Il trasferimento dei dati verso Paesi terzi ed organizzazioni internazionali

Dipartimento di Giurisprudenza

Corso di Laurea Magistrale in Giurisprudenza

Tesi di Laurea

Il trasferimento dei dati verso Paesi terzi

ed organizzazioni internazionali

Candidata

Relatore

Enrica Vergari

Prof. Antonio Marcello Calamia

Alla mia famiglia, a Mino, a Nuvy e a tutte le meravigliose amicizie nate e cresciute in questi cinque anni pisani.

Indice

Introduzione

1 CAPITOLO I: Il diritto alla privacy e il dato personale

1.1 Origine ed evoluzione storico-filosofica del diritto alla privacy ... 4

1.2 L’evoluzione del dato personale e la sua influenza sul diritto alla privacy………...10

1.3 Il graduale riconoscimento normativo della privacy nell’ordinamento europeo e nazionale ... 26

2 CAPITOLO II: Il trasferimento transfrontaliero dei dati

personali

2.1 La data economy e il suo influsso sulla disciplina del trasferimento transfrontaliero dei dati personali ... 41

2.2 Dalla Direttiva 45/96/CE al Regolamento (UE) 2016/679 .... 63

2.3 La decisione di adeguatezza ... 80

2.4 Le garanzie adeguate ... 114

2.4.1 Le norme vincolanti d’impresa ... 122

2.4.2 Le clausole contrattuali tipo ... 140

2.4.3 I Codici di condotta ed i meccanismi di certificazione 158 2.5 Le deroghe specifiche rispetto alle garanzie che devono essere fornite in caso di trasferimento dei dati ... 171

2.6 La cooperazione internazionale per la protezione dei dati .. 199

3 Capitolo III: Il trasferimento di dati personali europei

verso gli Stati Uniti

3.2 Il Safe Harbor Agreement ... 215 3.3 La sentenza Schrmes ... 235 3.4 Dalla sentenza Schrems all’adozione del Privacy Shield .... 253

Conclusione

Bibliografia

1

Introduzione

Il lavoro di ricerca ed elaborazione racchiuso in queste pagine nasce a seguito della lettura, del tutto casuale, dell’espressione del Garante

Privacy, ripresa dal Governo Italiano, secondo cui "il diritto alla protezione dei dati personali è un diritto alla libertà".

Una formulazione suggestiva ma anche molto interessante, soprattutto se rapportata ai recenti casi come Cambridge Analytica, PRISM,

Schrems, Google Spain, Face App che sembrerebbero dimostrare

l’esatto contrario, divenendo degli esempi conclamati di come i sistemi di protezione dei dati, spesso, possano incorrere in lacune.

Si assiste, dunque, alla compresenza di due scenari differenti e totalmente opposti che, tuttavia, costituiscono le facce della medesima medaglia: la rivoluzione “digitale”. Si tratta di un mutamento radicale che ha aperto alla nuova società vie straordinarie alla conoscenza, alla partecipazione politica, sociale ed al benessere. Numerosissimi sono i vantaggi apportati sia in termini di efficienza gestionale ed organizzativa, sia in termini di un miglioramento nel processo decisionale. Si pensi, solo, allo sviluppo degli strumenti di automazione, d’Intelligenza Artificiale (IA) avvenuta negli ultimi anni. D’altra parte, però, “rivoluzione” vuol dire anche “disordine” o “sconvolgimento”. Il dato personale è diventato, infatti, la componente

2

essenziale di un complesso ecosistema di operatori sul mercato, data

economy, che utilizzano raccolgono, producono, conservano, trattano,

distribuiscono, analizzano, elaborano i dati, fornendo, nella maggior parte dei casi, servizi a vantaggio della collettività. Pertanto, sebbene non formalmente, esso viene a configurarsi, anche, come un prodotto, un bene oggetto di scambio all’interno di quello che prende il nome di

data market. In tal contesto, la crescente consapevolezza del valore

intrinseco del dato ha portato ad una sempre maggiore raccolta dello stesso. I progressi nei campi dell’informatica e delle telecomunicazioni hanno aperto la strada ad innovative soluzioni per acquisire, immagazzinare ed elaborare quantità di dati prima inimmaginabili. Basti pensare ai Big Data, al Cloud Computing o all’Internet of Things. Il problema principale è che finora a sfruttare tutte queste informazioni sono stati principalmente i “grandi latifondisti dei dati”, le grandi

corporations del web ed organizzazioni per fini prettamente

pubblicitari e di controllo. Si è creato un vero e proprio business che ruota attorno alla vendita dei dati come strumento di marketing personalizzato all’interno del mercato pubblicitario. Business che è alla base di piattaforme come Amazon, Instagram, Facebook e Google. Nei peggiori dei casi, le informazioni sono state utilizzate per sorvegliare, controllare l’utente in via indiretta, influenzando il suo libero arbitrio al punto tale da condizionare le sue scelte politiche. Uno scenario non del tutto differente da quello immaginato da Orwell nel famoso romanzo 1984.

3

Da qui scaturisce l’importanza di avere, oggi, un sistema di diritto che sia in grado di garantire una tutela effettiva ad ogni singolo interessato. Un sistema, cioè, che attraverso la predisposizione di efficaci misure, garanzie ed il riconoscimento di una serie di principi, consenta di evitare qualsiasi abuso o ingerenza nella sfera privata di ciascun individuo, garantendogli un livello di protezione adeguato anche quando i suoi dati vengano trasferiti in Paesi extra-UE.

Un sistema che, tenuto conto delle contrastanti esigenze in gioco nel contesto di un’economia globalizzata e digitale, riconosca l’importanza dei flussi di dati personali e, pertanto, sia in grado di promuovere di pari passo mezzi che garantiscano un elevato standard di tutela e protezione dei dati e che, al contempo, facilitino gli scambi internazionali all’interno di uno spazio comune.

Di conseguenza, viene spontaneo chiedersi se, di fatto, l’ordinamento europeo soddisfi tutti questi requisiti.

La ricerca svolta, partendo dal concetto di privacy e dato personale, passando dall’analisi del Capo V del Regolamento (UE) 2016/679, fino ad arrivare all’adozione del Privacy Shield, mira a trovarne una risposta (o almeno a provarci!).

4

1 CAPITOLO I: Il diritto alla privacy e il dato

personale

1.1 Origine ed evoluzione storico-filosofica del diritto alla

privacy

"Il problema di fondo relativo ai diritti dell’uomo è oggi non tanto

quello di giustificarli, quanto quello di proteggerli. Ѐ un problema non filosofico ma politico"1_.

Parlare di “diritto alla privacy” significa far riferimento ad una nuova generazione di diritti, i cosiddetti “diritti dell’età tecnologica”,

"catalogo aperto, dai confini non facilmente delineabili, includente pretese eterogenee che vanno dal diritto alla pace, allo sviluppo, all’ambiente, al diritto di morire con dignità contro ogni accanimento terapeutico, all’integrità del patrimonio genetico, alla privacy e così via "2.

Molto spesso non si tratta di diritti riferibili a specifici soggetti, il che ne mette in dubbio la titolarità, quanto più di aspirazioni ideali. Tuttavia, sono definiti tali per la rilevanza che assume, in un

1 _{N. BOBBIO, L’età dei diritti, Torino, 1990, pag. 16.}

2 _{C. FARALLI, Diritto alla privacy. Profili storico-filosofici, in N. ZORZI}

GALGANO, Persona e marcato dei dati. Riflessioni su GDPR, Cedam, Padova, 2019, pag. 2.

5

determinato contesto socio-culturale, la pretesa ad essi sottesa e, conseguentemente, l’esigenza di vedersi attribuita una maggior forza a livello normativo.

Il diritto alla privacy è l’effettiva esemplificazione dell’intrinseco rapporto tra diritto e società. La testimonianza di come i diritti umani si sostanzino, come diceva Norberto Bobbio, in "diritti storici", cioè "nati in certe circostanze, contrassegnate da lotte per la difesa di

nuove libertà contro vecchi poteri, gradualmente, non tutti in una volta e non una volta per sempre "3.

