finalizzato a rivoluzionare completamente l’impianto della Direttiva 95/46/CE, anzi: quest’ultima rimane assolutamente valida in termini di obiettivi e principi. D’altro canto, la Direttiva presenta numerose criticità, di cui questa tesi si occuperà.

In primis essa non elimina l’incertezza giuridica, né impedisce la

frammentazione delle legislazioni nazionali in materia di protezione dei dati: ad esempio, le competenze conferite alle autorità nazionali di controllo non sono sufficientemente armonizzate per garantire l’applicazione coerente ed efficace delle norme e, nella pratica, far valere i propri diritti è più difficile in alcuni Stati dell’UE rispetto ad altri. Tutto ciò dipende non solo dal contenuto dello strumento giuridico in questione, spesso non sufficientemente preciso, ma anche dalla sua natura: la direttiva, infatti, lasciando un ampio margine di discrezionalità in capo agli Stati, non si dimostra adatta a ravvicinare adeguatamente le normative dei Paesi membri in questo settore.

In secondo luogo si sottolineerà come gran parte dei limiti della Direttiva 95/46/CE non derivi tanto da suoi difetti intrinseci, quanto dalle nuove sfide lanciate dalla globalizzazione e dagli incalzanti sviluppi tecnologici. La portata della condivisione e della raccolta dei dati, nei venti anni successivi all’adozione della Direttiva, è aumentata in modo vertiginoso: la tecnologia attuale consente sia alle imprese che alle autorità pubbliche di utilizzare dati personali, come mai in precedenza, nello svolgimento delle loro attività e, sempre più spesso, sono gli stessi privati che rendono pubbliche in rete informazioni personali che li riguardano. Dunque, per lo sviluppo economico, è fondamentale instaurare negli ambienti online un clima di fiducia: in

(13)

12

caso contrario, i consumatori sono frenati dall’acquistare online e dall’utilizzare nuovi servizi, e tale situazione rischia a sua volta di rallentare lo sviluppo di applicazioni tecnologiche innovative.

Proprio per risolvere tali problematiche e per far fronte a tali esigenze si è resa necessaria un’importante opera di riforma. Il nuovo Regolamento è dunque funzionale ad instaurare nell’Unione un quadro giuridico più solido e coerente in materia di protezione dei dati, che possa consentire lo sviluppo dell’economia digitale nel mercato interno, garantire agli individui il controllo dei loro dati personali, rafforzare la certezza giuridica e ridurre al minimo gli oneri amministrativi a beneficio delle imprese. Solo così sarà possibile da un lato tutelare maggiormente le persone fisiche, dall’altro permettere al mercato interno di funzionare correttamente, stimolando la crescita, creando occupazione e promuovendo l’innovazione.

La presente trattazione si soffermerà anche sulle ragioni che portano ad adottare l’altro atto del Pacchetto, la Direttiva 2016/680, che regola i trattamenti di dati personali nei settori di prevenzione, contrasto e repressione dei crimini e sostituisce la Decisione quadro 2008/977/GAI. Il principale difetto di quest’ultimo strumento giuridico consiste nel campo di applicazione estremamente limitato: la Decisione quadro si applica infatti solo al trattamento transfrontaliero dei dati e non alle attività di trattamento effettuate dalla polizia e dalle autorità giudiziarie a livello strettamente nazionale. Ciò comporta, per le autorità competenti, notevoli problemi: spesso può essere difficile decidere se il trattamento in questione ha carattere transfrontaliero o meno. Da qui l’esigenza di sostituire pure la Decisione quadro 2008/977/GAI.

(14)

13

Dopo aver evidenziato i limiti del quadro giuridico precedente e i fattori che hanno reso necessaria una riforma del settore, verranno analizzati puntualmente i due atti del Nuovo Pacchetto, soprattutto il Regolamento 2016/679. Si metterà in risalto come molti principi, diritti e istituti che si affermano e si evolvono grazie alle Linee guida dell’OCSE, alla Convenzione 108 del Consiglio d’Europa e alla Direttiva 95/46/CE, confluiscano nel Regolamento 2016/679, dove appaiono rafforzati e disciplinati in modo più preciso e dettagliato. Il Regolamento presenta però anche differenze molto rilevanti rispetto agli strumenti appena citati. Innanzi tutto, nella Convenzione e nella Direttiva la protezione dei dati personali è funzionale alla tutela, in generale, dei diritti e delle libertà fondamentali, ma in particolare del diritto alla “privacy”; quest’ultimo è definito come “riconosciuto anche dall’Articolo 8” della CEDU, e quindi equivalente al diritto alla “vita privata”. Nel Regolamento 2016/679, invece, il diritto alla “privacy” viene completamente sostituito con il diritto alla “protezione dei dati personali”. Ciò determina un significativo mutamento di approccio: la tutela non è più “statica”, “negativa”. Al contrario si concretizza in poteri di controllo e di intervento: una tutela “dinamica”, che segue i dati nella loro circolazione. Tuttavia si vedrà che tale cambiamento non viene pienamente percepito, neanche dai professionisti del settore e dalla dottrina che si occupa della materia: il Regolamento viene quasi unanimemente considerato come uno strumento che tutela la “privacy”, mentre il diritto “alla protezione dei dati personali” fatica ancora ad emergere.

Successivamente, saranno prese in esame le altre novità del Regolamento. Esso infatti, introduce nuove nozioni, come quelle di “dati genetici” e “dati biometrici”; nuovi principi, come quello di “trasparenza”; nuovi diritti, come il diritto “alla portabilità dei dati”; nuovi obblighi in capo al titolare del trattamento, come la “protezione dei dati fin dalla progettazione e protezione per impostazione

(15)

14

predefinita”; nuove figure soggettive, come il Data Protection Officer (DPO); nuove regole in materia di autorità di controllo nazionali, come lo Sportello unico. Muta anche l’ambito di applicazione territoriale. E molti di questi cambiamenti avranno sulle imprese un impatto davvero significativo e creeranno un gran numero di posti di lavoro. D’altro canto verranno fatti notare alcuni aspetti potenzialmente critici anche di tali istituti, ad esempio del DPO e dello Sportello unico.

