Privacy: dalla tutela della riservatezza (in senso stretto) al diritto alla protezione dei dati personali

Privacy: dalla tutela della riservatezza (in senso stretto) al diritto alla protezione dei dati personali

Privacy: dalla tutela della riservatezza (in senso stretto) al diritto alla protezione dei dati personali

Se si volesse sintetizzare al massimo la storia del diritto alla protezione dei dati personali, si potrebbe affermare che la privacy, originariamente intesa esclusivamente come diritto al rispetto della vita privata individuale e familiare, nasce alla fine del XIX secolo, si sviluppa nel XX secolo, più precisamente tra la fine del secondo conflitto mondiale e gli anni Novanta, e raggiunge la sua massima espressione – essendosi ormai grandemente consolidata quella distinzione concettuale che permette di spingere sino alla sua estensione massima la tutela della dignità umana e dei diritti dei singoli nell’attuale contesto post-industriale della cosiddetta Società dell’informazione; ci si riferisce cioè alla raggiunta emancipazione del diritto alla protezione dei dati personali rispetto a quello che è il diritto alla riservatezza stricto sensu – in epoca attuale, e dunque all’inizio del III millennio.

Ad essere intellettualmente onesti, però, si dovrebbe anche ammettere che il bisogno di subordinare la conoscenza e l’uso di certe informazioni, specialmente se riguardanti delle persone fisiche determinate, a delle regole di riservatezza non sorge certo tra il 1875 ed il 1890, ma rappresenta un tipo di istanza che potremmo definire connaturale alla stessa civiltà umana. Basti pensare allo stesso “giuramento di Ippocrate” del IV secolo a.C., attraverso il quale si vincolava coloro che esercitavano la professione medica a mantenere il riserbo su tutto ciò avrebbero appreso effettuando delle prestazioni professionali in favore di altri soggetti[1]; oppure al “sigillo sacramentale” previsto dalla Chiesa Cattolica in favore di coloro che richiedono il sacramento della Confessione[2] e dalla Chiesa Ortodossa per il cosiddetto “mistero della Penitenza”. Doveri di riservatezza di questo tipo, infatti, sono sempre stati considerati, anche dalle società più arcaiche, utili, non soltanto per i singoli individui che ne avrebbero beneficiato, ma per tutta la collettività, che ne usciva così rafforzata in ragione del corretto funzionamento di quegli istituti giuridici ed istituzioni sociali che di essa sono l’essenza.

Tuttavia, potremmo affermare, benché questo bisogno di privacy fosse sicuramente insito nella natura umana, soltanto in un’epoca a noi decisamente più prossima, ossia verso la fine del XIX secolo, ha potuto prender piede l’idea che le persone potessero godere di un vero e proprio diritto a veder tutelata la propria vita privata dalle ingerenze esterne, fossero queste provenute da parte di istituzioni pubbliche ovvero da altri soggetti privati.

Ma cosa è avvenuto nel 1800 che repentinamente ha mutato il modo in cui gli esseri umani percepivano questo bisogno di riservatezza? La risposta sta nel fatto che la tecnologia – e, in particolare, la tecnologia applicata ai mezzi di comunicazione – proprio in quegli anni aveva compiuto un salto evolutivo decisamente importante: combinando infatti la fotografia e la tecnica della stampa a rotativa si potevano adesso raggiungere livelli di diffusione delle informazioni impensabili in passato; e peraltro con un livello di dettaglio della rappresentazione fornita[3] ed una capacità d’impatto sul pubblico[4] decisamente notevoli per il periodo storico. Ma procediamo con ordine.

Secondo gli storici, i secoli XVIII e XIX rappresenterebbero infatti “l’età aurea del diritto privato”[5], registrandosi, proprio in questo periodo, una forte spinta alla riscoperta della dimensione privatistica del diritto. Non stupisce dunque che, giunti al culmine di quest’epoca, e precisamente nel 1879, in un contesto dove i concetti di libertà individuale e proprietà privata possono considerarsi elementi da sempre caratterizzanti la relativa cultura popolare, quale appunto quello degli Stati Uniti d’America, l’allora giudice della Corte Suprema del Michigan, Thomas M. Cooley, arrivasse ad affermare, nel suo volume dal titolo “A Treatise on the Law of Torts or the Wrongs Which Arise Independent of Contract”, quello che egli stesso avrebbe definito come diritto alla “Immunità personale”, ossia il diritto a godere di uno spazio ideale

rispetto al quale niente e nessuno può esercitare ingerenza, in cui l’essere umano detiene l’assoluto diritto “di essere lasciato in pace” (the right to be let alone)[6].

Undici anni dopo questo potente concetto verrà ripreso da due giovani avvocati di Boston, Samuel D. Warren e Louis D. Brandeis, i quali lo utilizzeranno per fondare la propria teoria sull’esistenza di un autonomo diritto delle persone fisiche al rispetto della loro vita privata (individuale e familiare)[7]. Lo faranno attraverso un articolo intitolato proprio “The Right to Privacy”, pubblicato nel 1890 sulla Harvard Law Review[8]. L’intento di Warren e Brandies era quello di offrire protezione, grazie all’invocato riconoscimento legale del succitato diritto alla privacy, a tutti quelli che risultavano essere gli aspetti più intimi e personali della vita di una persona, lasciati letteralmente scoperti dagli schemi classici di tutela che erano propri del common law statunitense: propriety right; breach of trust/contract; physical trespass.[9] Dietro l’elaborazione di questa ambiziosa teoria vi erano peraltro ragioni molto pratiche: il sopraccennato sviluppo della fotografia, combinata alla massiccia diffusione che stava avendo in quel tempo la stampa periodica, in particolare nei grandi centri urbani, aveva spinto sempre più gli editori a pubblicare articoli, che potrebbero essere definiti di tipo “scandalistico”, aventi ad oggetto le abitudini di vita di quelle che erano persone molto in vista nella società dell’epoca. E poiché l’estrazione sociale dei predetti giuristi bostoniani era elevata, essi stessi (ed i propri familiari) vivevano personalmente il problema dell’inesistenza di un argine legale al tipo di ingerenze (non fisiche) che soggetti terzi – nel caso specifico, privati che esercitavano la professione giornalistica – avrebbero potuto esercitare nel quotidiano delle persone[10].

Il concetto di diritto alla privacy veniva dunque alla luce quale forma di limite rispetto all’ingerenza altrui nella propria vita privata; quale risposta ad una istanza di riservatezza nel senso proprio del termine; quale soluzione giuridica al bisogno di essere “lasciati in pace” ed impedire che terzi possano conoscere e divulgare – salvo eccezioni giustificate dal consenso della persona interessata, ragioni di reale interesse pubblico, ovvero motivi di giustizia – determinati fatti o accadimenti riguardanti la vita di una persona fisica.[11]

L’evoluzione del diritto alla privacy compie un ulteriore passo in avanti soltanto nel periodo successivo alla Secondo conflitto mondiale; siamo giunti dunque al XX secolo ed il bene giuridico “riservatezza”, avendo fresco alla mente il ricordo delle atrocità che erano state commesse nel periodo bellico appena conclusosi, torna ad acquisire una certa importanza e centralità.

«There’s a reason why privacy is in the Declaration of Human Rights» (“C’è una ragione per cui la privacy si trova inserita nella Dichiarazione dei diritti umani”[12]. Ed infatti, il 10 dicembre 1948, a Parigi, l’Assemblea Generale delle Nazioni Unite approvava e proclamava la Dichiarazione Universale dei Diritti Umani, al cui art. 12 si legge: «Nessun individuo potrà essere sottoposto ad interferenze arbitrarie nella sua vita privata, nella sua famiglia, nella sua casa, nella sua corrispondenza, né a lesione del suo onore e della sua reputazione. Ogni individuo ha diritto ad essere tutelato dalla legge contro tali interferenze o lesioni»[13].

Nel biennio successivo, 1949-1950, vennero poi redatte le due convenzioni internazionali del Patto internazionale sui diritti civili e politici (ambito: ONU; trattato aperto alla firma solo molti anni dopo, nel 1966, ed entrato in vigore nel 1976)[14] e della Convenzione europea per la salvaguardia dei diritti dell’uomo e delle libertà fondamentali (ambito: Consiglio d’Europa; aperta alla firma nel 1950 ed entrata in vigore nel 1953), le quali contenevano al proprio interno disposizioni – rispettivamente, l’art. 17 del PIDCP e l’art. 8 CEDU – che espressamente riconoscevano e tutelavano il diritto alla privacy delle persone fisiche; privacy che, ovviamente, almeno nelle intenzioni originali dei redattori di ambedue questi testi normativi, era intesa come diritto alla riservatezza stricto sensu.

Emblematico in tal senso risulta essere il dettato dell’art. 8 CEDU, che così recita: «1. Ogni persona ha diritto al rispetto della propria vita privata e familiare, del proprio domicilio e della propria corrispondenza./ 2. Non può esservi ingerenza di una autorità pubblica nell’esercizio di tale diritto a meno che tale ingerenza sia prevista dalla legge e costituisca una misura che, in una società democratica, è necessaria alla sicurezza nazionale, alla pubblica sicurezza, al benessere economico del paese, alla difesa dell’ordine e alla prevenzione dei reati, alla protezione della salute o della morale, o alla protezione dei diritti e delle libertà altrui».

Non meno solenne, del resto, appare il testo dell’art. 17 PIDCP: «1. Nessuno può essere sottoposto ad interferenze arbitrarie o illegittime nella sua vita privata, nella sua famiglia, nella sua casa o nella sua corrispondenza, né a illegittime offese al suo onore e alla sua reputazione./ 2. Ogni individuo ha diritto ad essere tutelato dalla legge contro tali interferenze od offese»[15].