Il termine “privacy” è stato oggetto di una progressiva evoluzione. Già nell’antichità Aristotele soleva distinguere tra πολις, ossia “sfera

politica-pubblica” e οιχος, “sfera privata”4. Nel 1766 Lord Chatham, conosciuto come William Pitt il Vecchio, pronunciò di fronte alla

House of Commons: "The poorest man may in his cottage bid defiance to all the forces of the Crown. It may be frail, its roof may shake, the wind may blow through it, the storm may enter, the rain may enter, but the King of England cannot enter – all his force dares not cross the threshold of the ruined tenment ".5

Metafora efficace che si colloca nel periodo dell’Europa illuminista e pre-rivoluzionaria che consente di osservare come la privacy nasca dalla capacità personale di un individuo di opporsi alla forza della

3 _{N. BOBBIO, op. cit., pag. 16.}

4 _{Cfr. ARISTOTELE, La politica, Le Monnier, Firenze, 1981.}

5 _{W. PITT, THE ELDER, LORD CHATHAM, Speech on the Excise Bill”, House of}

Commons (March 1763), in LORD BROUGHAM, Historical Sketches of Statesmen

Who Flourished in the Time of George III, Charles Knight & Co, 1839, vol. I, pag.

6

corona e che essa agisca come margine imposto all’azione della sfera pubblica sulla sfera privata dell’individuo.

Nel 1890 due giovani avvocati di Boston, Louis D. Brandeis e Samuel Warren, scrissero il saggio “The right of privacy”, pubblicato nella famosa Harvard Law Review, facendo sorgere la questione, casualmente sollevata due anni prima dal giudice Thomas Cooley, sull’effettiva connotazione del diritto alla privacy. Il giudice Cooley, infatti, in un saggio sugli illeciti extracontrattuali6 del 1888, coniò un’interessante formula: "the right to one’s person may be said to be a

right of complete immunity: to be let alone" 7.

Il “diritto ad essere lasciati soli, in pace”, come sviluppato da Warren e Brandeis, trascende il concetto di privacy come mero concetto giuridico e lo transla in una dimensione spirituale, etica, tale per cui la lesione stessa della privacy si configura come lesione della sfera più privata dell’uomo: la sua proprietà spirituale. Si cerca di "porre una

netta separazione tra “privacy materiale”, che riguarda proprietà e possesso, e “inviolate personality”, entità stessa del diritto bisognoso di tutela"8. Il tutto come risposta alle nuove “minacce” conseguenti all’avanzamento tecnologico nel contesto socio-culturale di fine Ottocento: l’invenzione della stampa a rotativa, della macchina

6 _{T. C. COOLEY, A Treatise on the Law of Torts or the Wrong wich Arise}

Indipendent of Contract, Callaghan & Company, Chicago, IL, 1888, pag. 29. La

citazione “the right to be let alone” è tratta dalla prefazione alla seconda edizione dell’opera del giudice Cooley, che fu scritta nel 1879.

7 _{N. LUGARESI, Internet, Privacy e Pubblici Poteri negli Stati Uniti, Dott.a.}

Giuffré Editore, 2000, pag. 47.

8 _{M. SURACE, Sorveglianza e diritto alla riservatezza nell’era di internet, Rivista}

7

fotografica e la loro ingerenza sulla vita privata dell’alta borghesia. Pare, infatti, che l’interesse di Warren sul tema sia stato dovuto ad indiscrezioni sollevate della stampa scandalistica, la Evening Gazette di Boston, sulla vita matrimoniale e sul tenore di vita, dispendioso e lussuoso tenuto dall’avvocato e dalla moglie, figlia del senatore Bajard. Brandeis, al contrario, sarebbe stato indotto da un’attenta analisi della società del tempo. Scrive, infatti: "we are living in (an)

artificial age, and artificiality is ruining many of those just starting out of life […] Seeing others far better off in this world’s goods, enjoying the luxuries and good things of life, they deem it necessary to do likewise, for fear, I suppose, that they might be ridicole for their thrift or sufficient strenght of character to say no."9

Critica interessante e paradossalmente attuale per sensibilizzare la collettività dell’epoca nel salvaguardare valori che prima erano considerati fondamentali.

Non è un caso, dunque, che il diritto alla privacy sia spesso descritto come un “diritto borghese”. Nell’epoca di Warren e Brandeis, come sostiene anche Alan Westin10, era proprio la classe aristocratica, ancora legata al sentimento di intangibilità, ad essere quella maggiormente lesa dalle nuove invenzioni tecnologiche.

Quarant'anni prima del saggio di Warren e Brandeis uno scrittore, Robert Kerr, descriveva la società dell'Inghilterra vittoriana parlando

9 _{L. D. BRANDEIS, New York Herald, 3/3/1912”, in A. T. MASON, Brandeis a}

Free Man’s Life, The Viking Press, New York, 1946, pagg. 423-424.

8

di un “diritto ad essere lasciato solo”, un diritto che si fondava però sul "rispetto reciproco e l'intimità". Rispetto ed intimità consentono di avvicinare la privacy al concetto di dignità.

"L'intimità ci parla di qualcosa di inviolabile e di inalienabile. Il

rispetto ci parla del rapporto di ciascuno con tutti gli altri. La dignità congiunge questi due dati, uno individuale ed uno sociale, e contribuisce a definire la posizione di ciascuno nella società".11 Così, si pone in essere un ulteriore collegamento etico e morale che influenzerà il concetto di privacy negli anni successivi, sino a renderlo un diritto fondamentale strettamente connesso alla sfera individuale dell’uomo. Una svolta che, conseguentemente alla rivoluzione tecnologica dell’età moderna, sarà condizione necessaria e sufficiente per tutelare la società.

"Il diritto alla privacy nasce come esigenza morale e diventa diritto in

senso giuridico in epoca moderna, trasformandosi da enunciazione di principio a diritto esigibile nel momento in cui viene disciplinata da specifiche leggi, che vengono emanate nei vari paesi in tempi diversi, prima con riferimento alla tutela della riservatezza poi – dopo la cosiddetta rivoluzione tecnologica – con riferimento al diritto alla protezione dei dati o alla cosiddetta privacy elettronica"12.

11 _{S. RODOTÀ, Privacy, Libertà, Dignità in Discorso conclusivo 26a Conferenza}

Internazionale sulla Privacy e sulla Privacy e Protezione dei dati personali Wroclaw

(PL), 14-15, 16 settembre 2004.

12 _{C. FARALLI, Diritto alla privacy. Profili storico-filosofici, in N. Z. GALGANO,}

9

L’utilizzo di dispositivi elettronici, della rete Internet, il progresso tecnico ed informatico hanno dato una svolta alla società sempre in crescente evoluzione ed adattamento. Ecco che, come Bobbio sostiene, il diritto evolve e si adegua alle nuove esigenze ed, altrettanto, il diritto alla privacy, che viene ad inglobare il “diritto alla protezione dei dati personali”.

Non è più sufficiente una “protezione passiva” da fattori esterni ma occorre un “controllo attivo” sul flusso ed uso delle informazioni che identificano il soggetto per tutelarlo.

Diversamente dal diritto alla riservatezza, al cuore del quale vi è la pretesa del soggetto tutelato a non avere ingerenze dall’esterno, il diritto alla protezione dei dati personali si fonda sull’esercizio di un potere attivo di controllo sul flusso delle informazioni inerenti al soggetto. Non si parla più della "libertà negativa" a non subire interferenze ovvero di un diritto a contenuto negativo di non far conoscere e riservare determinate informazioni; al contrario, si fa riferimento ad un nuovo “diritto di autodeterminazione”. È il soggetto a decidere come definirsi e determinarsi. Il diritto alla protezione dei dati attiene ad una forma di "libertà positiva"13.