Infine, per quanto riguarda nello specifico la situazione italiana, si segnalerà la necessità di adottare una legge per armonizzare il Regolamento con l’ordinamento giuridico esistente, nonché la scarsa consapevolezza, da parte delle imprese, del contenuto del Regolamento: secondo uno studio che sarà citato nella tesi, quasi la metà non ha ancora previsto alcun budget per conformarsi ai nuovi obblighi.

Nella presente trattazione sarà dedicato uno spazio anche alla Direttiva 2016/680, e alle questioni che la riguardano. Essa presenta molte similitudini con il Regolamento 2016/679 e corregge alcuni difetti della Decisione quadro 2008/977/GAI, soprattutto ampliandone l’ambito di applicazione. D’altro canto essa lascia in vita, almeno in un primo momento, le normative lacunose relative ai sistemi SIS, Europol, Eurojust, che pure erano tra i fattori che avevano contribuito a far riflettere sull’opportunità di una revisione della Decisione quadro. L’ultima parte della tesi riguarderà poi la novità del Nuovo Pacchetto europeo sulla protezione dei dati che, senza dubbio, ha dato luogo al dibattito più acceso: il “diritto all’oblio” dell’Articolo 17 del Regolamento 2016/679. Verrà messo in evidenza come tale norma rappresenti un elemento decisamente innovativo rispetto alla corrispondente disposizione della Direttiva 95/46/CE, ovverosia l’Articolo 12 lettera b); d’altro canto, si tratta di un vero e proprio

(16)

15

passo indietro rispetto alla sentenza “Google Spain” della Corte di giustizia, risalente a due anni prima (13 maggio 2014): tale pronuncia, anche se caratterizzata da innumerevoli imperfezioni, accorda alla persona interessata una protezione sicuramente superiore a quella garantita dal Regolamento, tutelando il diritto all’oblio in modo amplissimo. In conclusione, anche lo stesso utilizzo dell’espressione “diritto all’oblio” verrà definito come inutile: sarebbe stato più opportuno far riferimento soltanto al tradizionale “diritto alla cancellazione”. Sono dunque destinate a rimanere deluse le aspettative create dalla Commissione europea attorno al “nuovissimo” diritto all’oblio.

(17)

(18)

17

CAPITOLO 1 – LA PROTEZIONE DEI DATI

NEGLI STRUMENTI DI DIRITTO

INTERNAZIONALE

A livello internazionale, l’interesse per la protezione dei dati personali comincia a manifestarsi a partire dagli anni Settanta del secolo scorso, quando alcune organizzazioni iniziano a elaborare strumenti giuridici in materia. Si arriva quindi, parallelamente, alla messa a punto di due pietre miliari: le Linee guida sui flussi transfrontalieri e sulla protezione dei dati di carattere personale (“Guidelines on the

Protection of Privacy and Transborder Flows of Personal Data”)

dell’Organizzazione per la cooperazione e lo sviluppo economico (OCSE, oppure OECD: Organization for Economic Co-operation and

Development)1, adottate nel 1980; e la Convenzione sulla protezione delle persone rispetto al trattamento automatizzato di dati di carattere personale (“Convention for the Protection of Individuals with regard to

Automatic Processing of Personal Data”) del Consiglio d’Europa,

datata 1981, ma entrata in vigore nel 1985; essa è meglio nota come “Convenzione 108”. Tra i due strumenti in questione vi è una differenza da mettere subito in risalto: le Linee guida sono una fonte di

soft law, la Convenzione ha invece natura vincolante. Analizziamo ora

sia le prime che la seconda, soprattutto al fine di comprendere quale influenza abbiano sull’elaborazione della disciplina UE in materia di protezione dei dati personali: molti principi, diritti e istituti che si affermano nel panorama internazionale grazie agli strumenti sopracitati, infatti, confluiranno prima nella Direttiva 95/46/CE e, in

1_{L’OCSE è un’organizzazione internazionale fondata nel 1961 per promuovere lo} sviluppo economico e il commercio internazionale. Composta originariamente da 18 Stati europei, dagli USA e dal Canada, oggi conta 35 membri, tra cui Paesi del Sud America e dell’Asia orientale. Ha sede a Parigi e ha come lingue ufficiali l’Inglese e il Francese.

(19)

18

seguito, nel Nuovo Pacchetto europeo approvato nel 2016, dove la loro disciplina risulterà perfezionata.

1.1 Le Linee guida dell’OCSE

Le Linee guida sui flussi transfrontalieri e sulla protezione dei dati di carattere personale costituiscono il primo strumento di diritto internazionale in cui vengono sanciti principi che regolano il trattamento dei dati personali.

1.1.1 Le attività preliminari alle Linee guida

L’Organizzazione per la cooperazione e lo sviluppo economico comincia ad occuparsi del tema già alla fine degli anni Sessanta, quando promuove il lancio del “Computer Utilisation Programme” e la creazione del “Computer Utilisation Group”, per studiare la materia in modo più approfondito. Il gruppo porta così avanti una serie di studi sulle banche dati elettroniche, sui computer e sulle telecomunicazioni, e si sofferma sulle questioni legate alla privacy e alla protezione dei dati2.

Nel 1972 l’OCSE crea poi un gruppo di esperti chiamato “Data Bank

Panel”, incaricato proprio di riflettere sulla regolamentazione dei

trattamenti automatizzati di dati personali. Il Data Bank Panel organizza un seminario nel 1974 e un convegno nel 1977 (a Vienna), in cui raccoglie esperienze, idee e proposte provenienti da soggetti diversi: governi, aziende, utenti.

Dopo il convegno del 1977, il Data Bank Panel viene sostituito da un nuovo gruppo di esperti, che prende proprio il nome di Expert Group

2

F. W. HONDIUS, Emerging data protection in Europe, North-Holland Publishing Company, Amsterdam, 1975, p. 57.

(20)

19

on Drafting Guidelines governing the Protection of Privacy and Transborder Data Flows of Personal Data3. L’Expert Group viene

immediatamente incaricato del compito di redigere le Linee guida sui flussi transfrontalieri e sulla protezione dei dati di carattere personale4 dal Comitato per la politica scientifica e tecnologica dell’OCSE5

. Quest’ultimo impartisce al gruppo di esperti precise istruzioni di svolgere la propria attività cooperando e consultandosi sia con il Consiglio d’Europa (già attivo da qualche anno nel settore), sia con la Comunità europea (che proprio in quegli anni comincia a mostrare interesse nell’ambito in questione)6

. I negoziati si rivelano particolarmente complessi7, soprattutto a causa di significative divergenze all’interno del gruppo tra i membri europei e quelli statunitensi, ma il 23 settembre 1980 le “OECD Guidelines on the

Protection of Privacy and Transborder Flows of Personal Data”8 vengono finalmente adottate9.