Ora, come ben si può notare dal tenore letterale delle norme qui sopra riportate, quello che attraverso le convenzioni internazionali formate nella prima metà del XX secolo si intendeva salvaguardare era, essenzialmente, la privacy del singolo nei rapporti che questi aveva con la pubblica autorità: tutela avverso perquisizioni domiciliari arbitrarie; garanzia contro il monitoraggio e l’intercettazione ingiustificata delle comunicazioni; protezione avverso la criminalizzazione di atti, liberi e volontari, attinenti la sfera sessuale privata.[16]

Del resto, i trattati internazionali sopracitati, nonostante rappresentassero una tappa importantissima nel cammino compiuto dal diritto alla privacy sino ai giorni nostri ed al loro interno contenessero norme capaci di estendere la propria portata sino a ricomprendere situazioni che nettamente rientrano all’interno dell’ambito dei rapporti privati[17] Referenza, mantenevano pur sempre la natura tipica di un atto giuridico di diritto internazionale pubblico. In forza di quelle disposizioni, pertanto, un individuo poteva intraprendere un’azione legale, funzionale a far dichiarare che la relativa legislazione interna non aveva saputo attuare gli adeguati presidi affinché il diritto fondamentale di questi venisse garantito contro atti di ingerenza esercitati da altre persone (fisiche o giuridiche), esclusivamente nei confronti di uno Stato od un organo di quel medesimo Stato; non poteva fare nulla, tuttavia, contro l’autore materiale della condotta lesiva in questione.

Quello che si palesava sotto gli occhi di tutti, in altri termini, era ciò che si definiva come “il problema dell’effetto orizzontale dei diritti umani”[18] Referenza, il quale ha potuto trovare risposta compiuta solo a partire dagli anni Settanta del secolo scorso, quando – stavolta in Europa (continente che si stava apprestando a diventare un vero e proprio faro per il Mondo in materia di diritto alla privacy) – si è iniziata ad avvertire l’esigenza di tutelare la riservatezza dei propri cittadini da forme di aggressione del tutto nuove e molto più invasive: i trattamenti automatizzati di dati personali.

Volendo essere chiari: i computer non nascono nel 1970, ma durante la Seconda guerra mondiale. L’esempio forse più immediato che si potrebbe fare è l’elaboratore Colossus, progettato dal celebre matematico Alan Turing ed utilizzato per decifrare i messaggi criptati dalla macchina cifratrice Lorenz SZ 40/42, usata dai nazisti per proteggere le comunicazioni indirizzate ai livelli gerarchici più elevati del regime. Gli scopi per i quali questi strumenti vennero originariamente sviluppati erano dunque di tipo prettamente militare, e fino agli anni Sessanta del XX secolo questi potentissimi strumenti avevano avuto sempre e solo questa tipologia di impieghi.

Tra gli anni Sessanta e Settanta del 1900, però, succede che di questi dispositivi si inizia a fare un uso inedito, venendo infatti riscoperti quali utilissimi ausili – benché costosi e voluminosi – per grandi imprese, apparati pubblici di un certo livello e forze di polizia. I primi impieghi non militari delle macchine computazionali riguardavano le attività di pagamento dei salari e dei fornitori (impieghi nella contabilità aziendale), la tenuta dei registri dei pazienti da parte di grandi strutture ospedaliere, l’effettuazione di censimenti pubblici e statistiche, nonché la tenuta dei cosiddetti schedari di polizia. Fu così che, verso la fine degli anni Sessanta, il dibattito pubblico interno ad alcune nazioni europee (Francia e Germania in particolare, ma anche in Norvegia, Svezia e Regno Unito), nonché nell’ambito dello stesso Consiglio d’Europa e dell’OCSE[19], iniziò a concentrarsi gradualmente sul tema dei possibili abusi legati alla cospicua mole di informazioni, anche “sensibili”, che potevano adesso essere raccolte e trattate grazie ai computer[20].

Cominciava così a farsi largo l’idea che i singoli meritassero protezione, non soltanto con riferimento a quelle azioni intrusive che potevano essere compiute nell’ambito della loro sfera privata (violazioni della riservatezza in senso tradizionale e proprio), ma anche in relazione ai possibili effetti pregiudizievoli che avrebbero potuto derivare dal trattamento automatizzato dei loro dati personali: dall’uso di informazioni errate per prendere decisioni o compiere azioni capaci di incidere sulla loro vita e condizionarne l’esistenza, all’eventualità – ben peggiore – che la capacità di centralizzare i dati raccolti (anche per finalità differenti tra loro), nonché di incrociare detti dati con altre informazioni ricavate aliunde, potesse agevolare la riaffermazione di poteri autoritari e/o di regimi liberticidi. Si iniziava dunque ad avvertire la necessità di tutelare la riservatezza delle persone ad un livello nuovo e diverso, volendo cioè evitare che la possibilità di trattare informazioni riguardanti la vita di un determinato essere umano (informazioni più o meno rilevanti, sia dal punto di vista qualitativo che quantitativo) si traducesse in un’azione lesiva della sua libertà e dei suoi (altri) diritti fondamentali. In altre parole, si stava concettualmente arrivando all’idea che dovesse essere riconosciuto agli individui un vero e proprio diritto alla protezione dei dati che sono relativi alla loro persona.

Inizialmente, questo bisogno di regolamentazione fu soddisfatto in maniera frammentaria, a livello locale e/o nazionale da parte di alcuni Stati europei. Uno degli esempi più citati negli articoli e manuali che trattano di storia del diritto alla privacy è difatti il caso della legislazione emanata nel 1970 in Germania, più precisamente nel Land dell’Assia, dove – per la prima volta in assoluto – si provò a disciplinare il trattamento di dati personali compiuto da parte sia di pubbliche autorità che di grandi imprese operanti nel settore privato[21]. La seguì la Svezia nel 1973, poi la Francia nel 1978, con la legge su “Informatica e Libertà”, e successivamente fu il turno di Austria, Danimarca, Norvegia e Lussemburgo (le prime tre nazioni nel 1978, l’ultima nel 1979). Sempre più si stava formando, di fatto, una concezione comune europea in punto di diritto alla protezione dei dati personali dei singoli; una concezione che, peraltro, cercava di conciliare, provando a raggiungere un ragionevole equilibrio tra contrapposte esigenze, l’interesse dei singoli alla tutela dei dati personali che li riguardavano con le istanze della collettività e di una società in continuo sviluppo[22].

La visione comune che in quegli anni pareva andare delineandosi relativamente alla necessità di riconoscere e garantire alle persone fisiche un diritto al corretto trattamento (automatizzato) dei propri dati personali venne inoltre avvertita in seno allo stesso Consiglio d’Europa, il quale, infatti, tra il 1973 ed il 1974 emanò due importanti risoluzioni aventi ad oggetto – rispettivamente – la “Tutela della riservatezza delle persone in rapporto alle banche dati elettroniche nel settore provato” e la “Tutela della riservatezza delle persone in rapporto alle banche dati elettroniche nel settore pubblico”.

Si trattava di atti non vincolanti per gli Stati. Tuttavia, il fatto che si fosse sentita l’esigenza di agire ad un livello che travalicava i confini delle singole nazioni, rafforzando l’idea che vi potessero essere dei principi fondamentali comuni per questa materia, attribuiva agli stessi un’indubbia importanza.

Detti “principi fondamentali” per un corretto trattamento automatizzato dei dati a carattere personale vennero poi riproposti, sempre in quegli anni, anche all’interno di altri strumenti internazionali globali (che rimanevano, tuttavia, ancora a carattere non vincolante). È il caso – volendo citare quello che forse è l’esempio più noto – delle “Linee-guida sulla protezione della vita privata e sui flussi transfrontalieri di dati personali”, emanate dall’OCSE il 23 settembre 1980[23].

Il primo strumento internazionale di tipo vincolante, ad ogni modo, non tardò ad arrivare. Già nel gennaio del 1981, infatti, in seno al sopracitato Consiglio d’Europa si giunse all’approvazione della famosa Convenzione di Strasburgo del 1981, conosciuta principalmente attraverso la numerazione della Serie dei Trattati Europei che le venne assegnata: “Convenzione 108”[24].

Questo trattato, aperto alla firma anche da parte di Stati non membri del Consiglio d’Europa (su invito), si poneva – e si pone ancora oggi, considerato che rappresenta l’unico strumento internazionale giuridicamente vincolante avente ad oggetto la tutela dei diritti dei singoli rispetto al trattamento dei loro dati personali[25] – in stretto rapporto con la CEDU, in particolare con il già citato articolo 8 della Convenzione Europea dei Diritti dell’Uomo. La Convenzione n. 108, difatti, pur non essendo soggetta al controllo giudiziario della Corte europea, è sempre stata tenuta in debita considerazione dalla giurisprudenza del Giudice di Strasburgo, il quale non ha mai mancato di ribadire come la protezione dei dati personali debba essere considerata una parte imprescindibile del diritto al rispetto della vita privata degli esseri umani. La Corte EDU non ha dunque mai celato il proprio ispirarsi direttamente ai principi fissati dalla “Convenzione 108” per stabilire se, nei casi che vengono portati innanzi al suo giudizio, sia o meno ravvisabile un’ingerenza nel diritto fondamentale sancito dall’art. 8 della Convenzione europea per la salvaguardia dei diritti dell’uomo e delle libertà fondamentali[26].

Come si è avuto modo di accennare, la Convenzione n. 108 era (rectius, è) un atto giuridico vincolante per le Parti contraenti. Gli Stati che si impegnavano a sottoscrivere e ratificare questo trattato, dunque, erano costretti a adottare al proprio interno una normativa che rispettasse quei principi fondamentali che si erano pian piano delineati in materia di trattamento dei dati personali. E seppure valessero, anche per questo tipo di strumento giuridico, le considerazioni fatte più sopra relativamente al problema dell’effetto orizzontale dei diritti riconosciuti all’interno di trattati internazionali, per lungo tempo (circa una decade) in Europa si ritenne sufficiente il fatto che fosse stato varato un insieme di regole a livello internazionale atto ad obbligare gli Stati nazionali a dotarsi di una legislazione interna conforme a tutela dei diritti e delle libertà dei singoli per quanto concerne il trattamento automatizzato dei dati personali che li riguardano.

