Please use this identifier to cite or link to this item: http://hdl.handle.net/2307/5128
Title: La protezione dei dati personali e il bilanciamento con altri diritti personali nel diritto dell'Unione europea
Authors: Italiano, Ilenia
metadata.dc.contributor.advisor: Caggiano, Giandonato
Keywords: dati
Issue Date: 24-Jun-2015
Publisher: Università degli studi Roma Tre
Abstract: La nozione di “dati personali” è particolarmente ampia nel diritto dell’Unione. La Corte di giustizia ha precisato che comprende, per esempio, “il nome di una persona accostato al suo recapito telefonico o ad informazioni relative alla sua situazione lavorativa o ai suoi passatempi”, il suo indirizzo i suoi periodi di lavoro e di riposo nonché le relative interruzioni o pause, gli stipendi corrisposti da taluni enti ed i loro beneficiari, i dati sui redditi da lavoro e da capitale nonché sul patrimonio delle persone fisiche, le banche date sugli stranieri presenti sul territorio. Nei limiti in cui le informazioni riguardano una persona fisica identificata o identificabile, il loro contenuto può riguardare tutti gli aspetti relativi alla vita privata o professionale in una sfera pubblica. La forma può essere scritta, sonora o visiva. Un’altra nozione importante è quella della nozione di “flusso transfrontaliero dei dati” che riguarda la comunicazione diretta “a destinatari specifici”. Da questo concetto, è esclusa la semplice pubblicazione online (di dati personali) quali i registri pubblici o i mezzi di comunicazione di massa (giornali elettronici e televisione). In un primo periodo della sua giurisprudenza sulla Carta, la Corte di giustizia si riferisce alla protezione della privacy con un riferimento spesso cumulativo agli artt. 7 e 8 senza riconoscere l’autonomia del “diritto alla protezione dei dati personali”rispetto al “diritto al rispetto della vita privata”. Inoltre, sino al momento in cui è emersa la questione delle limitazioni consentite ai diritti previsti dagli artt. 7 e 8, con riferimento all’applicazione dell’art. 52 Carta, la Corte non ha distinto il profilo relativo all’applicazione del principio di proporzionalità, da quello riguardante la violazione dei “contenuti essenziali” dei diritti in gioco. In questo senso particolarmente significativa è il ragionamento della Corte nella sentenza Volker del 2010: si deve ritenere, da un lato, che il rispetto del diritto alla vita privata con riguardo al trattamento dei dati personali, riconosciuto dagli artt.7 e 8 della Carta, sia riferito ad ogni informazione relativa ad una persona fisica identificata o identificabile e, dall’altro, che le limitazioni che possono essere legittimamente apportate al diritto alla protezione dei dati personali corrispondano a quelle tollerate nell’ambito dell’art. 8 della CEDU”. Il riferimento all’art. 8 della CEDU sottolinea come il diritto alla protezione dei dati sia considerato semplicemente quale accessorio rispetto al diritto al rispetto alla vita privata previsto dall’art. 7 della Carta. La conservazione dei dati può costituire una limitazione del diritto al rispetto della vita privata e del diritto alla protezione dei dati personali. In parallelo con l’art. 8, par. 2, della CEDU, la Carta riconosce che l’ingerenza di un’autorità pubblica nell’esercizio del diritto al rispetto della vita privata può essere giustificata se necessaria alla sicurezza nazionale, alla pubblica sicurezza e alla prevenzione dei reati. In particolare ai sensi dell’art. 52, par. 1 della Carta, tali limitazioni devono essere “previste dalla legge e rispettare il contenuto essenziale di detti diritti […] nel rispetto del principio di proporzionalità,” ed essere necessarie e rispondere a finalità di interesse generale riconosciute dall’Unione o all’esigenza di proteggere i diritti e le libertà altrui. In pratica, ciò significa che le eventuali limitazioni devono essere: formulate con precisione e prevedibilità; necessarie per realizzare una finalità di interesse generale o per proteggere i diritti e le libertà altrui; proporzionate alla finalità perseguita; e conformi al contenuto essenziale dei diritti fondamentali in questione. Pertanto, la protezione dei dati personali prevista dall’obbligo prescritto dall’articolo 8 par. 1 della Carta risulta particolarmente importante per il diritto al rispetto della vita privata di cui all’articolo 7 della stessa Carta. La Convenzione di Roma per la salvaguardia dei diritti dell’uomo e delle libertà fondamentali (CEDU) stabilisce un elevato livello di protezione dei dati personali. Secondo l’art. 8, ogni persona è titolare del diritto al rispetto della sua vita privata e familiare, del suo domicilio e della sua corrispondenza. Sulla base di un’interpretazione estensiva della nozione di “vita privata”, sono stati individuati dalla Corte europea principi o diritti propri della materia. In base alla giurisprudenza della Corte EDU, la protezione dei dati ex art. 8 CEDU ha ad oggetto il loro trattamento, che può comprendere diverse operazioni (raccolta, registrazione, conservazione, impiego, trasferimento, divulgazione, rettifica o cancellazione). Il trattamento deve essere compiuto nel rispetto dei principi di legalità, legittimità, temporaneità e proporzionalità. Per ciò che attiene alle limitazioni ammissibili, il requisito fondamentale è la “prevedibilità” e “accessibilità” della legge. L’accertamento di una violazione può dipendere da fattori, quali la qualità, la modalità e la tipologia dei dati e dal diritto di esercitare il diritto di accesso e dalla possibilità di richiesta, di rettifica e cancellazione da parte del soggetto interessato. Sono ammissibili deroghe relative alla sicurezza nazionale o alla prevenzione o alla repressione del crimine. Una particolare categoria è costituita dai dati sensibili (ad esempio stato di salute ed origini etniche) che richiedono specifiche garanzie per evitare qualsiasi forma di discriminazione. Per quanto riguarda la possibilità di interpretare estensivamente la nozione di vita rivata la Corte ha più volte ribadito che: “Private life is a broad term not susceptible to exhaustive definition”. Si tratta di un termine ampio non suscettibile di definizione esaustiva. La Corte ha più volte statuito che elementi quali il sesso, il nome, l’orientamento sessuale e la vita sessuale sono elementi importanti della sfera personale (ex art. 8 CEDU). Vi è però anche una zona di interazione di una persona con gli altri, anche in un contesto pubblico, che può rientrare nell’ambito dell’applicazione della “vita privata”. Il diritto di identità e sviluppo personale, e il diritto di stabilire e sviluppare relazioni con altri esseri umani può persino consentire di estendere l’ambito di applicazione alle attività di natura professionale o commerciale. Il Trattato di Lisbona ha creato per la prima volta una nuova base giuridica per la protezione dei dati personali nello Spazio di libertà, sicurezza e giustizia, utilizzabile sia per l’armonizzazione legislativa del mercato, che per la cooperazione giudiziaria civile e penale (ex terzo pilastro). Tuttavia, la base giuridica dell’art. 16 del TFUE consente all’Unione europea di adottare direttive e regolamenti per la cooperazione di polizia solo dopo la fine del periodo transitorio di cinque anni, vale a dire alla fine del 2014. La competenza prevista dall’art. 16 del TFUE è una competenza concorrente dell’Unione con gli Stati membri come per tutto lo Spazio di libertà, sicurezza e giustizia (cooperazione in materia di immigrazione, cooperazione civile e penale). In quest’ultimo settore potranno comunque essere previste norme specifiche (Dichiarazione 21 Allegata al Trattato di Lisbona). Infatti, le informazioni nel settore della libertà, della sicurezza e della giustizia vengono scambiate anche per analizzare le minacce alla sicurezza, identificare i trend delle attività criminali o valutare i rischi nei settori correlati. La seconda base giuridica riguarda il settore della politica estera e di sicurezza comune, in cui il TFUE prevede invece solo l’adozione di una decisione ad hoc del Consiglio. La direttiva 95/46/CE costituisce la parte principale della normativa secondaria sulla protezione dei dati personali nel mercato che contiene gli elementi principali della tutela, concretizzando e ampliando il contenuto della Convenzione 108. La direttiva rappresenta un quadro generale completato da strumenti normativi specifici quali il regolamento (CE) n. 45/2001 del Parlamento europeo e del Consiglio, del 18 dicembre 2000, concernente la tutela delle persone fisiche in relazione al trattamento dei dati personali da parte delle istituzioni e degli organismi comunitari e la direttiva 2002/58/CE relativa alla vita privata e alle comunicazioni elettroniche nonchè la libera circolazione di tali dati (in particolare l’art. 41) La direttiva 95/46/CE prevede di promuovere la libera circolazione delle informazioni nel mercato interno; l’armonizzazione di disposizioni essenziali del diritto nazionale; esprime la fiducia reciproca degli Stati membri nei rispettivi sistemi giuridici nazionali. Le disposizioni della direttiva non si applicano ai trattamenti di dati personali effettuati per l’esercizio di attività che non rientravano nel campo di applicazione del diritto comunitario e, comunque, ai trattamenti aventi come oggetto la pubblica sicurezza, la difesa, la sicurezza dello Stato e in materia di diritto penale. A livello del diritto comunitario, la conservazione e l’uso di dati a fini di contrasto dei reati sono stati affrontati per la prima volta dalla direttiva 97/66/CE sul trattamento dei dati personali e sulla tutela della vita privata nel settore delle telecomunicazioni. Detta direttiva ha stabilito, per la prima volta, che gli Stati membri possono adottare le disposizioni legislative che considerano necessarie per la salvaguardia della pubblica sicurezza, della difesa o dell’ordine pubblico (compreso il benessere economico dello Stato ove le attività siano connesse a questioni di sicurezza dello