3

Tra gli esperti, anche il giurista italiano Stefano Rodotà.

4_{J. MICHAEL, Privacy and Human Rights: An International and Comparative Study,}

with Special Reference to Developments in Information Technology,

Dartmouth/UNESCO, Aldershot, 1994, p. 34.

5_{In Inglese: OECD Committee for Scientific and Technological Policy (CSTP).} 6

M. D. KIRBY, International guidelines to protect privacy in transborder data flows, ANZAAS (Australian & New Zealand Association for the Advancement of Science) Jubilee conference, Adelaide, 1980, p. 14.

7_{C. J. BENNET and C. D. RAAB, The Governance of Privacy: Policy Instruments in}

Global Perspective, Ashgate, Aldershot, 2003, p. 74.

8_{In Francese, l’altra lingua ufficiale dell’OCSE, “Lignes directrices régissant la}

protection de la vie privée et les flux transfrontières de données de caractère personnel”.

9

21 Stati membri dell’OCSE su 24 votano a favore; Australia, Canada e Irlanda preferiscono invece astenersi e rimandare la decisione circa l’adesione.

(21)

20 1.1.2 Il contenuto delle Linee guida

1.1.2.1 Il primo obiettivo delle Linee guida e l’utilizzo del termine “privacy”

Le Linee guida hanno come obiettivo la “protezione della privacy”, come si evince dalla denominazione, ma forse sarebbe più opportuno parlare di protezione della privacy e delle libertà individuali in relazione ai dati personali10. Il fatto che l’OCSE opti per l’utilizzo del termine “privacy”, comunque, è perfettamente in linea con la prospettiva statunitense, mentre rappresenta un’assoluta novità per il Vecchio Continente, dove nessuna regolamentazione in materia di dati personali è qualificata come disciplina sulla “privacy”.

Al di là dell’aspetto terminologico, dal punto di vista sostanziale le “OECD Guidelines” si applicano ai dati personali che, in virtù del modo con cui sono trattati, o in virtù della loro natura o del contesto in cui sono utilizzati, mettono in pericolo la privacy e le libertà individuali, indipendentemente dal fatto che il trattamento avvenga nel settore pubblico o in quello privato (e indipendentemente dal fatto che siano trattati automaticamente o manualmente), come previsto dall’Articolo 2 delle stesse Linee guida11

.

L’Articolo 1, invece, definisce come “dato personale” ogni informazione relativa ad un individuo identificato o identificabile (cioè, la persona interessata)12: anticipiamo che in seguito, soprattutto negli strumenti giuridici più recenti, tale definizione verrà arricchita; ma il suo nucleo rimarrà sempre il medesimo. La stessa disposizione precisa anche la nozione di “data controller”, quello che per noi è il

10

G. GONZÁLEZ FUSTER, The Emergence of Personal Data Protection as a

Fundamental Right of the EU, Springer, Dordrecht, 2014, p. 79.

11

In Inglese: “These Guidelines apply to personal data, whether in the public or

private sectors, which, because of the manner in which they are processed, or because of their nature or the context in which they are used, pose a danger to privacy and individual liberties”.

12

In Inglese: “Personal data means any information relating to an identified or

(22)

21

titolare del trattamento, figura di cui ci occuperemo diffusamente in seguito.

La Parte seconda (articolo 7-14) sancisce poi quali principi debbano regolare il trattamento dei dati personali. Elenchiamo i più rilevanti:

- Il principio di limitazione della raccolta (“collection limitation

principle”): i dati devono essere ottenuti con mezzi leciti e

corretti (“lawful and fair means”) e, se opportuno, col consenso (“consent”) della persona interessata (Articolo 7).

- Il principio della qualità dei dati (“data quality principle”): i dati devono essere pertinenti (“relevant”) rispetto alle finalità per le quali vengono utilizzati, e devono essere esatti (“accurate”) e aggiornati (Articolo 8).

- Il principio della determinazione delle finalità (“purpose

specification principle”): i dati devono essere raccolti per

finalità determinate (“specified”) e successivamente utilizzati in modo non incompatibile con tali finalità (Articolo 9).

- Il principio delle garanzie di sicurezza (“security safeguards

principle”): tali garanzie devono impedire la perdita, l’accesso

non autorizzato, la distruzione, la modifica o la divulgazione dei dati (Articolo 11).

- Il principio di partecipazione individuale (“individual

participation principle”): l’interessato ha il diritto di ottenere

determinate informazioni, di accedere ai dati che lo riguardano, di chiederne la cancellazione o la rettifica, e in caso di risposta negativa ad una sua richiesta ha il diritto di contestare tale diniego (Articolo 13).

Ritroveremo i sopramenzionati principi, nonché i diritti dell’Articolo 13, ancor meglio disciplinati negli strumenti che esamineremo in seguito.

(23)

22 1.1.2.2 Il secondo obiettivo delle Linee guida

Ma la protezione della privacy e delle libertà individuali non è certo l’unico obiettivo perseguito dalle Linee guida. C’è infatti anche un secondo, importantissimo, scopo: mettere al riparo i flussi transfrontalieri di dati personali, evitando che nelle legislazioni nazionali vi siano disparità tali da ostacolarli. Uno dei maggiori obiettivi dell’OCSE è infatti quello di promuovere lo sviluppo del commercio internazionale, ragion per cui preoccupa la possibilità che alcune disposizioni interne creino delle barriere al flusso libero delle informazioni, frenando così la crescita. Il timore più grande è che, utilizzando l’etichetta della “protezione dei dati”, si adottino in realtà misure che ostacolino il libero scambio: da “data protection” si passerebbe a “data protectionism”13

.