Nei primissimi anni Novanta, però, nell’ambito di quella che sarebbe stata la futura Unione europea ci si rese conto che il sistema messo in atto grazie alla Convenzione n. 108 non avrebbe mai consentito il raggiungimento di quel livello di armonizzazione che era ritenuto necessario affinché si potesse addivenire alla creazione di quello spazio di libera circolazione delle persone, capitali, merci e servizi che l’allora Comunità economica europea si prefiggeva di realizzare. Ed infatti, stando alla Comunicazione del 13 settembre 1990 della Commissione delle Comunità Europee[27], a nove anni dalla sua approvazione la Convenzione n. 108 risultava esser stata ratificata solo da parte di sette Paesi membri della CEE, i quali peraltro avevano adottato una legislazione interna molto diversa gli uni dagli altri[28].

Tutto ciò aveva spinto la Commissione europea, sollecitata in proposito proprio delle varie autorità europee di protezione dei dati, ad avanzare al Parlamento europeo ed al Consiglio l’ambiziosa proposta di approvare un pacchetto di ben due direttive[29] specifiche in materia di trattamento di dati personali: a) una direttiva a carattere generale relativa alla tutela delle persone fisiche con riguardo al trattamento dei dati personali; b) una seconda direttiva, di tipo sussidiario, e nello specifico una Council Directive(così come viene definita nella stessa succitata comunicazione del 13 settembre 1990), riguardante la «protezione dei dati personali nel contesto delle reti pubbliche di telecomunicazione digitale, in particolare nelle reti digitali di servizi integrati (ISDN) e nelle reti pubbliche digitali radiomobili»[30].

Si giungerà così all’approvazione della nota “Direttiva madre”, ovverosia la direttiva 95/46/CE, deputata ad essere la normativa di riferimento della Comunità europea in materia di trattamento dei dati personali delle persone fisiche, nonché – relativamente al settore più circoscritto delle telecomunicazioni digitali – della direttiva 97/66/CE, poi sostituita dalla direttiva 2002/58/CE sulla protezione dei dati personali nel contesto delle comunicazioni elettroniche (meglio conosciuta come “Direttiva e-privacy”).

Nei primi anni del XXI secolo lo stato della legislazione (in particolare, di quella euro-unitaria, o comunque quello delle varie regolamentazioni a carattere nazionale da questa sollecitate) sembrava aver raggiunto il proprio apice: le due direttive predette avevano imposto agli Stati membri l’adozione di normative in linea con gli obiettivi fissati dall’Unione; alle soglie del Nuovo Millennio v’era stata l’approvazione di una Carta dei diritti propria per l’UE, la Carta di Nizza del 7 dicembre 2000, al cui interno era stata peraltro consacrata l’autonomia concettuale del diritto alla protezione dei dati personali (art. 8) rispetto al più tradizionale diritto al rispetto della vita privata individuale e familiare (art. 7); l’obiettivo della creazione di un mercato unico europeo – all’interno del quale rendere possibile anche la libera circolazione dei dati, personali e non – sembrava essere ormai diretto verso il pieno consolidamento, considerata anche la diffusa entrata in circolazione dell’Euro e le conseguenze in punto di rafforzamento dell’interdipendenza economica tra Paesi membri che ciò avrebbe comportato.

Tuttavia, la scelta di uno strumento come la direttiva, quale mezzo per raggiungere il fine ultimo della creazione di un giusto equilibrio tra protezione dei diritti fondamentali dei singoli e principio della libera circolazione dei dati, non mancò – in seguito all’avvento di Internet[31], dei dispositivi mobili dalle elevate capacità computazionali (smart-phone), dei sistemi computerizzati integrati in oggetti di uso quotidiano ed in grado di elaborare un cospicuo numero di informazioni relative all’ambiente circostante ed al relativo utilizzatore (“ubiquitous computing”; sistemi domotici; Internet of Things), fino ad arrivare alle più recenti questioni legate al fenomeno dei cosiddetti “Big Data” ed al crescente sviluppo ed impiego di tecnologie di tipo AI[32] – di mostrare tutti i propri limiti.

La direttiva, infatti, per sua stessa natura si limita a fissare obiettivi, a richiedere il raggiungimento di un risultato specifico, lasciando impregiudicata la possibilità per gli Stati di decidere i mezzi giuridici da utilizzare per conseguire detti risultati stabiliti a livello sovranazionale. Si tratta dunque, anche qui, di uno strumento che – in linea di principio – non possiede un “effetto diretto” invocabile all’interno dei vari Paesi membri; di un tipo di regolamentazione che non è in grado di creare diritti ed obblighi direttamente in capo ai singoli (persone fisiche o giuridiche), ma che necessità sempre di un recepimento formale da parte del diritto nazionale. E ciò non poteva che portare, ancora una volta, ad una notevole diversità normativa tra gli Stati facenti parte dell’UE[33].

Se si volevano affrontare efficacemente le sfide lanciate dal costante avanzamento tecnologico nel settore dell’informatica, favorendo così lo sviluppo economico di tutta l’Unione, si doveva però riuscire a creare un sistema forte che garantisse uno standard elevato ed omogeneo di protezione dei dati per tutti coloro che si trovavano a vivere all’interno del territorio comunitario, nonché per tutti coloro che – pur rimanendo fisicamente al di fuori dell’Unione – avrebbero comunque dovuto affidare le proprie informazioni personali ad istituzioni e/o soggetti economici stabiliti in UE[34].

Se la meta appariva ormai chiara da tempo, per poter finalmente arrivare ad un corpo di norme che fosse direttamente applicabile in tutta l’Unione ed espressamente partorito al fine di tutelare efficacemente i diritti e libertà delle persone fisiche con riferimento al trattamento dei loro dati personali si è dovuto attendere la profonda riforma del sistema euro-unitario realizzata con l’adozione del Trattato di Lisbona del 13 dicembre 2007 (entrato in vigore il 1° dicembre 2009).

Con il Trattato di Lisbona, infatti, non solo è stato dato pieno riconoscimento alla Carta dei diritti fondamentali dell’Unione europea (la Carta di Nizza, che proprio all’art. 8 – giova ricordarlo – tutela in maniera esplicita il «diritto alla protezione dei dati di carattere personale» di «ogni persona»), elevata adesso allo status di documento legale vincolante a livello di diritto primario del sistema euro-unitario[35], ma viene espressamente fornita – grazie alla previsione dell’art. 16 del Trattato sul funzionamento dell’Unione europea (TFUE)[36] – una solida base giuridica alla competenza legislativa dell’Unione in materia protezione dei dati personali[37].

Si giunge così, il giorno 27 del mese di aprile dell’anno 2016, all’approvazione del Regolamento generale sulla protezione dei dati (Regolamento UE 2016/679 del Parlamento europeo e del Consiglio dell’Unione europea, conosciuto dai più attraverso il relativo acronimo in lingua inglese “GDPR”), divenuto pienamente efficace, in tutta l’Unione, a partire dal 25 maggio 2018.

Autore: Alessandro Paoletti

Privacy: dalla tutela della riservatezza (in senso stretto) al diritto alla protezione dei dati personali

Se si volesse sintetizzare al massimo la storia del diritto alla protezione dei dati personali, si potrebbe affermare che la privacy, originariamente intesa esclusivamente come diritto al rispetto della vita privata individuale e familiare, nasce alla fine del XIX secolo, si sviluppa nel XX secolo, più precisamente tra la fine del secondo conflitto mondiale e gli anni Novanta, e raggiunge la sua massima espressione – essendosi ormai grandemente consolidata quella distinzione concettuale che permette di spingere sino alla sua estensione massima la tutela della dignità umana e dei diritti dei singoli nell’attuale contesto post-industriale della cosiddetta Società dell’informazione; ci si riferisce cioè alla raggiunta emancipazione del diritto alla protezione dei dati personali rispetto a quello che è il diritto alla riservatezza stricto sensu – in epoca attuale, e dunque all’inizio del III millennio.

Ad essere intellettualmente onesti, però, si dovrebbe anche ammettere che il bisogno di subordinare la conoscenza e l’uso di certe informazioni, specialmente se riguardanti delle persone fisiche determinate, a delle regole di riservatezza non sorge certo tra il 1875 ed il 1890, ma rappresenta un tipo di istanza che potremmo definire connaturale alla stessa civiltà umana. Basti pensare allo stesso “giuramento di Ippocrate” del IV secolo a.C., attraverso il quale si vincolava coloro che esercitavano la professione medica a mantenere il riserbo su tutto ciò avrebbero appreso effettuando delle prestazioni professionali in favore di altri soggetti[1]; oppure al “sigillo sacramentale” previsto dalla Chiesa Cattolica in favore di coloro che richiedono il sacramento della Confessione[2] e dalla Chiesa Ortodossa per il cosiddetto “mistero della Penitenza”. Doveri di riservatezza di questo tipo, infatti, sono sempre stati considerati, anche dalle società più arcaiche, utili, non soltanto per i singoli individui che ne avrebbero beneficiato, ma per tutta la collettività, che ne usciva così rafforzata in ragione del corretto funzionamento di quegli istituti giuridici ed istituzioni sociali che di essa sono l’essenza.

Tuttavia, potremmo affermare, benché questo bisogno di privacy fosse sicuramente insito nella natura umana, soltanto in un’epoca a noi decisamente più prossima, ossia verso la fine del XIX secolo, ha potuto prender piede l’idea che le persone potessero godere di un vero e proprio diritto a veder tutelata la propria vita privata dalle ingerenze esterne, fossero queste provenute da parte di istituzioni pubbliche ovvero da altri soggetti privati.