13 _{Berlin, filosofo liberale del XX sec., distingue tra “libertà negativa” o “libertà da”}

intesa come spazio privato in cui la persona agisce senza ingerenze e “libertà positiva” o “libertà di” intesa come potere di controllo sulla sua vita. Cfr. I. BERLIN,

Two concepts of Liberty, in I. Berlin, Liberty, ed. by H. Hardy, Oxford, Oxford

University Press, 2002. Sulle origini delle due libertà Cfr. Il Leviatano di Thomas Hobbes, 1651; Due Trattati sul governo di John Locke 1690; Per la pace perpetua di Immanuel Kant, 1795.

10

Sebbene, dunque, i due diritti sopra menzionati abbiano ambiti d’azione fra loro molto diversi, non è questa una condizione tale da precludere, in assoluto, casi in cui entrambi i diritti possano coesistere in relazione ad un medesimo oggetto di tutela. Si pensi, ad esempio, ad un dato sanitario contenuto nella cartella clinica del paziente: esso sarà oggetto sia del diritto alla riservatezza sia del diritto alla protezione dei dati14. Infatti, il dato personale, anche se non necessariamente, può configurarsi in determinate situazioni come un dato riservato.

1.2 L’evoluzione del dato personale e la sua influenza sul

diritto alla privacy

Per comprendere appieno il diritto alla protezione dei dati, è necessario comprendere cosa per dato personale si intenda.

I dati personali attengono ad una sfera semantica estremamente vasta, il che "è conseguenza della stessa definizione di dato personale".15 L’art. 4, n. 1 del Regolamento UE 2016/679 afferma: è dato personale "qualsiasi informazione riguardante una persona fisica identificata o

identificabile (‘interessato’); si considera identificabile la persona fisica che può essere identificata, direttamente o indirettamente, con particolare riferimento a un identificativo come il nome, un numero di

14 _{Cfr. G. FINOCCHIARO, Il quadro d’insieme sul regolamento europeo sulla}

protezione dei dati personali, in G. FINOCCHIARO, Il nuovo Regolamento europeo sulla privacy e sulla protezione dei dati personali, Zanichelli Editore, Torino, 2017,

pag. 8.

11

identificazione, dati relativi all’ubicazione, un identificativo online o a uno o più elementi caratteristici della sua identità fisica, fisiologica, genetica, psichica, economica, culturale o sociale".

È una definizione non nuova, in quanto già delineata nella Direttiva 95/46/CE all’art. 2, lett. a) come: "qualsiasi informazione concernente

una persona fisica identificata o identificabile (‘persona interessata’); si considera identificabile la persona che può essere identificata, direttamente o indirettamente, in particolare mediante riferimento ad un numero di identificazione o ad uno o già elementi specifici caratteristici della sua identità fisica, fisiologica, psichica, economica, culturale o sociale".

Anche all’interno del Codice in materia di protezione dei dati personali, d.lgs. 196/2003, noto come Codice privacy, all’art. 4, comma 1°, lett. b), si afferma: è dato "qualunque informazione relativa

a persona fisica, identificata o identificabile, anche indirettamente, mediante riferimento a qualsiasi altra informazione, ivi compreso un

numero di identificazione personale"16.

Ancora prima, nella Convenzione 108/1981 si definiscono dati a carattere personale: "ogni informazione concernente una persona fisica

identificata o identificabile (‘persona interessata’)".

16 _{La lettera b) è stata modificata dall’art. 40, comma 2°, lett. a), d.l. 6 dicembre}

2011, n. 201 convertito con modificazione dalla l. 22 dicembre 2011, n. 214, il quale ha eliminato ogni riferimento alle informazioni riferibili a “persone giuridiche, enti o associazioni” che non possono più essere considerati dati personali ai fini dell’applicazione del Codice privacy.

12

Il Gruppo di lavoro articolo 2917 nel Parere 4/200718 ha cercato di fare chiarezza sul significato da attribuire a questo concetto.

L’esigenza fondamentale era quella di trovare una definizione in grado di far comprendere agli Stati membri quale fosse l’effettivo ambito di applicazione della normativa. L’analisi svolta si concentrava su quattro elementi fondamentali enunciati all’art. 2, lett. a) della Direttiva 95/46/CE: “qualsiasi informazione”, “concernente”, “identificata o

identificabile” ed infine “persona fisica”.

17 _{Il Gruppo di lavoro articolo 29 noto come Working Party article 29 (WP29) è}

così chiamato, perché disciplinato all’art. 29 della Direttiva 95/46/CE. Dal 25 maggio 2018 è stato sostituito dall’European Data Protection Board (EPDB), noto come

Comitato europeo per la protezione dei dati. E' un organismo consultivo

indipendente, composto di un rappresentante della varie autorità nazionali, dal Garante europeo della protezione dei dati, nonché da un rappresentante della Commissione. Il presidente è eletto dal Gruppo al suo interno ed ha un mandato di due anni, rinnovabile una volta. Il Gruppo adotta le sue decisioni a maggioranza semplice dei rappresentanti delle autorità di controllo. L'articolo 70 del GDPR prevede vari compiti da affidare ai membri dei Garanti nazionali. Fra questi ci sono i seguenti: - assicura l'applicazione corretta del regolamento fatti salvi i compiti delle autorità nazionali di controllo; - fornisce consulenza alla Commissione in merito a qualsiasi questione relativa alla protezione dei dati personali nell'Unione; - pubblica linee guida, raccomandazioni e prassi al fine di promuovere l'applicazione coerente del regolamento e sulle materie previste; - esamina, di propria iniziativa o su richiesta di uno dei suoi membri o della Commissione, qualsiasi questione relativa all'applicazione del regolamento; - effettua l'accreditamento di organismi di certificazione e il suo riesame periodico; - fornisce alla Commissione un parere per valutare l'adeguatezza del livello di protezione in un paese terzo o in un'organizzazione internazionale; - promuove la cooperazione e l'effettivo scambio di informazioni e prassi tra le autorità di controllo a livello bilaterale e multilaterale; promuove programmi comuni di formazione e facilita lo scambio di personale tra le autorità di controllo e, se del caso, con le autorità di controllo di paesi terzi o di organizzazioni internazionali; - emette pareri sui codici di condotta; - tiene un registro elettronico, accessibile al pubblico, delle decisioni adottate dalle autorità di controllo e dalle autorità giurisdizionali su questioni trattate nell'ambito del meccanismo di coerenza. Il suo compito principale è garantire il principio di congruità e coerenza, cioè assicurare che le autorità di controllo nazionali seguano interpretazioni comuni della normativa europea in materia. Nell'ambito dell'attuazione del principio “one stop shop”, se la decisione di un'autorità di controllo capofila viene contestata da altra autorità di controllo, è l'EDPB a fungere da tribunale di ultima istanza. Fonte: www. protezionedatipersonali.it

13

Prima di iniziare a sviluppare i sopra menzionati concetti, è giusto sottolineare un importante aspetto: il rapporto tra informazione e dato. Leggendo i testi normativi è possibile pensare che i termini coincidano19, in realtà, ad essi attengono differenti significati.

Difatti, il dato deriva dal latino data che vuol dire “registrazione degli eventi”. Rappresenta le tracce delle nostra esperienza, è la fonte dell’informazione, è il contenitore da cui estrarre informazioni. L’informazione, invece, è "l’elaborazione del dato"20.

Ritornando all’analisi, il WP29 si focalizza primariamente sugli aggettivi "qualunque" o "qualsiasi". Essi contribuiscono a rendere vaga la definizione di dato personale, cosicché informazione può essere un “qualunque” termine linguistico, simbolo grafico, suono, fotogramma, audio o altro ancora. Non vi sono criteri di meritevolezza o di prossimità rispetto all’oggetto rappresentato21_{, né tanto meno}

rileva la verità o falsità dell’informazione.22

L’informazione deve, poi, "riguardare la persona fisica". Il "riguardare" o il "concernere" individua, secondo il Garante, solo quelle relazioni che collegano l’informazione all’interessato o che

19 _{Quando si definisce il “dato personale”, infatti, è usato sia nel Regolamento UE}

2016/679, nella Direttiva 95/46/CE e nel Codice privacy il termine “informazione”.