Ai flussi transfrontalieri sono dunque dedicati quattro articoli (15-18); menzioniamo in questa sede l’Articolo 17, che contiene un generale invito rivolto agli Stati membri ad astenersi dal limitare i flussi di dati tra sé e gli altri Stati membri; e l’Articolo 18, il quale suggerisce di evitare leggi che, in nome della protezione della privacy e delle libertà individuali, creino ostacoli a tali flussi.

Come vedremo meglio nel prosieguo, la presenza di questo duplice obiettivo è un altro elemento che accomuna le Linee guida, la Convenzione 108, la Direttiva 95/46/CE e il Regolamento 2016/679.

1.1.3 Gli atti successivi alle Linee guida (e il mantenimento del termine “privacy”)

Dopo l’adozione delle Guidelines nel 1980, l’OCSE rimane decisamente attiva nel settore: un esempio è la Dichiarazione sui flussi

13

M. D. KIRBY, International guidelines to protect privacy in transborder data flows, ANZAAS (Australian & New Zealand Association for the Advancement of Science) Jubilee conference, Adelaide, 1980, p. 4.

(24)

23

transfrontalieri di dati dell’11 aprile 1985, con cui vengono ribadite le Linee guida, e contemporaneamente si mette in evidenza per l’ennesima volta l’interesse dell’OCSE nei riguardi di uno scambio di informazioni privo di ostacoli.

Degno di nota è il fatto che, anche successivamente, l’OCSE tiene ferma la terminologia originaria, continuando ad utilizzare la parola “privacy”. In una Raccomandazione del 2007, in modo particolare, si afferma che ai fini della Raccomandazione stessa tutte le leggi o regolamentazioni nazionali, l’applicazione delle quali ha l’effetto di proteggere i dati personali in linea con le OECD Privacy Guidelines, devono essere considerate come strumenti giuridici per la protezione della “privacy”.

Infine, l’ultimo passaggio nella storia delle Linee guida è datato 2013, anno in cui l’OCSE provvede a rivederle ed aggiornarle.

Per concludere, ripetiamo che le Guidelines hanno grande influenza a livello globale sulle regolamentazioni approntate successivamente; ma, essendo appunto “semplici” Linee guida, esse non sono giuridicamente vincolanti. A breve analizzeremo invece uno strumento che, essendo giuridicamente vincolante, ha almeno in Europa un impatto ancor più significativo.

(25)

24

1.2 Il Consiglio d’Europa: dalla CEDU alla

Convenzione 108

Il Consiglio d’Europa è un’organizzazione internazionale fondata nel 1949 da dieci Paesi europei14, con lo scopo di promuovere in tutt’Europa principi e ideali comuni, democrazia, diritti umani, sviluppo economico e sociale. Oggi conta ben 47 membri, ha sede a Strasburgo e ha due lingue ufficiali: l’Inglese e il Francese.

1.2.1 L’Articolo 8 della CEDU

Già nel 1949, in seno al Consiglio d’Europa cominciano i negoziati finalizzati alla stesura e all’adozione di un catalogo di diritti umani: la Convenzione europea per la salvaguardia dei diritti dell’uomo e delle libertà fondamentali, o più semplicemente CEDU15. La firma arriva il 4 novembre 1950, l’entrata in vigore il 3 settembre 1953, e in breve tempo la CEDU diventa il più importante strumento giuridico in materia di diritti umani a livello europeo.

Da non dimenticare che l’elenco di diritti e libertà contenuto nella Convenzione si ispira fortemente a quello della Dichiarazione universale dei diritti umani del 194816. Ma l’Articolo 8 della CEDU, che come vedremo verrà considerato come una delle norme più significative a livello internazionale in materia di “privacy”, non utilizza espressamente il termine in questione, e in ciò differisce

14_{Belgio, Danimarca, Francia, Irlanda, Italia, Lussemburgo, Paesi Bassi, Norvegia,} Regno Unito e Svezia. Tra il 1949 e il 1950 si aggiungono poi Germania, Grecia, Islanda e Turchia. Nel 1956 l’Austria, nel 1961 Cipro, nel 1963 la Svizzera, nel 1965 Malta.

15

In Inglese: “Convention for the Protection of Human Rights and Fundamental

Freedoms”, o ECHR.

(26)

25

proprio dalla corrispondente disposizione della Dichiarazione universale dei diritti dell’uomo: l’Articolo 12 della Dichiarazione, nella sua versione in lingua inglese, stabilisce che “no one shall be

subjected to arbitrary interference with his privacy, family, home or correspondence, nor to attacks upon his honour and reputation”; la

disposizione speculare della CEDU, l’Articolo 8, recita invece (anch’esso nella sua versione in lingua inglese): “everyone has the

right to respect for his private and family life, his home and his correspondence”.

La ragione è che il termine “privacy” si è come “smarrito” da una traduzione all’altra. Andiamo per ordine:

- Come già detto, nella versione inglese dell’Articolo 12 della Dichiarazione, troviamo la parola “privacy”; non però nella versione francese: qui l’espressione utilizzata è “vie privée” (così come nella traduzione italiana della stessa disposizione leggiamo “vita privata”).

- Per quanto riguarda l’Articolo 8 della CEDU, nella bozza originaria della versione inglese viene ripreso il vocabolo “privacy”; ma pochi mesi prima della firma, complice appunto l’influenza francese, tale termine viene sostituito da “private

life” (ovviamente, nella versione francese continuiamo a

leggere “vie privée”, e nella traduzione italiana “vita privata”).

Il risultato è paradossale: le due versioni dell’Articolo 8 della CEDU, all’apparenza, sembrano simili; ma in realtà, mentre il testo francese mantiene la propria corrispondenza con l’Articolo 12 della Dichiarazione, tale corrispondenza si perde nel testo inglese.

Tutto ciò è problematico dal momento che, nonostante i termini “privacy” e “vita privata” siano spesso utilizzati come sinonimi, non solo nel linguaggio di tutti i giorni, ma anche in quello giuridico,

(27)

26

esistono a ben vedere delle differenze. Il diritto alla “privacy”, che nasce nel XIX secolo e viene definito in origine come “il diritto ad essere lasciati soli” (“the right to be let alone”)17

, subisce una profonda trasformazione, e include oggi sia il diritto al rispetto della “vita privata” (soprattutto da parte dei pubblici poteri), che il diritto all’autonomia e all’autodeterminazione personale18

. Di conseguenza, il concetto di “privacy” è più ampio e articolato rispetto a quello di “vita privata”.