Ma cosa è avvenuto nel 1800 che repentinamente ha mutato il modo in cui gli esseri umani percepivano questo bisogno di riservatezza? La risposta sta nel fatto che la tecnologia – e, in particolare, la tecnologia applicata ai mezzi di comunicazione – proprio in quegli anni aveva compiuto un salto evolutivo decisamente importante: combinando infatti la fotografia e la tecnica della stampa a rotativa si potevano adesso raggiungere livelli di diffusione delle informazioni impensabili in passato; e peraltro con un livello di dettaglio della rappresentazione fornita[3] ed una capacità d’impatto sul pubblico[4] decisamente notevoli per il periodo storico. Ma procediamo con ordine.

Secondo gli storici, i secoli XVIII e XIX rappresenterebbero infatti “l’età aurea del diritto privato”[5], registrandosi, proprio in questo periodo, una forte spinta alla riscoperta della dimensione privatistica del diritto. Non stupisce dunque che, giunti al culmine di quest’epoca, e precisamente nel 1879, in un contesto dove i concetti di libertà individuale e proprietà privata possono considerarsi elementi da sempre caratterizzanti la relativa cultura popolare, quale appunto quello degli Stati Uniti d’America, l’allora giudice della Corte Suprema del Michigan, Thomas M. Cooley, arrivasse ad affermare, nel suo volume dal titolo “A Treatise on the Law of Torts or the Wrongs Which Arise Independent of Contract”, quello che egli stesso avrebbe definito come diritto alla “Immunità personale”, ossia il diritto a godere di uno spazio ideale

rispetto al quale niente e nessuno può esercitare ingerenza, in cui l’essere umano detiene l’assoluto diritto “di essere lasciato in pace” (the right to be let alone)[6].

Undici anni dopo questo potente concetto verrà ripreso da due giovani avvocati di Boston, Samuel D. Warren e Louis D. Brandeis, i quali lo utilizzeranno per fondare la propria teoria sull’esistenza di un autonomo diritto delle persone fisiche al rispetto della loro vita privata (individuale e familiare)[7]. Lo faranno attraverso un articolo intitolato proprio “The Right to Privacy”, pubblicato nel 1890 sulla Harvard Law Review[8]. L’intento di Warren e Brandies era quello di offrire protezione, grazie all’invocato riconoscimento legale del succitato diritto alla privacy, a tutti quelli che risultavano essere gli aspetti più intimi e personali della vita di una persona, lasciati letteralmente scoperti dagli schemi classici di tutela che erano propri del common law statunitense: propriety right; breach of trust/contract; physical trespass.[9] Dietro l’elaborazione di questa ambiziosa teoria vi erano peraltro ragioni molto pratiche: il sopraccennato sviluppo della fotografia, combinata alla massiccia diffusione che stava avendo in quel tempo la stampa periodica, in particolare nei grandi centri urbani, aveva spinto sempre più gli editori a pubblicare articoli, che potrebbero essere definiti di tipo “scandalistico”, aventi ad oggetto le abitudini di vita di quelle che erano persone molto in vista nella società dell’epoca. E poiché l’estrazione sociale dei predetti giuristi bostoniani era elevata, essi stessi (ed i propri familiari) vivevano personalmente il problema dell’inesistenza di un argine legale al tipo di ingerenze (non fisiche) che soggetti terzi – nel caso specifico, privati che esercitavano la professione giornalistica – avrebbero potuto esercitare nel quotidiano delle persone[10].

Il concetto di diritto alla privacy veniva dunque alla luce quale forma di limite rispetto all’ingerenza altrui nella propria vita privata; quale risposta ad una istanza di riservatezza nel senso proprio del termine; quale soluzione giuridica al bisogno di essere “lasciati in pace” ed impedire che terzi possano conoscere e divulgare – salvo eccezioni giustificate dal consenso della persona interessata, ragioni di reale interesse pubblico, ovvero motivi di giustizia – determinati fatti o accadimenti riguardanti la vita di una persona fisica.[11]

L’evoluzione del diritto alla privacy compie un ulteriore passo in avanti soltanto nel periodo successivo alla Secondo conflitto mondiale; siamo giunti dunque al XX secolo ed il bene giuridico “riservatezza”, avendo fresco alla mente il ricordo delle atrocità che erano state commesse nel periodo bellico appena conclusosi, torna ad acquisire una certa importanza e centralità.

«There’s a reason why privacy is in the Declaration of Human Rights» (“C’è una ragione per cui la privacy si trova inserita nella Dichiarazione dei diritti umani”[12]. Ed infatti, il 10 dicembre 1948, a Parigi, l’Assemblea Generale delle Nazioni Unite approvava e proclamava la Dichiarazione Universale dei Diritti Umani, al cui art. 12 si legge: «Nessun individuo potrà essere sottoposto ad interferenze arbitrarie nella sua vita privata, nella sua famiglia, nella sua casa, nella sua corrispondenza, né a lesione del suo onore e della sua reputazione. Ogni individuo ha diritto ad essere tutelato dalla legge contro tali interferenze o lesioni»[13].

Nel biennio successivo, 1949-1950, vennero poi redatte le due convenzioni internazionali del Patto internazionale sui diritti civili e politici (ambito: ONU; trattato aperto alla firma solo molti anni dopo, nel 1966, ed entrato in vigore nel 1976)[14] e della Convenzione europea per la salvaguardia dei diritti dell’uomo e delle libertà fondamentali (ambito: Consiglio d’Europa; aperta alla firma nel 1950 ed entrata in vigore nel 1953), le quali contenevano al proprio interno disposizioni – rispettivamente, l’art. 17 del PIDCP e l’art. 8 CEDU – che espressamente riconoscevano e tutelavano il diritto alla privacy delle persone fisiche; privacy che, ovviamente, almeno nelle intenzioni originali dei redattori di ambedue questi testi normativi, era intesa come diritto alla riservatezza stricto sensu.

Emblematico in tal senso risulta essere il dettato dell’art. 8 CEDU, che così recita: «1. Ogni persona ha diritto al rispetto della propria vita privata e familiare, del proprio domicilio e della propria corrispondenza./ 2. Non può esservi ingerenza di una autorità pubblica nell’esercizio di tale diritto a meno che tale ingerenza sia prevista dalla legge e costituisca una misura che, in una società democratica, è necessaria alla sicurezza nazionale, alla pubblica sicurezza, al benessere economico del paese, alla difesa dell’ordine e alla prevenzione dei reati, alla protezione della salute o della morale, o alla protezione dei diritti e delle libertà altrui».

Non meno solenne, del resto, appare il testo dell’art. 17 PIDCP: «1. Nessuno può essere sottoposto ad interferenze arbitrarie o illegittime nella sua vita privata, nella sua famiglia, nella sua casa o nella sua corrispondenza, né a illegittime offese al suo onore e alla sua reputazione./ 2. Ogni individuo ha diritto ad essere tutelato dalla legge contro tali interferenze od offese»[15].

Ora, come ben si può notare dal tenore letterale delle norme qui sopra riportate, quello che attraverso le convenzioni internazionali formate nella prima metà del XX secolo si intendeva salvaguardare era, essenzialmente, la privacy del singolo nei rapporti che questi aveva con la pubblica autorità: tutela avverso perquisizioni domiciliari arbitrarie; garanzia contro il monitoraggio e l’intercettazione ingiustificata delle comunicazioni; protezione avverso la criminalizzazione di atti, liberi e volontari, attinenti la sfera sessuale privata.[16]

Del resto, i trattati internazionali sopracitati, nonostante rappresentassero una tappa importantissima nel cammino compiuto dal diritto alla privacy sino ai giorni nostri ed al loro interno contenessero norme capaci di estendere la propria portata sino a ricomprendere situazioni che nettamente rientrano all’interno dell’ambito dei rapporti privati[17] Referenza, mantenevano pur sempre la natura tipica di un atto giuridico di diritto internazionale pubblico. In forza di quelle disposizioni, pertanto, un individuo poteva intraprendere un’azione legale, funzionale a far dichiarare che la relativa legislazione interna non aveva saputo attuare gli adeguati presidi affinché il diritto fondamentale di questi venisse garantito contro atti di ingerenza esercitati da altre persone (fisiche o giuridiche), esclusivamente nei confronti di uno Stato od un organo di quel medesimo Stato; non poteva fare nulla, tuttavia, contro l’autore materiale della condotta lesiva in questione.

Quello che si palesava sotto gli occhi di tutti, in altri termini, era ciò che si definiva come “il problema dell’effetto orizzontale dei diritti umani”[18] Referenza, il quale ha potuto trovare risposta compiuta solo a partire dagli anni Settanta del secolo scorso, quando – stavolta in Europa (continente che si stava apprestando a diventare un vero e proprio faro per il Mondo in materia di diritto alla privacy) – si è iniziata ad avvertire l’esigenza di tutelare la riservatezza dei propri cittadini da forme di aggressione del tutto nuove e molto più invasive: i trattamenti automatizzati di dati personali.

Volendo essere chiari: i computer non nascono nel 1970, ma durante la Seconda guerra mondiale. L’esempio forse più immediato che si potrebbe fare è l’elaboratore Colossus, progettato dal celebre matematico Alan Turing ed utilizzato per decifrare i messaggi criptati dalla macchina cifratrice Lorenz SZ 40/42, usata dai nazisti per proteggere le comunicazioni indirizzate ai livelli gerarchici più elevati del regime. Gli scopi per i quali questi strumenti vennero originariamente sviluppati erano dunque di tipo prettamente militare, e fino agli anni Sessanta del XX secolo questi potentissimi strumenti avevano avuto sempre e solo questa tipologia di impieghi.