20 _{G. FINOCCHIARO, Privacy e protezione dei dati personali. Disciplina e}

strumenti operativi, Zanichelli Editore, Bologna, 2012, pag. 33.

21 _{Costituiscono informazione ai fini dell’applicazione della normativa anche le}

informazioni irrilevanti, le metainformazioni, l’informazione minima. Cfr. C. DEL FEDERICO e A. R. POPOLI, Disposizioni generali, in G. FINOCCHIARIO (a cura di), Il nuovo Regolamento europeo sulla privacy e sulla protezione dei dati

personali, Zanichelli Editore, Torino, 2017, pag. 64.

22 _{Cfr. Parere 4/2007 sul concetto di dati personali, adottato il 20 giugno, WP 136,}

pag. 6. Viene affermato: "perché l’informazione diventi un dato personale non è

14

soddisfano una finalità del titolare del trattamento o che producono effetti sui diritti o interessi della persona fisica.23

La persona fisica deve essere "identificata o identificabile": "si può

considerare «identificata» la persona fisica che, all’interno di un gruppo, è «distinta» da tutti gli altri membri. Di conseguenza, la persona fisica è «identificabile» quando, sebbene non sia stata ancora identificata, è possibile identificarla"24.

L’identificazione avviene per mezzo di informazioni particolari legate strettamente alla persona fisica, che prendono il nome di “identificatori”. Tra questi il Regolamento UE riporta25_{: il nome, il}

numero di identificazione, i dati relativi all’ubicazione, identificativi

online prodotti dai dispositivi, dalle applicazioni, dai marcatori

temporanei (cookies)26 o uno o più elementi caratteristici della identità fisica, fisiologica, genetica, psichica, economica, culturale, sociale della persona fisica. Nei casi in cui, a prima vista, gli identificatori disponibili non consentano di identificare la persona particolare, la possibilità di combinare le informazioni disponibili (anche non conservate dal titolare del trattamento), potrà permettere alla persona di essere identificabile. Si fa riferimento al fenomeno delle combinazioni univoche, che concerne l’identificazione o identificabilità delle persone indiretta. Diversamente, per quanto

23 _{Cfr. Ibidem, pag. 11.}

24 _{C. DEL FEDERICO e A. R. POPOLI, Disposizioni generali, in G.}

FINOCCHIARIO (a cura di), Il nuovo Regolamento europeo sulla privacy e sulla

protezione dei dati personali, Zanichelli Editore, Torino, 2017, pag. 80.

25 _{Cfr. Art. 4, n.1) del Regolamento (UE) 2016/679.}

15

riguarda le persone identificate o identificabili direttamente, il nome è l’identificatore più comune ed, in pratica, la nozione di persona identificata implica molto spesso un riferimento al “nome” di quella persona.

L’ultimo elemento preso in considerazione nell’analisi è la "persona

fisica". Nel Parere 4/2007 si evidenzia come la Direttiva faccia

riferimento alle persone fisiche "viventi", non escludendo la possibilità per il legislatore nazionale di estendere la protezione dei dati, in casi tassativi, anche alle persone defunte, nascituri e alle persone giuridiche. L’ordinamento giuridico italiano, infatti, prima delle modifiche apportare dal d.l. 201/2011 riconosceva all’art. 4, lett. b) del Codice privacy, la protezione dei dati di cui fossero titolari persone giuridiche, enti o associazioni. Oggi, il Regolamento afferma, espressamente, che la sua applicazione non si estende ai dati delle persone decedute27, non escludendo, però, che ciascun Stato membro possa prevedere delle norme sul trattamento di tali dati. Nulla si stabilisce sui dati dei nascituri, lasciando spazio ai legislatori nazionali. Sono esclusi dalla normativa sulla protezione dei dati, i dati “non personali”, quali i “dati anonimi”, definiti dalla legge italiana come dati che, all’origine o alla fine del trattamento, non sono associabili ad una persona fisica identificata o identificabile. Altrettanto, è escluso il trattamento di dati personali effettuato da persone fisiche per fini esclusivamente personali.

16

Le definizioni di dato personale non si esauriscono all’interno di questa trattazione, perché, spesso, proprio in ragione della sua ampiezza, viene inteso come una macro categoria all’interno della quale riconoscere specifiche tipologie di dati.

A titolo esemplificativo, il Codice privacy, d.lgs. 196/2003, distingueva all’interno dei dati personali, due sottocategorie: i "dati sensibili"28 e i "dati giudiziari"29. Definizioni superate dal Regolamento 2016/679 che formalizza tre categorie di dati personali: "dati genetici", "dati biometrici" e "dati relativi alla salute".

L’art. 4, comma 1°, n. 13 definisce i dati genetici come tipologia di dati "relativi alle caratteristiche genetiche ereditarie o acquisite di una

persona fisica che forniscono informazioni univoche sulla fisiologia o sulla salute di detta persona fisica, e che risultano in particolare dall’analisi di un campione biologico della persona fisica in questione". Possono considerarsi una specificazione del dato sanitario.

Infatti, nella Raccomandazione n. R (97) 5 del Consiglio d’Europa, relativa alla protezione dei dati sanitari30, nell’elenco delle definizioni al punto 1 dell’Allegato alla Raccomandazione, si legge, anche, quella di dato genetico. "L’espressione dati genetici si riferisce a tutti i dati,

28 _{Sono definiti “dati sensibili” ex. art. 4, comma 1°, lett. d), d.lgs. 196/2003: "dati}

personali idonei a rilevare l’origine razziale ed etnica, le convinzioni religiose, filosofiche o di altro genere, le opinioni politiche, l’adesione a partiti, sindacati, associazioni od organizzazioni a carattere religioso, filosofico, politico o sindacale, nonché i dati personali idonei a rivelare lo stato di salute e la vita sessuale".

29 _{Sono definiti “dati giudiziari” ex art. 4, comma 1°, lett. e), d.lgs. 196/2003: "dati}

personali idoneai a rilevare provvedimenti di cui all’art.3, comma 1°, lett. a) a o) e da r) a u), del d.p.r. 14 novembre 2002, n. 313, in materia di casellario giudiziale, di anagrafe delle sanzioni amministrative dipendenti da reato e dei relativi carichi pendenti, o la qualità di imputato o di indagato ai sensi degli artt. 60 e 61 c.p.p."

17

di qualunque tipo, che riguardano i caratteri ereditari di un individuo o che sono in rapporto con gli aspetti, di qualsiasi tipo, della salute o di una malattia, che possano costituire o meno un carattere identificabile". Ed ancora, nella Raccomandazione del Consiglio

d’Europa n. R (92) 3 sui test e sugli screening genetici per scopi di natura sanitaria, al Principio n. 8, si afferma che: "la raccolta e la

conservazione di sostanze e campioni biologici, così come il trattamento dei dati che ne derivano, devono essere effettuati in conformità ai principi fondamentali di protezione e di sicurezza dei dati, stabiliti dalla Convenzione per la protezione degli individui con riguardo al trattamento automatizzato dei dati personali, n. 108 del 28 gennaio 1981, nonché delle pertinenti raccomandazioni del Comitato dei ministri in materia".

Si fa riferimento a dati, che non possono essere sempre oggetto di trattamento. A tal proposito, si richiama l’Autorizzazione n. 8/2016, Autorizzazione generale al trattamento di dati genetici31_{, la quale al}

paragrafo 3, individua tassativamente le finalità cui deve essere preposto il trattamento di tali dati, rilevando tra queste: "la ricerca

scientifica e statistica finalizzata alla tutela della salute e

31 _{Autorizzazione n. 8/2016, Autorizzazione generale al trattamento dei dati genetici,}

15 dicembre 2016, G.U. n. 303 del 29 dicembre 2016 [doc. web n.5803688] Analoga alla precedente, sostituisce l’Autorizzazione generale (n. 8/2014) al trattamento dei dati genetici, 11 dicembre 2014, G.U. n. 301, serie generale, del 30 dicembre 2014 [doc. web 3632835].