Anticipiamo però che, sia per le istituzioni del Consiglio d’Europa, sia per quelle delle Comunità europee, le due nozioni finiranno progressivamente col coincidere. Addirittura, come vedremo e sottolineeremo in più di un’occasione, in Italiano si utilizzerà l’espressione “vita privata” proprio come traduzione della parola inglese “privacy” (soprattutto nella Convenzione 108 e negli strumenti di diritto UE). Inoltre, l’Articolo 8 della CEDU verrà considerato come una disposizione che tutela proprio il diritto alla “privacy”.

1.2.2 L’utilizzo del termine “privacy” in riferimento all’Articolo 8 della CEDU e la necessità di regolare l’uso dei computer

Ma questo non fin da subito: l’interprete ultimo della Convenzione, ovvero la Corte europea dei diritti dell’uomo (con sede a Strasburgo), nei primi decenni evita sistematicamente di usare la parola “privacy” nel riferirsi ai diritti protetti dall’Articolo 8. Anzi, di più: nessuna istituzione del Consiglio d’Europa utilizza il termine in questione, se non sporadicamente e in modo non rilevante, durante tutto l’arco temporale che va dall’adozione della CEDU al 1967.

17_{S. WARREN and L. BRANDEIS, The Right to Privacy, in Harvard Law Review, 1890,} p. 193 ss.

18

G. PINO, Teorie e dottrine dei diritti della personalità: Uno studio di

meta-giurisprudenza analitica, in Materiali per una storia della cultura giuridica, 2003, p.

(28)

27

La situazione comincia a cambiare proprio nel 1967, quando il diritto alla “privacy” comincia ad essere considerato come uno dei diritti sanciti dall’Articolo 8. Questa novità viene registrata per la prima volta nell’ambito del dibattito, in seno al Consiglio d’Europa, circa l’impatto dello sviluppo scientifico e tecnologico nella protezione dei diritti umani; in modo particolare, ci si chiede esplicitamente se l’Articolo 8 e le legislazioni nazionali degli Stati membri proteggano adeguatamente il diritto alla “privacy” (proprio questo il termine che viene adoperato) nei confronti delle violazioni che possono essere commesse con l’uso dei nuovi metodi scientifici e tecnologici19.

In seguito a tale dibattito, l’Assemblea parlamentare del Consiglio d’Europa adotta una Raccomandazione indirizzata ai governi degli Stati membri: la Raccomandazione numero 509 del 1968, che a sua volta afferma che i moderni metodi scientifici e tecnologici possono mettere in serio pericolo i diritti e le libertà individuali e, specialmente, il diritto alla “privacy”, “which is protected by Article 8”. Proprio per questo, si esorta a uno studio più approfondito sul settore in questione, che conseguentemente viene inserito nel Programma di lavoro intergovernativo del Consiglio d’Europa per il 1968-1969, ed è il Comitato di esperti per i diritti umani che viene incaricato di occuparsene.

Il Comitato di esperti per i diritti umani, sorprendentemente, giudica come ragionevolmente sotto controllo tutti gli sviluppi tecnologici a cui si fa riferimento nella Raccomandazione 509 (1968); d’altro canto evidenzia come grandi rischi provengano da un ambito non menzionato nella stessa: quello dei computer. E il Comitato solleva dei dubbi circa il fatto che la CEDU possa fornire garanzie soddisfacenti in tale ambito, specialmente per una ragione: l’Articolo 8 può essere

19

G. GONZÁLEZ FUSTER, The Emergence of Personal Data Protection as a

(29)

28

applicato solo alle ingerenze da parte delle autorità pubbliche, e non a quelle da parte di soggetti privati.

In definitiva, dall’inizio degli anni 70:

- La parola “privacy” comincia ad essere utilizzata con costanza in riferimento al contenuto dell’Articolo 8 della CEDU;

- Il Consiglio d’Europa si rende conto che, per tutelare al meglio la “privacy”, lo stesso Articolo 8 non basta, ed è assolutamente necessario regolare l’uso dei computer.

1.2.3 Le risoluzioni (73) 22 e (74) 29 sulla protezione della privacy degli individui rispetto alle banche dati elettroniche

In seguito alla Raccomandazione 509 (1968), il Consiglio d’Europa continua a concentrarsi sulla necessità di proteggere la privacy dei cittadini; in modo particolare la linea che viene seguita è quella di approfondire la tematica delle banche dati elettroniche, lasciando temporaneamente da parte gli altri aspetti della privacy20. Il risultato del lavoro del Consiglio d’Europa è l’adozione da parte del Comitato dei Ministri, il 26 settembre 1973, della Risoluzione numero 22 sulla protezione della privacy degli individui rispetto alle banche dati elettroniche nel settore privato21. A inizio anni 70, sono pochi gli Stati membri in cui vigono già leggi in materia; ma in altri Paesi sono in discussione importanti proposte di legge (ad esempio in Belgio); ed è proprio la necessità di evitare divergenze troppo profonde tra le discipline che stanno per sopravvenire una delle ragioni per cui viene adottata, ed anche con grande celerità, la Risoluzione (73) 22.

20_{F. W. HONDIUS, Emerging data protection in Europe, North-Holland Publishing} Company, Amsterdam, 1975, p. 66.

21

In Inglese: “Resolution (73) 22 on the protection of the privacy of individuals

(30)

29

La Risoluzione, che assume la forma di una Raccomandazione agli Stati membri (e dunque non è giuridicamente vincolante), contiene un elenco di principi che si applicano ai dati personali registrati in banche dati elettroniche nel settore privato. I più importanti riguardano:

- la qualità delle informazioni; - le finalità delle informazioni;

- i mezzi attraverso i quali le informazioni sono ottenute; - il periodo di conservazione dei dati;

- il diritto all’informazione della persona interessata; - la cancellazione e la rettifica delle informazioni; - le misure per prevenire gli abusi;

- l’accesso alle informazioni.

Dal punto di vista terminologico, ricordiamo che la parola “privacy” è utilizzata immediatamente, proprio nel titolo della Risoluzione: l’idea che pervade l’atto è dunque quella in base a cui la regolamentazione dei trattamenti automatizzati di dati sia funzionale alla protezione della “privacy”; d’altro canto questa nozione non viene né definita né delimitata. L’espressione “dato personale”, invece, viene definita come ogni informazione relativa a persone fisiche.