Tra gli anni Sessanta e Settanta del 1900, però, succede che di questi dispositivi si inizia a fare un uso inedito, venendo infatti riscoperti quali utilissimi ausili – benché costosi e voluminosi – per grandi imprese, apparati pubblici di un certo livello e forze di polizia. I primi impieghi non militari delle macchine computazionali riguardavano le attività di pagamento dei salari e dei fornitori (impieghi nella contabilità aziendale), la tenuta dei registri dei pazienti da parte di grandi strutture ospedaliere, l’effettuazione di censimenti pubblici e statistiche, nonché la tenuta dei cosiddetti schedari di polizia. Fu così che, verso la fine degli anni Sessanta, il dibattito pubblico interno ad alcune nazioni europee (Francia e Germania in particolare, ma anche in Norvegia, Svezia e Regno Unito), nonché nell’ambito dello stesso Consiglio d’Europa e dell’OCSE[19], iniziò a concentrarsi gradualmente sul tema dei possibili abusi legati alla cospicua mole di informazioni, anche “sensibili”, che potevano adesso essere raccolte e trattate grazie ai computer[20].

Cominciava così a farsi largo l’idea che i singoli meritassero protezione, non soltanto con riferimento a quelle azioni intrusive che potevano essere compiute nell’ambito della loro sfera privata (violazioni della riservatezza in senso tradizionale e proprio), ma anche in relazione ai possibili effetti pregiudizievoli che avrebbero potuto derivare dal trattamento automatizzato dei loro dati personali: dall’uso di informazioni errate per prendere decisioni o compiere azioni capaci di incidere sulla loro vita e condizionarne l’esistenza, all’eventualità – ben peggiore – che la capacità di centralizzare i dati raccolti (anche per finalità differenti tra loro), nonché di incrociare detti dati con altre informazioni ricavate aliunde, potesse agevolare la riaffermazione di poteri autoritari e/o di regimi liberticidi. Si iniziava dunque ad avvertire la necessità di tutelare la riservatezza delle persone ad un livello nuovo e diverso, volendo cioè evitare che la possibilità di trattare informazioni riguardanti la vita di un determinato essere umano (informazioni più o meno rilevanti, sia dal punto di vista qualitativo che quantitativo) si traducesse in un’azione lesiva della sua libertà e dei suoi (altri) diritti fondamentali. In altre parole, si stava concettualmente arrivando all’idea che dovesse essere riconosciuto agli individui un vero e proprio diritto alla protezione dei dati che sono relativi alla loro persona.

Inizialmente, questo bisogno di regolamentazione fu soddisfatto in maniera frammentaria, a livello locale e/o nazionale da parte di alcuni Stati europei. Uno degli esempi più citati negli articoli e manuali che trattano di storia del diritto alla privacy è difatti il caso della legislazione emanata nel 1970 in Germania, più precisamente nel Land dell’Assia, dove – per la prima volta in assoluto – si provò a disciplinare il trattamento di dati personali compiuto da parte sia di pubbliche autorità che di grandi imprese operanti nel settore privato[21]. La seguì la Svezia nel 1973, poi la Francia nel 1978, con la legge su “Informatica e Libertà”, e successivamente fu il turno di Austria, Danimarca, Norvegia e Lussemburgo (le prime tre nazioni nel 1978, l’ultima nel 1979). Sempre più si stava formando, di fatto, una concezione comune europea in punto di diritto alla protezione dei dati personali dei singoli; una concezione che, peraltro, cercava di conciliare, provando a raggiungere un ragionevole equilibrio tra contrapposte esigenze, l’interesse dei singoli alla tutela dei dati personali che li riguardavano con le istanze della collettività e di una società in continuo sviluppo[22].

La visione comune che in quegli anni pareva andare delineandosi relativamente alla necessità di riconoscere e garantire alle persone fisiche un diritto al corretto trattamento (automatizzato) dei propri dati personali venne inoltre avvertita in seno allo stesso Consiglio d’Europa, il quale, infatti, tra il 1973 ed il 1974 emanò due importanti risoluzioni aventi ad oggetto – rispettivamente – la “Tutela della riservatezza delle persone in rapporto alle banche dati elettroniche nel settore provato” e la “Tutela della riservatezza delle persone in rapporto alle banche dati elettroniche nel settore pubblico”.

Si trattava di atti non vincolanti per gli Stati. Tuttavia, il fatto che si fosse sentita l’esigenza di agire ad un livello che travalicava i confini delle singole nazioni, rafforzando l’idea che vi potessero essere dei principi fondamentali comuni per questa materia, attribuiva agli stessi un’indubbia importanza.

Detti “principi fondamentali” per un corretto trattamento automatizzato dei dati a carattere personale vennero poi riproposti, sempre in quegli anni, anche all’interno di altri strumenti internazionali globali (che rimanevano, tuttavia, ancora a carattere non vincolante). È il caso – volendo citare quello che forse è l’esempio più noto – delle “Linee-guida sulla protezione della vita privata e sui flussi transfrontalieri di dati personali”, emanate dall’OCSE il 23 settembre 1980[23].

Il primo strumento internazionale di tipo vincolante, ad ogni modo, non tardò ad arrivare. Già nel gennaio del 1981, infatti, in seno al sopracitato Consiglio d’Europa si giunse all’approvazione della famosa Convenzione di Strasburgo del 1981, conosciuta principalmente attraverso la numerazione della Serie dei Trattati Europei che le venne assegnata: “Convenzione 108”[24].

Questo trattato, aperto alla firma anche da parte di Stati non membri del Consiglio d’Europa (su invito), si poneva – e si pone ancora oggi, considerato che rappresenta l’unico strumento internazionale giuridicamente vincolante avente ad oggetto la tutela dei diritti dei singoli rispetto al trattamento dei loro dati personali[25] – in stretto rapporto con la CEDU, in particolare con il già citato articolo 8 della Convenzione Europea dei Diritti dell’Uomo. La Convenzione n. 108, difatti, pur non essendo soggetta al controllo giudiziario della Corte europea, è sempre stata tenuta in debita considerazione dalla giurisprudenza del Giudice di Strasburgo, il quale non ha mai mancato di ribadire come la protezione dei dati personali debba essere considerata una parte imprescindibile del diritto al rispetto della vita privata degli esseri umani. La Corte EDU non ha dunque mai celato il proprio ispirarsi direttamente ai principi fissati dalla “Convenzione 108” per stabilire se, nei casi che vengono portati innanzi al suo giudizio, sia o meno ravvisabile un’ingerenza nel diritto fondamentale sancito dall’art. 8 della Convenzione europea per la salvaguardia dei diritti dell’uomo e delle libertà fondamentali[26].

Come si è avuto modo di accennare, la Convenzione n. 108 era (rectius, è) un atto giuridico vincolante per le Parti contraenti. Gli Stati che si impegnavano a sottoscrivere e ratificare questo trattato, dunque, erano costretti a adottare al proprio interno una normativa che rispettasse quei principi fondamentali che si erano pian piano delineati in materia di trattamento dei dati personali. E seppure valessero, anche per questo tipo di strumento giuridico, le considerazioni fatte più sopra relativamente al problema dell’effetto orizzontale dei diritti riconosciuti all’interno di trattati internazionali, per lungo tempo (circa una decade) in Europa si ritenne sufficiente il fatto che fosse stato varato un insieme di regole a livello internazionale atto ad obbligare gli Stati nazionali a dotarsi di una legislazione interna conforme a tutela dei diritti e delle libertà dei singoli per quanto concerne il trattamento automatizzato dei dati personali che li riguardano.

Nei primissimi anni Novanta, però, nell’ambito di quella che sarebbe stata la futura Unione europea ci si rese conto che il sistema messo in atto grazie alla Convenzione n. 108 non avrebbe mai consentito il raggiungimento di quel livello di armonizzazione che era ritenuto necessario affinché si potesse addivenire alla creazione di quello spazio di libera circolazione delle persone, capitali, merci e servizi che l’allora Comunità economica europea si prefiggeva di realizzare. Ed infatti, stando alla Comunicazione del 13 settembre 1990 della Commissione delle Comunità Europee[27], a nove anni dalla sua approvazione la Convenzione n. 108 risultava esser stata ratificata solo da parte di sette Paesi membri della CEE, i quali peraltro avevano adottato una legislazione interna molto diversa gli uni dagli altri[28].

Tutto ciò aveva spinto la Commissione europea, sollecitata in proposito proprio delle varie autorità europee di protezione dei dati, ad avanzare al Parlamento europeo ed al Consiglio l’ambiziosa proposta di approvare un pacchetto di ben due direttive[29] specifiche in materia di trattamento di dati personali: a) una direttiva a carattere generale relativa alla tutela delle persone fisiche con riguardo al trattamento dei dati personali; b) una seconda direttiva, di tipo sussidiario, e nello specifico una Council Directive(così come viene definita nella stessa succitata comunicazione del 13 settembre 1990), riguardante la «protezione dei dati personali nel contesto delle reti pubbliche di telecomunicazione digitale, in particolare nelle reti digitali di servizi integrati (ISDN) e nelle reti pubbliche digitali radiomobili»[30].

Si giungerà così all’approvazione della nota “Direttiva madre”, ovverosia la direttiva 95/46/CE, deputata ad essere la normativa di riferimento della Comunità europea in materia di trattamento dei dati personali delle persone fisiche, nonché – relativamente al settore più circoscritto delle telecomunicazioni digitali – della direttiva 97/66/CE, poi sostituita dalla direttiva 2002/58/CE sulla protezione dei dati personali nel contesto delle comunicazioni elettroniche (meglio conosciuta come “Direttiva e-privacy”).

Nei primi anni del XXI secolo lo stato della legislazione (in particolare, di quella euro-unitaria, o comunque quello delle varie regolamentazioni a carattere nazionale da questa sollecitate) sembrava aver raggiunto il proprio apice: le due direttive predette avevano imposto agli Stati membri l’adozione di normative in linea con gli obiettivi fissati dall’Unione; alle soglie del Nuovo Millennio v’era stata l’approvazione di una Carta dei diritti propria per l’UE, la Carta di Nizza del 7 dicembre 2000, al cui interno era stata peraltro consacrata l’autonomia concettuale del diritto alla protezione dei dati personali (art. 8) rispetto al più tradizionale diritto al rispetto della vita privata individuale e familiare (art. 7); l’obiettivo della creazione di un mercato unico europeo – all’interno del quale rendere possibile anche la libera circolazione dei dati, personali e non – sembrava essere ormai diretto verso il pieno consolidamento, considerata anche la diffusa entrata in circolazione dell’Euro e le conseguenze in punto di rafforzamento dell’interdipendenza economica tra Paesi membri che ciò avrebbe comportato.