18

dell’interessato, di terzi o della collettività in campo medico, biomedico ed epidemiologico"32.

In Italia, la Corte di Cassazione con la sentenza n. 21014 del 13 settembre 201333, individua il dato genetico in una prospettiva più ampia, affermando che esso non si esaurisce nei dati di natura sanitaria o attinenti alla sola vita sessuale della persona34_{. Di fatto, tale tesi,}

veniva sostenuta sulla base della collocazione dell’art. 90 del Codice

privacy, d.lgs. 196/2003, rubricato “Trattamento dei dati genetici e

donatori di midollo osseo”, all’interno del Capo V35_{, inserito}

esclusivamente per disciplinare i dati genetici all’interno del Titolo V, intitolato “Trattamento di dati personali in ambito sanitario”. Dunque, l’inserimento di un Capo, apposito e separato, per la trattazione dei dati genetici all’interno del Titolo dedicato ai dati sanitari, veniva interpretato dalla Cassazione come un regime derogatorio rispetto agli altri dati personali, anche di carattere sanitario, fondati su indagini genetiche.

Sebbene i dati genetici non siano al momento ampiamente accessibili, una delle prerogative del Garante della protezione dei dati è quella di riservare al loro trattamento un regime differenziato di regole e garanzie, tale da permettere lo sviluppo, a livello europeo e

32 _{Cfr. punto 3.1 lett. c) dell’Autorizzazione generale al trattamento dei dati genetici,}

n. 8/2016.

33 _{Cass., sez. I, sent. 13 settembre 2013, n. 21014, in Foro it., 2013, I, 3174.}

34 _{Contrariamente all’orientamento sostenuto dal Regolamento (UE) 2016/479}

leggendo il Considerando n. 31.

19

nell’ordinamento di ciascun Stato membro, di una legislazione organica36.

In secondo luogo, il Regolamento pone attenzione sul dato biometrico. Esso inerisce ad una particolare ed innovativa tipologia di dati ricavati da "proprietà biologiche, aspetti comportamentali, caratteristiche

fisiologiche, tratti biologici o azioni ripetibili laddove tali caratteristiche o azioni sono tanto proprie di un certo individuo quanto misurabili, anche se i metodi usati nella pratica per misurarli tecnicamente comportano un certo grado di probabilità"37.

Sono definiti nel Regolamento all’art. 4, comma 1°, n. 14, come "dati

personali ottenuti da un trattamento tecnico specifico relativi alle caratteristiche fisiche, fisiologiche o comportamentali di una persona fisiche che consentono o confermano l’identificazione univoca, quali l’immagine facciale o i dati dattiloscopici".

Sono dei dati impiegati prevalentemente come identificativi esclusivi, caratterizzati dall’estrapolare l’informazione unica sulla persona, direttamente dalle sue caratteristiche fisiche, fisiologiche o comportamentali. Il tutto attraverso l’uso di particolari tecniche di misurazione ed analisi matematica38. Si pensi all’immagine dell’impronta digitale, del volto, dell’iride, che viene rilasciata per accedere automaticamente a dispositivi elettronici o a luoghi ed aree ad

36 _{Come già fissato nella citata Autorizzazione n. 8/2016. Si veda anche European}

data protection supervisor, Annual Report, 2015.

37 _{Cfr. Parere 4/2007, adottato il 20 giugno, WP136, pag. 8.}

38 _{Cfr. L. BOLOGNINI, E. PELINO e C. BISTOLFI (a cura di), Il Regolamento}

privacy europeo. Commentario alla nuova disciplina sulla protezione dei dati personali, Milano, 2016, pagg. 70-71.

20

ingresso selezionato. La diffusione dell’uso di smartphone, tablet e pc fanno sì che l’accesso a tali dati non sia occasionale né tanto meno elitario, al contrario fa parte delle abitudini quotidiane della società contemporanea. Non a caso, la Commissione europea in una comunicazione del 13 maggio 2015 intitolata “Agenda europea sulla migrazione”39_{, propose di aggiungere tra gli indicatori biometrici,}

riconosciuti nel Regolamento Eurodac40, l’immagine del volto e il riconoscimento facciale. In merito si espresse anche il Garante europeo per la protezione dei dati personali, che rilevò la “delicatezza” dei dati biometrici. È curioso pensare come un semplice connotato fisico possa trasformarsi in una informazione matematicamente leggibile ed analizzabile, che rappresenti ed identifichi la persona stessa. È stato osservato dal Gruppo di lavoro articolo 29 che "i dati biometrici

cambiano in maniera irreversibile la relazione tra corpo e identità, in quanto le caratteristiche del corpo umano possono essere ‘lette’ da una macchina e sottoposte a un successivo trattamento"41_.

Infine, si ha l’ultima e nuova specificazione di dato personale: dato relativo alla salute.

39 _{Cfr. COM(2015) 240 final del 13 maggio 2015.}

40 _{Regolamento (UE) n. 603/2013 del Parlamento europeo e del Consiglio, 26}

giugno 2013, che istituisce l’ “Eurodac” per il confronto delle impronte digitali per l’efficace applicazione del Regolamento (UE) n. 603/2013, che stabilisce i criteri e i meccanismi di determinazione dello Stato membro competente per l’esame di una domanda di protezione internazionale presentata in uno degli Stati membri da un cittadino di un Paese terzo o da un apolide e per le richieste di confronto con i dati Eurodac presentate dalle autorità di contrasto degli Stati membri e da Europol a fini di contrasto, e che modifica il Regolamento (UE) n. 1077/2011 che istituisce un’agenzia europea per la gestione operativa dei sistemi IT su larga scala nello spazio di libertà, sicurezza, giustizia.

21

Nella Direttiva 95/46/CE, nella Sezione III, intitolata “Categorie particolari di trattamenti”, all’art. 8, rubricato “Trattamenti riguardanti categorie particolari di dati”, si legge: "Gli Stati membri vietano il

trattamento di dati personali che rivelano l'origine razziale o etnica, le opinionipolitiche, le convinzioni religiose o filosofiche, l'appartenenza sindacale, nonché il trattamento di dati relativi alla salute e alla vita sessuale”. Il dato sanitario si configura come una categoria speciale di

dato, il cui trattamento è vietato salvo eccezioni. In un documento del Gruppo di lavoro articolo 29, “Advice paper on special categories of

data («sensitive data»)” dell’aprile 2011, indirizzato alla Commissione

europea, si cerca di dare una spiegazione alla disciplina prevista all’interno della Direttiva. Il WP29 ritenne, che la rigidità del regime giuridico delineato derivasse dalla presunzione che l’abuso di questi dati potesse ledere gravemente ai diritti fondamentali dell’individuo. Rimaneva, però, un problema, perché, sebbene si costruiva attorno ai dati sanitari un alto livello di protezione, d’altra parte nessun legislatore definiva con chiarezza il loro contenuto. Nel documento “Annex – health data in apps and devices”42 _{del febbraio 2015, il}

Gruppo di lavoro articolo 29 rilevò quanto fosse complicato individuare in maniera specifica, quali informazioni fossero riconducibili al dato sanitario. È un’area di incertezza giuridica, in quanto esso non si esaurisce nel dato medico o nel dato sullo stato di

42 _{Nasce da una richiesta della Commissione UE diretta a chiarire quando un dato}

22

salute fisica o mentale, generato esclusivamente in un contesto medico professionale. Il dato sanitario si viene a collocare in una dimensione più ampia rispetto al settore medico, il che fa sì che la sua definizione subisca un arricchimento in costante evoluzione. Sulla base della Direttiva, legislatori nazionali, giudici e giuristi hanno ritenuto che vi possano rientrare una serie di acquisizioni informative sulla salute di un soggetto, che abbiano come fonte diversi contesti informativi. A titolo esemplificativo: il consumo di alcol o fumo, i dati sulle allergie comunicati a soggetti privati o ad enti pubblici, l’appartenenza di un gruppo di supporto per patologia, i dati, come pressione sanguigna o battito cardiaco, misurati da dispositivi elettronici o software disponibili sul mercato commerciale43.