Da sottolineare che i vocaboli “dato” e “informazione” sono totalmente intercambiabili all’interno della Risoluzione. Ciò è frutto di un’intenzione ben precisa: quella di rendere irrilevanti le differenze terminologiche tra le legislazioni nazionali del periodo, alcune delle quali parlano di “dati”, altre appunto di “informazioni”22

.

Dal momento che la Risoluzione (73) 22 si occupa esclusivamente delle banche dati nel settore privato, il Consiglio d’Europa, il 20 settembre 1974, adotta un secondo strumento che, al contrario, si applica solo al settore pubblico: la Risoluzione (74) 29, sulla tutela

22

(31)

30

della privacy degli individui rispetto alle banche dati elettroniche nel settore pubblico23. Anche quest’atto assume la forma di una Raccomandazione ai governi degli Stati Membri e contiene un elenco di principi.

1.2.4 La nascita della nozione di “data protection” e la sua riconduzione nell’ambito della “privacy”

Già dalla fine del 1974, gli esperti del Consiglio d’Europa ritengono che il corpus normativo creatosi nel Vecchio Continente per la protezione degli individui nei confronti delle raccolte computerizzate debba essere indicato con un nome specifico: “data protection”, protezione dei dati personali. Tale nozione può essere definita come l’insieme di regole e strumenti giuridici ideati per proteggere i diritti, le libertà, e gli interessi degli individui i dati personali dei quali sono registrati, trattati e diffusi mediante computer da intrusioni illegali, e per proteggere le informazioni registrate nei confronti dell’alterazione, della perdita, della distruzione o della divulgazione non autorizzate, accidentali o intenzionali24. D’altro canto, questo corpus normativo viene ricondotto nell’ambito della “privacy”.

1.2.5 Le attività preliminari alla Convenzione 108

Dopo aver adottato le risoluzioni (73) 22 e (74) 29, il Consiglio d’Europa decide di proseguire il suo lavoro, verificando il loro impatto e, in generale, i progressi compiuti dalle legislazioni nazionali nel

23_{In Inglese: “Resolution (74) 29 on the protection of the privacy of individuals}

vis-à-vis electronic data banks in the public sector”.

24

(32)

31

settore. Uno studio comparativo del 1975 mostra come tutte le discipline europee in materia abbiano in comune alcuni principi fondamentali, che riguardano soprattutto la qualità delle informazioni, gli obblighi gravanti su colui che gestisce la banca dati, i diritti delle persone i cui dati sono registrati, un controllo pubblico da parte di un’autorità ad hoc, l’esistenza di regole procedimentali e di sanzioni. D’altro canto, lo studio evidenzia l’esistenza di disparità, che vengono ritenute un problema tale da giustificare un intervento ulteriore.

Nel 1976, viene creato un Comitato di esperti sulla protezione dei dati, il cui obiettivo è quello di ultimare una Convenzione per la protezione della privacy rispetto al trattamento di dati personali entro il 1980. Il Comitato di esperti lavora da novembre 1976 a maggio 1979; nel frattempo, nel 1978, viene ribattezzato Gruppo di progetto sulla protezione dei dati25, noto anche come CJ-PD.

Il Comitato, fin da subito, entra in contatto con l’OCSE, con cui comincia un rapporto all’insegna della cooperazione e dell’aiuto reciproco26: l’idea comune, infatti, è quella in base a cui la futura Convenzione del Consiglio d’Europa debba rispettare il principio di non-limitazione dei flussi transfrontalieri di dati personali, principio molto caro all’Organizzazione per la cooperazione e lo sviluppo economico.

Accogliendo la proposta di uno degli esperti, Frits W. Hondius, si decide di redigere una Convenzione che possa essere ratificata non solo da Stati europei, ma anche da Paesi extra-europei: dunque, pur elaborata in un contesto regionale, si tratta di uno strumento a vocazione universale, e proprio per questo non assume la

25_{In Inglese: “Project Group on Data Protection”.} 26

J. MICHAEL, Privacy and Human Rights: An International and Comparative Study,

with Special Reference to Developments in Information Technology,

(33)

32

denominazione di Convenzione europea, ma esclusivamente di Convenzione. La disposizione di riferimento, comunque, è l’Articolo 23 (“Adesione di Stati non membri”), che recita “successivamente all’entrata in vigore della presente Convenzione, il Comitato dei Ministri del Consiglio d’Europa potrà invitare ogni Stato non membro del Consiglio d’Europa ad aderire alla stessa”. Alla Convenzione, il 10 aprile 2013, aderisce l’Uruguay; il 17 giugno 2016, la Repubblica di Mauritius; il 25 agosto 2016 anche il Senegal; situazione ancora in fieri, invece, per Capo Verde, Marocco, Tunisia e Burkina Faso (invitata ad aderire il 23 marzo 2017).

Durante la stesura della Convenzione, si intensificano i contatti tra il Consiglio d’Europa e le istituzioni comunitarie. Nel 1979, in particolare, il Segretario Generale del Parlamento europeo invia una lettera al Segretario generale del Consiglio d’Europa, per dargli notizia del grande interesse del Parlamento europeo nel settore. Nel 1980 l’Assemblea parlamentare del Consiglio d’Europa adotta una Risoluzione con cui accoglie con favore l’interesse del Parlamento europeo in questo campo, e lo invita a indirizzare la sua attenzione su come le istituzioni comunitarie possano agire per rafforzare i principi e le previsioni della Convenzione 108.

La versione definitiva della Convenzione sulla protezione delle persone rispetto al trattamento automatizzato di dati di carattere personale (“Convention for the Protection of Individuals with regard to

Automatic Processing of Personal Data”) viene pubblicata nell’aprile

1980, adottata dal Comitato dei Ministri il 17 settembre 1980, e aperta alla firma il 28 gennaio 1981, a Strasburgo.