Tuttavia, la scelta di uno strumento come la direttiva, quale mezzo per raggiungere il fine ultimo della creazione di un giusto equilibrio tra protezione dei diritti fondamentali dei singoli e principio della libera circolazione dei dati, non mancò – in seguito all’avvento di Internet[31], dei dispositivi mobili dalle elevate capacità computazionali (smart-phone), dei sistemi computerizzati integrati in oggetti di uso quotidiano ed in grado di elaborare un cospicuo numero di informazioni relative all’ambiente circostante ed al relativo utilizzatore (“ubiquitous computing”; sistemi domotici; Internet of Things), fino ad arrivare alle più recenti questioni legate al fenomeno dei cosiddetti “Big Data” ed al crescente sviluppo ed impiego di tecnologie di tipo AI[32] – di mostrare tutti i propri limiti.

La direttiva, infatti, per sua stessa natura si limita a fissare obiettivi, a richiedere il raggiungimento di un risultato specifico, lasciando impregiudicata la possibilità per gli Stati di decidere i mezzi giuridici da utilizzare per conseguire detti risultati stabiliti a livello sovranazionale. Si tratta dunque, anche qui, di uno strumento che – in linea di principio – non possiede un “effetto diretto” invocabile all’interno dei vari Paesi membri; di un tipo di regolamentazione che non è in grado di creare diritti ed obblighi direttamente in capo ai singoli (persone fisiche o giuridiche), ma che necessità sempre di un recepimento formale da parte del diritto nazionale. E ciò non poteva che portare, ancora una volta, ad una notevole diversità normativa tra gli Stati facenti parte dell’UE[33].

Se si volevano affrontare efficacemente le sfide lanciate dal costante avanzamento tecnologico nel settore dell’informatica, favorendo così lo sviluppo economico di tutta l’Unione, si doveva però riuscire a creare un sistema forte che garantisse uno standard elevato ed omogeneo di protezione dei dati per tutti coloro che si trovavano a vivere all’interno del territorio comunitario, nonché per tutti coloro che – pur rimanendo fisicamente al di fuori dell’Unione – avrebbero comunque dovuto affidare le proprie informazioni personali ad istituzioni e/o soggetti economici stabiliti in UE[34].

Se la meta appariva ormai chiara da tempo, per poter finalmente arrivare ad un corpo di norme che fosse direttamente applicabile in tutta l’Unione ed espressamente partorito al fine di tutelare efficacemente i diritti e libertà delle persone fisiche con riferimento al trattamento dei loro dati personali si è dovuto attendere la profonda riforma del sistema euro-unitario realizzata con l’adozione del Trattato di Lisbona del 13 dicembre 2007 (entrato in vigore il 1° dicembre 2009).

Con il Trattato di Lisbona, infatti, non solo è stato dato pieno riconoscimento alla Carta dei diritti fondamentali dell’Unione europea (la Carta di Nizza, che proprio all’art. 8 – giova ricordarlo – tutela in maniera esplicita il «diritto alla protezione dei dati di carattere personale» di «ogni persona»), elevata adesso allo status di documento legale vincolante a livello di diritto primario del sistema euro-unitario[35], ma viene espressamente fornita – grazie alla previsione dell’art. 16 del Trattato sul funzionamento dell’Unione europea (TFUE)[36] – una solida base giuridica alla competenza legislativa dell’Unione in materia protezione dei dati personali[37].

Si giunge così, il giorno 27 del mese di aprile dell’anno 2016, all’approvazione del Regolamento generale sulla protezione dei dati (Regolamento UE 2016/679 del Parlamento europeo e del Consiglio dell’Unione europea, conosciuto dai più attraverso il relativo acronimo in lingua inglese “GDPR”), divenuto pienamente efficace, in tutta l’Unione, a partire dal 25 maggio 2018.

Autore: Alessandro Paoletti

[1] Tale giuramento è stato attribuito ad Ippocrate di Coo (vissuto all’incirca nel periodo tra il 460 a.C. ed il 370 a.C.), il quale è universalmente considerato “il padre della medicina”. Il testo antico del giuramento in questione, che si ritiene esser stato formulato dal maestro di Coo al fine di illustrare i requisiti necessari per poter entrare nella sua scuola e praticare l’arte medica, sarebbe il seguente: “Giuro per Apollo medico e Asclepio e Igea e Panacea e per gli dèi tutti e per tutte le dee, chiamandoli a testimoni, che eseguirò, secondo le forze e il mio giudizio, questo giuramento e questo impegno scritto: di stimare il mio maestro di questa arte come mio padre e di vivere insieme a lui e di soccorrerlo se ha bisogno e che considererò i suoi figli come fratelli e insegnerò quest’arte, se essi desiderano apprenderla; di rendere partecipi dei precetti e degli insegnamenti orali e di ogni altra dottrina i miei figli e i figli del mio maestro e gli allievi legati da un contratto e vincolati dal giuramento del medico, ma nessun altro. Regolerò il tenore di vita per il bene dei malati secondo le mie forze e il mio giudizio, mi asterrò dal recar danno e offesa. Non somministrerò ad alcuno, neppure se richiesto, un farmaco mortale, né suggerirò un tale consiglio; similmente a nessuna donna io darò un medicinale abortivo. Con innocenza e purezza io custodirò la mia vita e la mia arte. Non opererò coloro che soffrono del male della pietra, ma mi rivolgerò a coloro che sono esperti di questa attività. In qualsiasi casa andrò, io vi entrerò per il sollievo dei malati, e mi asterrò da ogni offesa e danno volontario, e fra l’altro da ogni azione corruttrice sul corpo delle donne e degli uomini, liberi e schiavi. Ciò che io possa vedere o sentire durante il mio esercizio o anche fuori dell’esercizio sulla vita degli uomini, tacerò ciò che non è necessario sia divulgato, ritenendo come un segreto cose simili. E a me, dunque, che adempio un tale giuramento e non lo calpesto, sia concesso di godere della vita e dell’arte, onorato degli uomini tutti per sempre; mi accada il contrario se lo violo e se spergiuro” (testo reperito sul sito Internet dell’Ordine dei Medici Chirurghi e degli Odontoiatri di Siena, all’indirizzo web: https://omceosiena.it/l-ordine/codice-e-normativa/giuramento-professionale; si v. inoltre https://www1.ordinemediciroma.it/2013-06-24-11-28-38.html, sito dell’Ordine provinciale di Roma dei Medici-Chirurghi e degli Odontoiatri; https://www.omceomi.it/PresentazioneOrdine/attigenerali/codice-deontologico-e-legge-istitutiva1, sito dell’Ordine provinciale dei Medici Chirurghi e degli Odontoiatri di Milano). Il testo “classico” del giuramento ippocratico viene inoltre citato, sempre per illustrare il bisogno di riservatezza che la civiltà umana ha avvertito sin dai suoi albori, da KORFF DOUWE – GEORGES MARIE, Manuale RPD: Linee guida destinate ai Responsabili della protezione dei dati nei settori pubblici e parapubblici per il rispetto del Regolamento generale sulla protezione dei dati dell’Unione Europea, elaborato per il programma “T4DATA” finanziato dall’UE e con il contributo del Garante italiano per la protezione dei dati personali, 2019, reperibile sul sito web istituzionale del Garante italiano per la protezione dei dati personali (www.garanteprivacy.it).

[2] In proposito, si quanto oggi riportato nel Catechismo della Chiesa cattolica, 1467, reperibile in Internet, all’indirizzo web: : https://www.vatican.va/archive/catechism_it/p2s2c2a4_it.htm, e nel Codice di diritto canonico, Canoni 983, 984 e 1388, reperibile in Internet, all’URL: https://www.vatican.va/archive/cod-iuris-canonici/ita/documents/cic_libroIV_965-986_it.html#%C2%A72.

[3] Lo scatto fotografico riesce infatti a catturare in maniera assolutamente puntuale e precisa quanto si sta verificando davanti all’obiettivo.

[4] Vedere direttamente con i propri occhi una scena di vita reale immortalata da una fotografia produce obiettivamente, su colui che riceve l’informazione in questione, un effetto diverso rispetto alla semplice lettura della narrazione fatta dal giornalista.

[5] Così NIGER SERGIO, Le nuove dimensioni della privacy: dal diritto alla riservatezza alla protezione dei dati personali, CEDAM, Padova, 2006, p. 25. Utilizza questa espressione, riferita proprio al periodo 1701-1900 e citando il predetto Autore, MIGLIETTI LUCIA, “Profili storico-comparativi del diritto alla privacy”, in Diritti Comparati (www.diritticomparati.it), 04 dicembre 2014, URL di pubblicazione: https://www.diritticomparati.it/profili-storico-comparativi-del-diritto-alla-privacy/.

[6] COOLEY THOMAS M., A Treatise on the Law of Torts or the Wrongs Which Arise Independent of Contract, Chicago, Callaghan and Company, 1879, reperibile presso l’archivio web della Law School della University of Michigan (indirizzo web di pubblicazione dell’opera: https://repository.law.umich.edu/books/11/), il quale, nell’ambito del Capitolo II della propria opera, intitolato “Right to life, and its protection”, a p. 29 scrive: «Personal Immunity. The right to one’s person may be said to be a right of complete immunity; to be let alone»; frase, questa, che potrebbe tradursi in italiano nel modo seguente: «Immunità personale. Si può dire che il diritto alla propria persona sia un diritto di completa immunità; ad essere lasciato in pace». Riconduce l’espressione “right to be let alone” alla penna di Thomas M. Cooley, GLANCY DOROTHY J., “The invention of the right to privacy”, in Arizona Law Review, 1979, Vol. 21, n. 1 (reso disponibile in Internet dalla Santa Clara University School of Law, al seguente indirizzo web: https://digitalcommons.law.scu.edu/cgi/viewcontent.cgi?article=1318&context=facpubs).