Nel Codice privacy il dato sanitario veniva riconosciuto all’art.4 lett. d)44 nella categoria dei “dati sensibili”: "dati personali idonei a

rilevare l’origine razziale ed etnica, le convinzioni religiose, filosofiche o di altro genere, le opinioni politiche, l’adesione a partiti, sindacati, associazioni od organizzazioni a carattere religioso, filosofico, politico o sindacale, nonché i dati personali idonei a rivelare lo stato di salute e la vita sessuale”.

Il Regolamento 2016/679 all’art. 4, punto 15 afferma: sono dati relativi alla salute "i dati personali attinenti alla salute fisica o mentale di una

persona fisica, compresa la prestazione di servizi di assistenza

43 _{C. DEL FEDERICO e A.R. POPOLI, Disposizioni generali, in G.}

FINOCCHIARO, op. cit., pag. 71.

23

sanitaria, che rilevano informazioni relative al suo stato di salute".

Tale definizione viene approfondita nel Considerando n. 35 del Regolamento, in cui non soltanto si specifica che l’informazione, derivante dal dato sulla salute fisica e mentale del soggetto, possa attenere allo stato di salute passato, presente e futuro (includendo valutazioni prognostiche) ma si legge, anche: "questi (i dati personali relativi alla salute) comprendono informazioni sulla persona fisica

raccolte nel corso della sua registrazione al fine di ricevere servizi di assistenza sanitaria o della relativa prestazione di cui alla direttiva 2011/24/UE del Parlamento europeo e del Consiglio; un numero, un simbolo o un elemento specifico attribuito a una persona fisica per identificarla in modo univoco a fini sanitari; le informazioni risultanti da esami e controlli effettuati su una parte del corpo o una sostanza organica, compresi i dati genetici e i campioni biologici; e qualsiasi informazione riguardante, ad esempio, una malattia, una disabilità, il rischio di malattie, l'anamnesi medica, i trattamenti clinici o lo stato fisiologico o biomedico dell'interessato, indipendentemente dalla fonte, quale, ad esempio, un medico o altro operatore sanitario, un ospedale, un dispositivo medico o un test diagnostico in vitro".

Nonostante l’evoluzione del dato sanitario e l’abilità del legislatore nazionale ed europeo a definire il suo contenuto negli anni, il parallelo sviluppo tecnologico ed informatico, continua a creare situazioni di incertezza circa la configurazione di determinate informazioni. Si

24

pensi, ad esempio, alle applicazioni o dispositivi elettronici (Fitbit,

Applewatch, HIcare, Benessere, Flo), che raccolgono dati sullo stile di

vita del soggetto. Il Gruppo di lavoro articolo 2945 _{ha ritenuto che tali}

dati, per la maggior parte, siano da considerarsi dei "dati sanitari

grezzi", soprattutto, laddove manchi una combinazione degli stessi con

altre informazioni fornite dal soggetto o elaborate dallo stesso software o dispositivo. Si pensi all’applicazione che conta i passi. Tuttavia, basta poco, come ad esempio, l’attivazione del servizio di geolocalizzazione nell’app, a modificare l’impatto del dato sullo stile di vita del soggetto e conseguentemente la tutela prevista dall’ordinamento, perché quella informazione non atterrebbe più ad un dato grezzo.

Analizzando il concetto di dato personale, ci si rende conto come la tendenza a livello europeo sia diventata quella di ampliarne il contenuto informativo, potendo garantire una maggiore tutela per la persona e per il suo patrimonio d’informazioni.

Quello cui si sta assistendo negli ultimi anni, però, a seguito dell’inarrestabile progresso tecnologico e scientifico, sta iniziando a mettere in crisi il sistema appena delineato. Il dato personale, infatti, ha assunto una nuova forma, divenendo una vera e propria merce di

45 _{Cfr. WP29, Annex – health data in apps on special categories of data («sensitive}

25

scambio il cui valore commerciale in Europa nel 2020 è stimato intorno ai mille miliardi di euro, quasi l’8% del PIL europeo46.

Oggi si sta vivendo una nuova fase della storia del diritto alla privacy, in cui l’importanza della tutela e della protezione dell’individuo, che si realizza attraverso la protezione dei dati di cui è titolare e che lo identificano, viene messa in discussione da grandi interessi pubblici e privati, che vogliono impadronirsi delle informazioni personali. È aperto, come dice Rodotà, "un campo di battaglia planetario"47 che vede protagonisti Stati Uniti ed Unione Europea, schierati su due diversi fronti: da una parte l’ampliamento della libera circolazione dei dati personali; dall’altra il rafforzamento della tutela degli stessi. In questo modo, sembrerebbe quasi essere messa in cattiva luce la politica europea sulla privacy, la cui attenzione verso la protezione dell’individuo verrebbe a configurarsi come limite invalicabile nello scambio e trasferimento dei dati personali dei cittadini europei. In particolar modo, come si evince da una dichiarazione rilasciata dalla Commissione48, si riterrebbe che l’Europa, proprio in ragione del regime giuridico sulla protezione dei dati, non possa sfruttare in pieno

46 _{Così S. RODOTÀ in un intervento al Convegno Vivere in rete, Genova, marzo}

2013 nel commentare i dati calcolati dalla statunitense Boston Consulting Group,

genova.it, federprivacy.it. Secondo l’ European data Market Study, Second interim

Report, June 2016, in www.datalandscape.eu/studyreports, nel 2020 il valore commerciale dei dati arriverà intorno agli 84 miliardi.

47 _Ibidem.

48 _{European Commission press release, Commission outlines next steps towards a}

Europeandata economy, Brussels, 10 January 2017, in

26

il proprio potenziale nel data market, rischiando di non ritrovarsi tra le potenze della futura scena economica.

Il monito di Rodotà: "la privacy deve continuare ad esistere"49_.

1.3 Il graduale riconoscimento normativo della privacy

nell’ordinamento europeo e nazionale

La progressiva affermazione del diritto alla privacy sia a livello europeo che nazionale, ha visto come protagonista la giurisprudenza, la quale è riuscita a colmare negli anni le numerose lacune legislative presenti all’interno dei due ordinamenti.

In Italia, il riconoscimento del diritto alla riservatezza non è stato semplice né immediato. Agli inizi del XX secolo, davanti al silenzio persistente del legislatore, gli unici riferimenti al diritto alla privacy erano quelli dottrinali. In particolar modo, si ricordano gli studi di Ravà, docente di filosofia del diritto, che afferma: "la qualità di

persona richiede ed esige che alla persona stessa sia riservata una certa sfera relativa ai dati più gelosi e più intimi di essa e della sua attività"50.

Nel 1956 la Corte di Cassazione con la sentenza n. 4487 aveva negato l’esistenza del diritto alla riservatezza. È negli settanta che si assiste ad un rovesciamento del precedente orientamento: dapprima, con le

49 _{S. RODOTÀ, cit.}

27

sentenze della Corte Costituzionale n. 122 del 1970 e n. 38 del 1973, relative alla libertà di stampa, grazie alle quali si è ricondotto il diritto alla riservatezza agli artt. 2, 3 e 13 Cost., permettendo di rubricare lo stesso come diritto fondamentale; successivamente, nel 1975, con la sentenza n. 2129 della Corte di Cassazione, la quale riconosce il diritto alla riservatezza come "tutela di quelle situazioni e vicende

strettamente personali e familiari le quali, anche se verificatesi fuori dal domicilio domestico, non hanno per i terzi un interesse socialmente apprezzabile, contro le ingerenze che, sia pure compiute con mezzi leciti, per scopi non esclusivamente speculativi e senza offesa per l’onore, la reputazione o il decoro, non sono giustificati da interessi pubblici preminenti"51. La sentenza n. 5658/1998 della Corte di Cassazione specifica l’oggetto del diritto alla riservatezza affermando che si riferisce ad una "certa sfera della vita individuale e familiare,

all’illesa intimità personale in certe manifestazioni della vita di relazione, a tutte quelle vicende cioè, il cui carattere intimo è dato dal fatto che esse si svolgono in un domicilio ideale, non materialmente legato alle mura domestiche"52.