(34)

33 1.2.6 Il contenuto della Convenzione 108

1.2.6.1 La protezione dei dati come funzionale alla tutela del diritto alla “privacy”

Analizziamo ora la Convenzione, riportando innanzi tutto la prima disposizione della stessa:

Article 1 – Object and purpose

The purpose of this Convention is to secure in the territory of each Party for every individual, whatever his nationality or residence, respect for his rights and fundamental freedoms, and in particular his right to privacy, with regard to automatic processing of personal data

relating to him ("data protection").

Dunque, in base all’Articolo 1 lo scopo della Convenzione 108 è quello di garantire, sul territorio di ogni Paese parte, il rispetto dei diritti e delle libertà fondamentali della persona, ed in particolare del diritto alla “privacy” (nella traduzione italiana “vita privata”), nei confronti dell’elaborazione automatizzata dei dati di carattere personale che la riguardano ("protezione dei dati").

Da questa disposizione, si evincono ben tre novità fondamentali che rendono la Convenzione 108 una vera e propria pietra miliare nell’ambito delle discipline sul trattamento dei dati personali:

- Si inserisce per la prima volta in uno strumento di diritto internazionale giuridicamente vincolante l’espressione “data

protection”.

- Si collega formalmente la protezione dei dati alla tutela, in generale, dei diritti e delle libertà fondamentali.

- Si stabilisce un collegamento speciale tra la protezione dei dati e il diritto alla “privacy”, e con tale nozione si intende

(35)

34

indubitabilmente il diritto sancito dall’Articolo 8 della CEDU (anche se, è opportuno ricordarlo, dal punto di vista meramente testuale tale disposizione utilizza l’espressione “private life”). Quindi, ai fini della Convenzione, esiste un quid chiamato “data protection” che viene regolamentato per preservare un

quid chiamato “privacy”27.

In definitiva la Convenzione 108, che si colloca nel solco degli strumenti di soft law precedentemente adottati, sancisce l’idea in base a cui la protezione dei dati personali è funzionale alla tutela, in generale, dei diritti e delle libertà fondamentali, ma in particolare del diritto alla “privacy”. Anticipiamo che questa impostazione verrà ripresa dagli strumenti giuridici adottati successivamente in seno all’Unione europea.

1.2.6.2 Gli obiettivi della Convenzione

Da notare che, mentre le Linee guida dell’OCSE hanno ben due obiettivi, che configgono l’uno con l’altro, ma tra cui si tenta una conciliazione (la “privacy” e il flusso libero delle informazioni), la Convenzione 108 ha invece, almeno formalmente, un solo scopo: assicurare la protezione dei dati.

Tuttavia, leggendo il testo della Convenzione, ci rendiamo conto che dal punto di vista sostanziale le cose stanno diversamente, poiché essa si occupa anche di assicurare il flusso libero dei dati: il Capitolo III, infatti, è dedicato al “Movimento di dati oltre frontiera” (“Transborder

data flows”), e sancisce che una Parte non può, ai soli fini della

protezione della “privacy”, “proibire o condizionare ad una autorizzazione speciale il movimento oltrefrontiera di dati a carattere personale destinati al territorio di un’altra Parte” (Articolo 12

27

D. H. FLAHERTY, Protecting Privacy in Surveillance Societies: The Federal Republic

of Germany, Sweden, France, Canada and the United States, University of North

(36)

35

paragrafo 2); il presupposto implicito è ovviamente che le Parti contraenti assicurino un livello di protezione equivalente28.

Il flusso libero dei dati personali si ricollega, ancorché in modo piuttosto indeterminato, sia alla nozione di libero mercato, sia alla libertà di espressione (“freedom of expression”): secondo l’Articolo 10 paragrafo 1 della CEDU, infatti, la libertà di espressione include “la libertà di ricevere o di comunicare informazioni o idee senza che vi possa essere ingerenza da parte delle autorità pubbliche e senza limiti di frontiera”. Ricordiamo poi che il Preambolo della Convenzione 108 definisce la libera circolazione dell’informazione tra i popoli come un valore fondamentale. Quindi, in conclusione, anche se formalmente la Convenzione non si prefigge come obiettivo quello di assicurare il flusso libero dei dati, essa si occupa di tale questione non meno delle Linee guida29.

1.2.6.3 L’ambito di applicazione

L’ambito di applicazione della Convenzione, definito dall’Articolo 3 paragrafo 1 della stessa, si estende alle collezioni automatizzate e ai trattamenti automatizzati di dati a carattere personale (“automated

personal data files and automatic processing of personal data”), tanto

nel settore pubblico quanto in quello privato. C’è quindi una differenza fondamentale rispetto alle OECD Guidelines (le quali, ricordiamo, si applicano ai dati personali che, in virtù del modo con cui sono trattati,

28

Il paragrafo 3 dello stesso Articolo 12 sancisce tuttavia due eccezioni. Una Parte può infatti derogare al paragrafo 2:

a) se la sua legislazione prevede una disciplina specifica per alcune categorie di dati o di collezioni in ragione della loro particolare natura;

b) “se il trasferimento è effettuato a partire dal proprio territorio verso il territorio di uno Stato non contraente tramite il territorio di un’altra parte”. Ciò per impedire che le legislazioni nazionali sui flussi transfrontalieri vengano aggirate: in questo caso, infatti, il trasferimento è rivolto solo apparentemente a un Paese contraente, ma in realtà è diretto a uno Stato terzo.

29

J. P. JACQUE’, La Convention pour la protection des personnes à l’égard du

traitement automatisé des données à caractère personnel, Annuaire Français de Droit International, 1980, p. 773 ss., spec. p. 779.

(37)

36

o in virtù della loro natura o del contesto in cui sono utilizzati, mettono in pericolo la privacy e le libertà individuali, indipendentemente dal fatto che il trattamento avvenga nel settore pubblico o in quello privato): la Convenzione 108, infatti, riguarda solo ed esclusivamente i trattamenti automatizzati. Si tratta comunque di un ambito di applicazione davvero ampio, che si estende ad ogni settore della società: lavoro, banche, assicurazioni, commercio, scuola, sanità, polizia, giustizia, pubblica amministrazione.

In base al paragrafo 2 dell’Articolo 3, tuttavia, gli Stati contraenti godono di un notevole margine di discrezionalità nel restringere o ampliare tale ambito, sia relativamente alle categorie di collezioni, sia per quanto riguarda le categorie di soggetti interessati.