[7] Sul rapporto tra la dottrina di Thomas Cooley e l’opera di Warren e Brandies, si v. GLANCY DOROTHY J., “The invention of the right to privacy”, cit.

[8] WARREN SAMUEL D. – BRANDEIS LOUIS D., “The Right to Privacy”, in Harvard Law Review, Vol. 4, n. 5, 15 dicembre 1890, pp. 193-220; reperibile in Internet, al seguente indirizzo web: https://www.jstor.org/stable/1321160.

[9] Si v. ancora MIGLIETTI LUCIA, “Profili storico-comparativi del diritto alla privacy”, cit.

[10]Le motivazioni dietro alla decisione di Warren e Brandies di scrivere il loro articolo intitolato “The Right to privacy” vengono chiaramente sintetizzate da GLANCY DOROTHY J., “The invention of the right to privacy”, cit., pp. 7-9.

[11] Per ragioni di completezza e trasparenza va precisato che, benché la maggior parte dei commentatori sia concorde nel riconoscere che il diritto alla privacy sia nato con la pubblicazione dell’articolo di Warren e Brandies, nel 1890, secondo taluni Autori il diritto in questione avrebbe avuto i propri natali direttamente in Europa, e più precisamente in Germania, grazie agli sforzi ermeneutici compiuti in tal senso dalla dottrina tedesca. Riporta chiaramente l’esistenza di questa dicotomia di vedute FINOCCHIARO GIUSELLA, “Il quadro d’insieme sul Regolamento europeo sulla protezione dei dati personali”, in FINOCCHIARO GIUSELLA (opera diretta da), AA.VV., Il nuovo regolamento europeo sulla privacy e sulla protezione dei dati personali, Znichelli Editore, Torino, 2017, p. 7.

[12]L’affermazione – sicuramente di grande impatto, in quanto collegata ad un ragionamento incentrato sul differente tasso di sopravvivenza riscontrato all’interno delle popolazioni ebraiche di Paesi Bassi e Francia in seguito all’invasione ed occupazione nazista che, tra il 1940 ed il 1945, ha riguardato ambedue le nazioni – è stata fatta da Carissa Véliz, professore associato di filosofia ed etica all’Università di Oxford, in occasione di un’intervista, resa in data 15/09/2021, per la trasmissione web “TRIGGERnometry”. L’intervista in questione è reperibile al seguente indirizzo web: https://youtube.com/watch?v=6q5WAyZDLgo (si v., in particolare, il momento chiave denominato “The Banality of Evil”, min. 27:34 ss.).

[13] Il testo riportato nel corpo del presente elaborato rappresenta la traduzione in lingua italiana dell’art. 12 della Dichiarazione e si trova reperibile all’interno del sito dell’Alto commissariato delle Nazioni Unite per i diritti umani, all’indirizzo web: https://www.ohchr.org/EN/UDHR/Pages/Language.aspx?LangID=itn. Qui di seguito si riporta anche il testo dell’art. 12 della Dichiarazione Universale dei Diritti Umani nella sua versione ufficiale in lingua inglese, reperibile presso il sito Internet istituzionale delle Nazioni Unite (www.un.org). Art. 12: «No one shall be subjected to arbitrary interference with his privacy, family, home or correspondence, nor to attacks upon his honour and reputation. Everyone has the right to the protection of the law against such interference or attacks».

[14] Per indicare questo trattato verrà in seguito utilizzato l’acronimo “PIDCP”.

[15] Il testo in lingua italiana (non ufficiale) è tratto dagli allegati alla legge 25 ottobre 1977, n. 881, legge di “Ratifica ed esecuzione del patto internazionale relativo ai diritti economici, sociali e culturali, nonche’ del patto internazionale relativo ai diritti civili e politici, con protocollo facoltativo, adottati e aperti alla firma a New York rispettivamente il 16 e il 19 dicembre 1966”, che si trova reperibile sul portale “Normattiva” (sito web realizzato e gestito dall’Istituto Poligrafico e Zecca dello Stato della Repubblica Italiana), al seguente URL: https://www.normattiva.it/eli/id/1977/12/07/077U0881/ORIGINAL. Di seguito si riporta, comunque, il testo dell’articolo nella sua versione originale in lingua inglese, reperibile sul sito dell’Alto commissariato delle Nazioni Unite per i diritti umani, all’indirizzo web: https://www.ohchr.org/en/instruments-mechanisms/instruments/international-covenant-civil-and-political-rights. Art. 17 PIDCP: «1. No one shall be subjected to arbitrary or unlawful interference with his privacy, family, home or correspondence, nor to unlawful attacks on his honour and reputation./ 2. Everyone has the right to the protection of the law against such interference or attacks».

[16] Quali esempi potrebbero essere citate le seguenti pronunce della Corte europea dei Diritti dell’Uomo: Corte EDU (Plenaria), 6 settembre 1978, n. 5029/71, Klass e altri c. Germania, pubblicata sul sito Internet istituzionale della Corte europea (hudoc.echr.coe.int), all’URL: http://hudoc.echr.coe.int/eng?i=001-57510; Corte EDU (Plenaria), 22 ottobre 1981, n. 7525/76, Dudgeon c. Regno Unito, pubblicata sul sito Internet istituzionale della Corte europea (hudoc.echr.coe.int), all’URL: http://hudoc.echr.coe.int/eng?i=001-57473.

[17] Con riferimento all’art. 8 CEDU v’è da dire che la stessa Corte europea dei Diritti dell’Uomo si è espressa a più riprese nel senso di riconoscere una portata generale del vincolo che la norma pone a carico delle Alte Parti contraenti: non soltanto, dunque, vi sarebbe un dovere di astenersi, posto in capo alle autorità statuali, dall’adottare comportamenti che attentano direttamente al diritto al rispetto della vita privata (individuale e familiare) previsto dalla Convenzione, ma gli Stati si sarebbero anche vincolati ad intraprendere tutte quelle misure che risultano necessarie al fine di rimuovere gli ostacoli – siano essi rappresentati da norme giuridiche, atti autoritativi posti in essere da pubblici organismi, ovvero condotte di altri soggetti privati – che limitano l’esercizio di siffatta libertà da parte dei singoli. In proposito, si v., ad esempio, Corte EDU, Grande Camera, 07 febbraio 2012, nn. 40660/08 e 60641/08, Von Hannover c. Germania (n. 2), pubblicata sul sito Internet istituzionale della Corte europea (hudoc.echr.coe.int), all’URL: http://hudoc.echr.coe.int/eng?i=001-109029; Corte EDU, Terza sezione, 24 giugno 2004 (24 settembre 2004), n. 59320/00, Von Hannover c. Germania, pubblicata sul sito Internet istituzionale della Corte europea (hudoc.echr.coe.int), all’URL: http://hudoc.echr.coe.int/eng?i=001-61853, punti 56 ss.; Corte EDU, Terza sezione, 21 febbraio 2002, n. 42409/98, SCHÜSSEL c. Austria, pubblicata sul sito Internet istituzionale della Corte europea (hudoc.echr.coe.int), all’URL: http://hudoc.echr.coe.int/eng?i=001-22209.

[18] Utilizzano questa espressione, riprendendola da altra autorevolissima Dottrina (e, segnatamente, da HONDIUS FRITS, “A Decade of International Data Protection”, in Netherlands International Law Review, 1983, 30, 2, pp. 103-128), KORFF DOUWE – GEORGES MARIE, Manuale RPD, cit., p. 11.

[19] Acronimo che sta ad indicare la Organizzazione per la Cooperazione e lo Sviluppo Economico, nata con la firma della relativa convenzione istitutiva, avvenuta a Parigi nel 1960, e che conta – ad oggi – 38 Paesi membri: Austria, Australia, Belgio, Canada, Cile, Colombia, Corea, Costa Rica, Danimarca, Estonia, Finlandia, Francia, Germania, Giappone, Grecia, Irlanda, Islanda, Israele, Italia, Lettonia, Lituania, Lussemburgo, Messico, Norvegia, Nuova Zelanda, Paesi Bassi, Polonia, Portogallo, Regno Unito, Repubblica Ceca, Repubblica Slovacca, Slovenia, Spagna, Stati Uniti d’America, Svezia, Svizzera, Turchia e Ungheria.

[20] Invero, come ricordano anche KORFF DOUWE – GEORGES MARIE, Manuale RPD, cit., pp. 12-13, la preoccupazione legata ai pericoli che potevano celarsi dietro al trattamento automatizzato di dati, con riferimento ai diritti e libertà delle persone fisiche, sorse parallelamente anche negli USA, dove, peraltro, già a partire dai primissimi anni Sessanta era in corso una nuova spinta propulsiva riguardante il tema della tutela della sfera privata dell’individuo, legata – in particolar modo – alla nuova sensibilità che il passaggio dallo Stato liberale tradizionale ad uno Stato pluralistico di diritto aveva portato. Ciò che differenzia profondamente l’approccio statunitense da quello europeo, guardando all’evoluzione che la privacy ha avuto dalla seconda metà del ‘900 ad oggi, è che negli States il diritto alla privacy è stato sempre considerato più come un diritto del consumatore che come un diritto fondamentale dell’individuo (in quanto essere umano); tant’è che proprio la Federal Trade Commission, ossia l’agenzia deputata a promuovere la tutela dei consumatori e la prevenzione di pratiche commerciali anticoncorrenziali, rappresenta l’organismo deputato alla vigilanza sul comportamento delle aziende private in materia di trattamento dei dati personali. Questo ha fatto sì che, negli Stati uniti, salvo l’eccezione del c.d. Privacy Act dei primissimi anni Settanta (il cui oggetto, però, erano i soli rapporti tra cittadini ed agenzie governative), non si avvertisse l’esigenza di offrire a questo diritto una compiuta tutela a livello di legislazione federale, rimanendo dunque – di fatto – un passo indietro rispetto al Vecchio Continente ed al fervore che ivi stava sempre più crescendo con riferimento a questa tematica. Chiarisce bene questa diversità di approcci MIGLIETTI LUCIA, “Profili storico-comparativi del diritto alla privacy”, cit.