Negli anni Novanta la Corte Costituzionale con le sentenze n. 139/1990 e n. 81/1993 da una svolta interpretativa al concetto di

privacy, al quale riconduce non solo l’originaria tutela alla riservatezza

ma anche l’attuale protezione dei dati personali.

51 _{Motivazione della sentenza Cass., 27 Maggio 1975, n.2129, in Mass. Giur. It.,}

1975, 594.

28

Nel 1981, il diritto alla riservatezza aveva ottenuto un primo riconoscimento nella Convenzione di Strasburgo53, primo strumento internazionale giuridicamente rilevante, adottato in materia di protezione dei dati, che all’art. 1, modificato di recente, enuncia il suo scopo: "garantire, sul territorio di ciascuna Parte, ad ogni persona

fisica, quali che siano la sua nazionalità o la sua residenza, il rispetto dei suoi diritti e delle sue libertà fondamentali, e in particolare del suo diritto alla vita privata, in relazione all’elaborazione automatica dei dati a carattere personale che la riguardano («protezione dei dati»)".

A livello europeo è del 24 ottobre 1995 la Dir. 95/46/CE54 del Parlamento europeo e del Consiglio, relativa alla tutela delle persone fisiche con riguardo al trattamento dei dati personali, nonché alla libera circolazione di tali dati (cosiddetta “Data Protection Directive” o direttiva “madre”). Si pone come obiettivo: "armonizzare la tutela dei

diritti e delle libertà fondamentali delle persone fisiche rispetto alle attività di trattamento dei dati e assicurare la libera circolazione dei dati personali tra Stati membri"55. Rappresenta l’esito di un percorso giurisprudenziale iniziato dalla Corte Europea dei diritti umani (CorteEDU), la quale riconosceva come fondamento del diritto alla protezione dei dati, l’art.8 della Convenzione Europea per la

salvaguardia dei diritti dell’uomo e delle libertà fondamentali

53 _{Convenzione del Consiglio d’Europa n.108 sulla protezione delle persone rispetto}

al trattamento automatizzato di dati di carattere personale, Strasburgo, 28 gennaio 1981.

54 _{In G.U.C.E., l. 281 del 23 novembre 1995.}

55 _{Considerando n. 3 Regolamento (UE) 2016/679 del Parlamento europeo e del}

29

(CEDU)56. L’art. 8 rubricato “Diritto al rispetto della vita privata e

familiare”, presente nel Titolo I, “Diritti e libertà”, oltre a riconoscere

il diritto al rispetto della vita privata e familiare, del proprio domicilio e della propria corrispondenza, al punto 2 dichiara: "Non può esservi

ingerenza di una autorità pubblica nell’esercizio di tale diritto a meno che tale ingerenza sia prevista dalla legge e costituisca una misura che, in una società democratica, è necessaria alla sicurezza nazionale, alla pubblica sicurezza, al benessere economico del paese, alla difesa dell’ordine e alla prevenzione dei reati, alla protezione della salute o della morale, o alla protezione dei diritti e delle libertà altrui".

A conferma di tal orientamento, la Dir. 95/46/CE fissa il principio del “consenso”: è possibile il trattamento solo se il titolare, che deve esserne a conoscenza, vi acconsenta.

Così riporta il Considerando n. 30 della Direttiva: "per essere lecito, il

trattamento di dati personali deve essere inoltre basato sul consenso della persona interessata oppure deve essere necessario ai fini della conclusione o dell'esecuzione di un contratto vincolante per la persona interessata, oppure deve essere previsto dalla legge, per l'esecuzione di un compito nell'interesse pubblico o per l' esercizio dell' autorità pubblica, o nell'interesse legittimo di un singolo individuo, a condizione che gli interessi o i diritti e le libertà della persona interessata non abbiano la prevalenza". E ancora si legge nel

Considerando n. 33: "considerando che i dati che possono per loro

30

natura ledere le libertà fondamentali o la vita privata non dovrebbero essere oggetto di trattamento, salvo esplicito consenso della persona interessata; che tuttavia le deroghe a questo divieto devono essere espressamente previste nei casi di necessità specifiche, segnatamente laddove il trattamento di tali dati viene eseguito da persone assoggettate per legge all'obbligo del segreto professionale per taluni fini connessi alla sanità o per le legittime attività di talune associazioni o fondazioni il cui scopo consista nel permettere l'esercizio delle libertà fondamentali".

La Direttiva si caratterizza per essere stata il primo intervento in materia a porre al centro dell’attività di trattamento dei dati l’individuo e la sua vita privata, differenziandosi dalla disciplina statunitense, che attribuisce valore economico e negoziale ai dati personali.

Nonostante ad essa abbiano avuto seguito la Direttiva n. 97/66/CE del 15 dicembre 1997, riguardante la tutela dei dati personali e la tutela

della vita privata nel settore delle telecomunicazioni, successivamente

abrogata e sostituita dalla Direttiva n. 2002/58/CE del 12 luglio 2002,

riguardante il trattamento e la tutela dei dati personali e della vita privata nel settore delle comunicazioni elettroniche, che ha apportato

modifiche alla direttiva “madre” atte a fronteggiare i nuovi rischi alla protezione dei dati, l’impianto normativo rimase obsoleto.

L’Italia diede attuazione alla Dir. 45/96/CE con la l. 31 dicembre 1996 n. 675, “Tutela delle persone e di altri soggetti rispetto al trattamento

31

l’opinione pubblica riteneva essere uno strumento a solo ed esclusivo vantaggio delle classi più agiate; gli stessi politici la consideravano una forzatura imposta dall’Europa e necessaria per godere dei benefici del Trattato di Schengen sulla libera circolazione delle merci e delle persone.

In realtà, è stato un testo fondamentale in Italia per delineare il diritto alla privacy non più, meramente, come diritto alla riservatezza ma come diritto alla protezione dei dati.

"La privacy si profila così non come modo per sottrarsi agli occhi del

mondo ma come componente essenziale della propria identità, dignità e libertà"57_.

Nel 2001 il diritto alla riservatezza e diritto alla protezione dei dati sono affermati nella “Carta dei diritti fondamentali dell’Unione europea”58 come diritti del cittadino europeo. Fra i “diritti di libertà”

nel Titolo I, Capo II all’art. 8, rubricato “Protezione dei dati di

carattere personale”, è enunciato il diritto alla protezione dei dati: "1. Ogni individuo ha diritto alla protezione dei dati di carattere personale che la riguardano. 2. Tali dati devono essere trattati secondo il principio di lealtà, per finalità determinate e in base al consenso della persona interessata o a un altro fondamento legittimo previsto dalla legge. Ogni individuo ha il diritto di accedere ai dati raccolti che lo riguardano e di ottenerne la rettifica. 3. Il rispetto di

57 _{C. FARALLI, Diritto alla privacy. Profili storico-filosofici, in N. Z. GALGANO,}

op. cit., pag. 7.

58 _{La Carta dei diritti fondamentali dell’Unione Europea, proclamata il 7 Dicembre}

32

tali regole è soggetto al controllo di un’autorità indipendente". Mentre

nell’art. 7 della stessa Carta, rubricato “Rispetto della vita privata e

della vita familiare”, si definisce il diritto alla riservatezza: "Ogni individuo ha diritto al rispetto della propria vita privata e familiare, del proprio domicilio e delle sue comunicazioni".