Da evidenziare che non rileva, ai fini dell’applicabilità della disciplina in questione, la forma sotto la quale i dati vengono trattati o utilizzati: come dimostrato dalla pratica e dalla giurisprudenza della Corte europea dei diritti dell’uomo, possono essere contenuti in comunicazioni sia scritte che orali, in immagini, filmati, sistemi di posizionamento GPS, rilevamenti da impianti televisivi a circuito chiuso, campioni cellulari di tessuti umani, e in altre possibili configurazioni30.

I dati personali, invece, sono definiti dall’Articolo 2 lettera a) della Convenzione come “ogni informazione relativa ad una persona fisica identificata o identificabile (persona interessata)”31

; non vi sono dunque differenze, da questo punto di vista, rispetto all’Articolo 1 delle Linee guida.

30_{M. FUMAGALLI MERAVIGLIA, Le nuove normative europee sulla protezione dei}

dati personali, in Diritto comunitario e degli scambi internazionali, 2016, p. 1 ss.,

spec. pp. 3-4. 31

In Inglese: “Personal data means any information relating to an identified or

(38)

37 1.2.6.4 I principi

Il Capitolo II della Convenzione 108, poi, è dedicato ai “Principi fondamentali per la protezione dei dati”; alcune delle disposizioni più significative del Capitolo in questione sono:

- L’Articolo 5: “Qualità dei dati”;

- L’Articolo 6: “Categorie speciali di dati”; - L’Articolo 7: “Sicurezza dei dati”;

- L’Articolo 8: “Ulteriori garanzie per la persona interessata”.

La nozione di “qualità dei dati”, poi, merita un’attenzione particolare: indica che i dati a carattere personale oggetto di un’elaborazione automatizzata devono essere:

- trattati “in modo lecito (“lawfully”) e corretto (“fairly”)” (Articolo 5 lettera a);

- “registrati per scopi determinati e legittimi (“specified and

legitimate purposes”) ed impiegati in una maniera non

incompatibile con detti fini” (Articolo 5 lettera b);

- “adeguati, pertinenti e non eccessivi (“adequate, relevant and

not excessive”) riguardo ai fini per i quali vengono registrati”

(Articolo 5 lettera c);

- “esatti (“accurate”) e, se necessario, aggiornati” (Articolo 5 lettera d);

- “conservati in una forma che consenta l’identificazione delle persone interessate per una durata non superiore a quella necessaria ai fini per i quali sono registrati” (Articolo 5 lettera e).

Per quanto riguarda i principi, possiamo notare numerosi parallelismi con le risoluzioni 1973-1974 e, anche in questo caso, con le Linee guida dell’OCSE: esse come abbiamo visto fanno a loro volta riferimento alla liceità e correttezza (Articolo 7), alla determinazione

(39)

38

degli scopi (Articolo 9), al fatto che i dati devono essere pertinenti rispetto alle finalità (Articolo 8) e al fatto che i dati devono essere esatti e aggiornati (ancora Articolo 8, che infatti è dedicato alla “qualità dei dati”, proprio come l’Articolo 5 della Convenzione). Inoltre l’Articolo 7 della Convenzione, sulla sicurezza dei dati, corrisponde all’Articolo 11 delle Linee guida.

1.2.6.5 I diritti dell’interessato

Invece, sotto l’etichetta di “ulteriori garanzie per la persona interessata”, vengono riconosciuti alcuni diritti; in modo particolare:

- Il diritto all’informazione; più precisamente, il diritto di conoscere l’esistenza di una collezione automatizzata di dati a carattere personale, i suoi fini principali, nonché l’identità e la residenza abituale, ovvero la sede amministrativa, del responsabile della collezione (Articolo 8 lettera a);

- Il diritto di accesso; più precisamente, il diritto di ottenere ad intervalli di tempo ragionevoli e senza ritardo o spese eccessive la conferma dell’esistenza o meno nella collezione automatizzata dei dati di carattere personale relativi alla persona interessata stessa, come pure la trasmissione di tali dati in una forma intellegibile (Articolo 8 lettera b);

- Il diritto di ottenere la rettifica dei dati o la loro cancellazione qualora questi siano stati elaborati in violazione delle disposizioni di diritto interno di esecuzione dei principi fondamentali di cui agli articoli 5 o 6 della Convenzione (Articolo 8 lettera c);

- Il diritto di disporre di una possibilità di ricorso qualora non venga dato seguito ad una richiesta di conferma o di comunicazione, rettifica, o cancellazione (Articolo 8 lettera d). Ricordiamo che infatti l’Articolo 10 prevede che “ogni Parte si impegna a fissare sanzioni e ricorsi adeguati relativi alle

(40)

39

violazioni alle disposizioni del diritto interno di esecuzione dei principi fondamentali per la protezione dei dati” enunciati nel Capitolo II.

Ricordiamo che i diritti dell’Articolo 8 della Convenzione corrispondono a quelli dell’Articolo 13 delle Linee guida, e ci sono significative somiglianze anche con le risoluzioni 1973-1974.

1.2.6.6 Il Comitato consultivo

La Convenzione 108 istituisce un Comitato consultivo (noto anche come T-DP), a cui è dedicato l’intero Capitolo V. In base all’Articolo 18, il Comitato è composto da un rappresentante (e un supplente) per ogni Stato parte della Convenzione, e da osservatori; l’Articolo 19, poi, elenca le funzioni del Comitato stesso: fare proposte al fine di facilitare o migliorare l’applicazione della Convenzione; fare proposte di emendamento alla Convenzione; emettere un parere su ogni proposta di emendamento alla Convenzione che gli sia sottoposta; esprimere, dietro domanda di una Parte, un parere su ogni questione relativa all’applicazione della presente Convenzione.

Da ricordare che, nel 2003, il Comitato Consultivo si fonde con il sopracitato Gruppo di progetto sulla protezione dei dati (istituito nel 1978).

1.2.7 Gli effetti della Convenzione 108

Uno dei primi effetti dell’adozione della Convenzione 108 è quello di rimandare ogni possibile discussione circa l’inserimento nella CEDU (attraverso una modifica dell’Articolo 8 o 10, oppure aggiungendo un nuovo articolo) di una disposizione specifica sulla protezione dei dati. Il Consiglio d’Europa, infatti, ritiene preferibile accumulare esperienza