[21] In proposito, si v. AGENZIA DELL’UNIONE EUROPEA PER I DIRITTI FONDAMENTALI (FRA) – CORTE EUROPEA DEI DIRITTI UMANI – GARANTE EUROPEO DELLA PROTEZIONE DEI DATI, Manuale sul diritto europeo in materia di protezione dei dati, Ufficio delle Pubblicazione dell’Unione europea, Lussemburgo, 2018, p. 21; KORFF DOUWE – GEORGES MARIE, Manuale RPD, cit., pp. 13-14.

[22] In proposito, si v. KORFF DOUWE – GEORGES MARIE, Manuale RPD, cit., p. 15.

[23] Si v. OCSE, Raccomandazioni del Consiglio riguardanti linee guida sulla protezione della vita privata e sui flussi transfrontalieri di dati personali, 23 settembre 1980, reperibili al seguente indirizzo web: https://www.oecd.org/sti/ieconomy/oecdguidelinesontheprotectionofprivacyandtransborderflowsofpersonaldata.htm.

[24] La scheda completa del trattato in questione è reperibile sul sito Internet istituzionale del Consiglio d’Europa (www.coe.int), al seguente indirizzo web: https://www.coe.int/en/web/conventions/full-list?module=treaty-detail&treatynum=108.

[25] Nel 2001 la convenzione in parola è stata peraltro ampliata con un Protocollo addizionale (CETS n. 181, consultabile al seguente indirizzo web: https://www.coe.int/en/web/conventions/full-list?module=treaty-detail&treatynum=181). il 18 maggio 2018 è stato portato a termine un ulteriore e più radicale processo di modernizzazione di questo trattato, attraverso l’adozione di un nuovo protocollo (CETS n. 223; reperibile al seguente indirizzo web: https://search.coe.int/cm/Pages/result_details.aspx?ObjectId=090000168089ff4e) finalizzato a rendere la Convenzione in linea con la nuova regolamentazione che dal 2016 è in vigore all’interno dell’Unione europea, ossia il Regolamento UE 2016/679, la cui efficacia per tutta l’Unione è scattata proprio dal 25 maggio 2018. Il testo della “Convenzione 108 modernizzata”, anche indicata col nome di “Convenzione 108+”, si trova reperibile al seguente indirizzo web: https://search.coe.int/cm/Pages/result_details.aspx?ObjectId=09000016807c65bf.

[26] Si v., ad esempio, quanto affermato da Corte EDU, 25 febbraio 1997, n. 22009/93, Z c. Finlandia, reperibile al seguente indirizzo web: http://hudoc.echr.coe.int/eng?i=001-58033, punto 95.

[27] Commissione delle Comunità Europee, Comunicazione sulla protezione dei singoli in relazione al trattamento dei dati personali nella Comunità e alla sicurezza delle informazioni, COM(90) 314 finale – SYN 287 e 288, Bruxelles, 13 settembre 1990, il cui testo risulta reperibile al seguente indirizzo web: https://resources.law.cam.ac.uk/cipil/travaux/data_protection/3%2013%20September%201990%20Communication.pdf.

[28] In proposito, si v. quanto riportato anche da KORFF DOUWE – GEORGES MARIE, Manuale RPD, cit., p. 23.

[29] La direttiva è quello strumento di diritto derivato dell’ordinamento sovranazionale eurounitario che si caratterizza per imporre a tutti gli Stati membri il raggiungimento, in tempi prestabiliti, di determinati obiettivi compiutamente fissati all’interno dello strumento giuridico in questione, lasciando agli organi nazionali discrezionalità nel decidere i mezzi da utilizzare per raggiungere gli obiettivi prescritti.

[30] Si v. Commissione delle Comunità Europee, Comunicazione sulla protezione dei singoli in relazione al trattamento dei dati personali nella Comunità e alla sicurezza delle informazioni, COM(90) 314 finale – SYN 287 e 288, cit., punti 15-18. Le proposte avanzate dalla Commissione e relative all’approvazione delle due direttive indicate nel corpo del presente elaborato vengono citate anche da KORFF DOUWE – GEORGES MARIE, Manuale RPD, cit., p. 24; testo da cui è ripresa anche la traduzione in lingua italiana dell’estratto di cui al punto 18 della summenzionata Comunicazione del 13 settembre 1990.

[31] Il riferimento, ovviamente, non è al momento in cui si è avuta la creazione della rete Internet, che precede l’entrata in vigore delle direttive della Comunità europea sulla privacy, ma al fatto che grandi masse di persone avessero ottenuto, nel tempo, la possibilità di collegarsi alla rete in questione per scambiarsi le informazioni più varie e fruire di servizi destinati a consumatori privati.

[32] Abbreviazione di “Artificial intelligence”; in italiano: “Intelligenza artificiale”.

[33] Sul punto, si v. KORFF DOUWE – GEORGES MARIE, Manuale RPD, cit., pp. 26, 61-62, 113.

[34] L’esistenza di una presa di coscienza in tal senso la si percepisce, peraltro in maniera molto chiara, dalla lettura dei Considerando 6 e 7 del Regolamento UE 2016/679; atto che difatti rappresenterà proprio il punto di arrivo del percorso evolutivo che in questo articolo si sta cercando di ripercorrere a grandi linee. Considerando 6 Reg. 2016/679/UE: «La rapidità dell’evoluzione tecnologica e la globalizzazione comportano nuove sfide per la protezione dei dati personali. La portata della condivisione e della raccolta di dati personali è aumentata in modo significativo. La tecnologia attuale consente tanto alle imprese private quanto alle autorità pubbliche di utilizzare dati personali, come mai in precedenza, nello svolgimento delle loro attività. Sempre più spesso, le persone fisiche rendono disponibili al pubblico su scala mondiale informazioni personali che le riguardano. La tecnologia ha trasformato l’economia e le relazioni sociali e dovrebbe facilitare ancora di più la libera circolazione dei dati personali all’interno dell’Unione e il loro trasferimento verso paesi terzi e organizzazioni internazionali, garantendo al tempo stesso un elevato livello di protezione dei dati personali». Considerando 7 Reg. 2016/679/UE: «Tale evoluzione richiede un quadro più solido e coerente in materia di protezione dei dati nell’Unione, affiancato da efficaci misure di attuazione, data l’importanza di creare il clima di fiducia che consentirà lo sviluppo dell’economia digitale in tutto il mercato interno. È opportuno che le persone fisiche abbiano il controllo dei dati personali che le riguardano e che la certezza giuridica e operativa sia rafforzata tanto per le persone fisiche quanto per gli operatori economici e le autorità pubbliche».

[35] Così recita, difatti, il testo dell’art. 6 § 1 del Trattato sull’Unione europea (TUE): «L’Unione riconosce i diritti, le libertà e i principi sanciti nella Carta dei diritti fondamentali dell’Unione europea del 7 dicembre 2000, adattata il 12 dicembre 2007 a Strasburgo, che ha lo stesso valore giuridico dei trattati».

[36] Art. 16 TFUE: «1. Ogni persona ha diritto alla protezione dei dati di carattere personale che la riguardano./ 2. Il Parlamento europeo e il Consiglio, deliberando secondo la procedura legislativa ordinaria, stabiliscono le norme relative alla protezione delle persone fisiche con riguardo al trattamento dei dati di carattere personale da parte delle istituzioni, degli organi e degli organismi dell’Unione, nonché da parte degli Stati membri nell’esercizio di attività che rientrano nel campo di applicazione del diritto dell’Unione, e le norme relative alla libera circolazione di tali dati. Il rispetto di tali norme è soggetto al controllo di autorità indipendenti./ Le norme adottate sulla base del presente articolo fanno salve le norme specifiche di cui all’articolo 39 del trattato sull’Unione europea».

[37] Le due direttive degli anni Novanta (la “Direttiva madre” del 1995 e la direttiva sussidiaria del 1997 in materia di telecomunicazioni), nonché la stessa “Direttiva e-privacy” del 2002, si fondavano infatti sulla diversa base giuridica del “mercato europeo comune”, e – più nello specifico – sulla necessità di ravvicinare le legislazioni degli Stati membri per non ostacolare la libera circolazione dei dati all’interno dell’Unione. Si trattava dunque di una base giuridica meno ampia nella portata di quella fornita dall’attuale art. 16 TFUE, poiché limitata esclusivamente a quello che era l’ambito dell’allora “primo pilastro” (ne erano dunque esclusi i settori della “Politica estera e sicurezza comune” e della “Giustizia e affari interni”, rispettivamente secondo e terzo pilastro della struttura a tempio greco inaugurata con il Trattato di Maastricht del 1992), nonché sbilanciata decisamente più verso ragioni di tipo economico che di tutela dei diritti individuali dei singoli (non va dimenticato, difatti, che i trattati originari delle Comunità europee non contenevano riferimenti ai diritti umani o alla loro protezione). In proposito, si v. anche quanto riportato in AGENZIA DELL’UNIONE EUROPEA PER I DIRITTI FONDAMENTALI (FRA) – CORTE EUROPEA DEI DIRITTI UMANI – GARANTE EUROPEO DELLA PROTEZIONE DEI DATI, Manuale sul diritto europeo in materia di protezione dei dati, cit., pp. 30-32.

Related Posts
Leave a Reply

Your email address will not be published.Required fields are marked *