In Italia, nel gennaio del 2004 entra in vigore il d.lgs. 30 giugno 2003, n. 196, Codice in materia di protezione dei dati personali, noto come “Codice privacy”, che recita: "chiunque ha diritto alla protezione dei

dati personali che lo riguardano", riconoscendolo come diritto

autonomo. All’art. 1 del Codice si chiariva che la finalità dell’intervento normativo era quello di garantire "che il trattamento dei

dati personali si svolga nel rispetto dei diritti e delle libertà fondamentali, nonché della dignità dell’interessato, con particolare riferimento alla riservatezza, all’identità personale e al diritto alla protezione dei dati personali". La norma, che esplicita per la prima

volta nel nostro ordinamento il diritto alla protezione dei dati personali, fa da eco all’art. 1, comma 1° della Dir. 95/46/CE, ai sensi del quale "Gli Stati membri garantiscono, conformemente alle disposizioni della

presente direttiva, la tutela dei diritti e delle libertà fondamentali delle persone fisiche e particolarmente del diritto alla vita privata, con riguardo al trattamento dei dati personali". Nell’ottica di accordare

centralità alla persona a cui i dati si riferiscono, il Codice assegna una posizione centrale al consenso, che diviene predominante tra i presupposti di liceità del trattamento mentre gli altri fondamenti

33

legittimi appaiono vere e proprie eccezioni ad esso59. Ne risulta non solo legittimato, ma anche rafforzato, rispetto al quadro precedente, il diritto al trattamento e dunque la posizione anche autonomamente protetta del titolare del trattamento stesso60.

Con l’entrata in vigore del Trattato di Lisbona, 1 novembre 2009, venendo meno i “tre pilastri dell’Unione Europea”, istituiti con

il Trattato di Maastricht del 1992, si conferisce una base più solida allo sviluppo della politica europea sulla protezione dei dati personali. È all’art. 16, Parte Prima, “Principi”, del Trattato sul Funzionamento

dell’Unione europea (TFUE) che trova un ulteriore riconoscimento il

diritto alla protezione dei dati personali e viene attribuito al Parlamento europeo il ruolo di colegislatore, assieme al Consiglio, sulla materia inerente alla protezione delle persone fisiche nel trattamento dei dati. Si afferma, infatti: "1. Ogni persona ha diritto alla protezione dei dati

di carattere personale che la riguardano. 2. Il Parlamento europeo e il Consiglio, deliberando secondo la procedura legislativa ordinaria, stabiliscono le norme relative alla protezione delle persone fisiche con riguardo al trattamento dei dati di carattere personale da parte delle istituzioni, degli organi e degli organismi dell'Unione, nonché da parte

59 _{Cfr. Artt. 23 e 24 del Codice prima delle modifiche apportate nel 2018 con il d.lgs.}

101/2018, con cui è stato adeguata la disciplina nazionale a quella del Reg. (UE) 2016/479.

60 _{Al contrario, nel GDPR il legislatore europeo mostra invece di dare maggiore}

risalto anche all’altra anima della disciplina, quella della libera circolazione dei dati, che risulta rafforzata rispetto all’impianto della direttiva e delle norme interne di recepimento, in particolare a seguito del depotenziamento del consenso dell’interessato rispetto agli altri fondamenti legittimi, ora in posizione equivalente al consenso.

34

degli Stati membri nell'esercizio di attività che rientrano nel campo di applicazione del diritto dell'Unione, e le norme relative alla libera circolazione di tali dati. Il rispetto di tali norme è soggetto al controllo di autorità indipendenti".

Arrivati a questo punto, nessuno poteva mettere in dubbio l’effettiva rilevanza assunta dal diritto alla privacy riconosciuto nelle sue due forme, diritto alla riservatezza e diritto alla protezione dei dati, come diritto fondamentale sia a livello europeo che nazionale.

Il quadro normativo appena descritto, però, non fu a lungo sufficiente a garantire un adeguato livello di protezione. Del resto, è noto come la materia dei dai personali sia particolarmente mutevole e richieda continui adattamenti in relazione all’evoluzione tecnologica e sociale.61

Così, nel 2012 la Commissione europea ha proposto un’adeguata riforma in materia di protezione dei dati, cercando di aggiornare la regolamentazione risalente al 1995, tutelando i diritti della privacy

on-line e contribuendo allo sviluppo dell’economia digitale europea. Dopo

anni di negoziati tra Parlamento, Commissione e Consiglio dell’Unione europea, nel dicembre del 2015 si raggiunge un accordo. Si propone l’attuazione di un Regolamento direttamente applicabile in tutti gli stati membri, che assicuri "un’applicazione omogenea della

normativa vigente, al fine di creare un clima di fiducia per lo sviluppo

61 _{F. CADARELLI, S. SICA, V. ZENO-ZENCOVICH, Il codice dei dati personali.}

35

dell’economia digitale"62 _{e che vada a sostituire la predente Direttiva.}

Si vuole uniformare la frammentaria disciplina dell’Unione in materia di protezione dei dati, riducendo la diffusa incertezza sull’applicazione della normativa.

Accanto al Regolamento, l’accordo prevedeva l’attuazione di una Direttiva sulla protezione delle persone fisiche, con riguardo al trattamento dei dati da parte delle Autorità competenti per la prevenzione, il contrasto e la repressione dei crimini. Direttiva volta a sostituire la decisione quadro 2008/909/GAI del Consiglio del 27 novembre 2008, relativa all’applicazione del principio del reciproco riconoscimento alle sentenze penali che irrogano pene detentive o misure privative della libertà personale ai fini della loro esecuzione nell’Unione europea.

Entrambi i testi sono stati adottati in seconda lettura dal Parlamento Europeo nell’aprile del 2016, come approvati dal Consiglio, e pubblicati nella Gazzetta Ufficiale dell’Unione europea il 4 maggio. Il 5 maggio 2016 è entrata ufficialmente in vigore la Direttiva con l’onere di recepimento in capo agli stati membri entro 2 anni. Il Regolamento è in vigore dal 24 maggio 2016 ed è diventato definitivamente e direttamente applicabile in tutti gli Stati membri dell’UE il 25 maggio 201863_.

62 _{G. FINOCCHIARO, Il quadro d’insieme sul Regolamento europeo sulla}

protezione dei dati personali, in G. FINOCCHIARO, op. cit., pag. 8.

36

Sul Regolamento si espresse il presidente Juncker dicendo: "essere

europei significa avere diritto alla protezione dei propri dati personali mediante rigorose leggi europee. Perché agli europei non piace essere sorvolati da droni che registrano ogni loro movimento, né vogliono che le imprese tengano traccia di ogni loro click in rete. Per questa ragione, nel maggio di quest'anno, il Parlamento, il Consiglio e la Commissione hanno concordato un regolamento sulla protezione comune europea dei dati. Si tratta di una rigorosa normativa europea sul trattamento dei dati personali che si applica alle imprese, ovunque abbiano sede. Perché in Europa ci teniamo alla riservatezza. Si tratta di una questione di dignità umana." 64

Sia il Regolamento n. 2016/679, noto anche come General Data

Protection Regulation (GDPR), che la Direttiva n. 2016/680 fanno

parte del c.d. “Pacchetto europeo protezione dati” che, come detto, mira ad adeguare l’Europa all’Era digitale permettendo ai suoi cittadini di godere di uguali diritti in materia di protezione dei dati. Si passa da strumenti di armonizzazione, a “strumenti di uniformazione” del diritto per gli Stati europei.

Il Gruppo di lavoro articolo 29 per la protezione dei dati ha adottato il 2 febbraio 2016 un piano d’azione per l’implementazione del Regolamento entro il 2018. Il 3 gennaio 2017 al precedente programma è stato sostituito un nuovo action plan, secondo cui il Gruppo di lavoro articolo 29 si impegna ad ultimare le attività