Stato), e per l’applicazione del diritto penale. La direttiva 2002/58/CE relativa al trattamento dei dati personali e alla tutela della vita privata nel settore delle comunicazioni elettroniche riguarda principalmente il trattamento dei dati personali nel quadro della fornitura dei servizi di telecomunicazione. La direttiva contiene norme fondamentali destinate a garantire la fiducia degli utilizzatori nei servizi e nelle tecnologie delle comunicazioni elettroniche. Esse riguardano in particolare il divieto di “spam”, il sistema di consenso preventivo dell’utilizzatore (opt–in) e l’installazione di marcatori (cookies). Si accresce la tutela contro i trattamenti invisibili di dati che si attivano ogniqualvolta si accede ad un sito internet. Le norme in materia di Privacy online si rafforzano, quindi, in merito all’uso dei cookies (stringhe di testo che possono anche memorizzare le scelte di navigazione degli utenti) e simili sistemi. Gli utenti di internet dovranno essere maggiormente informati sull’esistenza di tali sistemi e su ciò che accade ai loro dati, potendo così controllarli più facilmente. Anche per i “cookies” devono valere i concetti di informativa e consenso. Ai fini dell’espressione del consenso possono essere utilizzate specifiche configurazioni di programmi informatici o di dispositivi che siano di facile e chiara utilizzabilità per il contraente o l’utente. La direttiva stabilisce come principio di base, che gli Stati membri devono garantire, tramite la legislazione nazionale, la riservatezza delle comunicazioni effettuate tramite una rete pubblica di comunicazioni elettroniche. In particolare, devono proibire ad ogni altra persona di ascoltare, intercettare, memorizzare le comunicazioni senza il consenso degli utenti interessati. Per quanto riguarda la sicurezza dei servizi, il fornitore di un servizio di comunicazione elettronica deve garantire che i dati personali siano accessibili soltanto al personale autorizzato; tutelati dalla distruzione, perdita o alterazione accidentale. Eventuali violazioni devono essere comunicate alla persona interessata, nonché all’autorità nazionale di regolamentazione (ANR). Per garantire la disponibilità dei dati di comunicazione per la ricerca, l’accertamento e il perseguimento di reati, la direttiva stabilisce un regime di conservazione dei dati. La direttiva adotta l’approccio di libera scelta (opt–in) in relazione alle comunicazioni elettroniche commerciali indesiderate, cioè gli utenti devono dare il loro accordo preliminare prima di ricevere queste comunicazioni. Questo sistema di opt–in copre anche i messaggi SMS e altri messaggi elettronici ricevuti su qualsiasi terminale fisso o mobile. Sono tuttavia previste deroghe. A norma della direttiva 2002/58/CE relativa alla vita privata e alle comunicazioni elettroniche in linea di principio tali dati relativi al traffico, generati dall’uso dei servizi di comunicazione elettronica, devono essere cancellati o resi anonimi quando non sono più necessari ai fini della trasmissione di una comunicazione, salvo i casi in cui risultino necessari per la fatturazione, e solo per il periodo necessario a tal fine, o in cui sia stato ottenuto il consenso dell’abbonato o utente. I dati relativi all’ubicazione possono essere trattati soltanto se sono resi anonimi o con il consenso dell’utente interessato, nella misura e per il periodo necessari alla fornitura di un servizio a valore aggiunto. Le modifiche introdotte dalla direttiva 2009/136/CE, in materia di trattamento dei dati personali e tutela della vita privata nel settore delle comunicazioni elettroniche sono finalizzate a promuovere una maggiore tutela dei consumatori contro le violazioni dei dati personali, le comunicazioni indesiderate e lo “spam”. A questo proposito, il soggetto tutelato dalle comunicazioni indesiderate e dallo spam viene definito in modo nuovo: “contraente” o “utente” (in sostituzione del concetto di interessato o abbonato). La direttiva data retention ha modificato l’art. 15, par. 1, della direttiva relativa alla vita privata e alle comunicazioni elettroniche, inserendo un paragrafo che esclude che tale normativa si applichi ai dati conservati in base alla direttiva data retention. Secondo tale direttiva (art. 11) gli Stati membri possono adottare disposizioni legislative in deroga al principio della riservatezza delle comunicazioni, tra cui, a talune condizioni, la conservazione, l’accesso e il ricorso ai dati a fini di contrasto. L’art. 15, par. 1, permette agli Stati membri di limitare i diritti e gli obblighi attinenti alla vita privata, anche mediante la conservazione di dati per un periodo di tempo limitato, qualora la misura sia “necessaria, opportuna e proporzionata all’interno di una società democratica per la salvaguardia della sicurezza nazionale (cioè della sicurezza dello Stato), della difesa, della sicurezza pubblica; e la prevenzione, ricerca, accertamento e perseguimento dei reati, ovvero dell’uso non autorizzato del sistema di comunicazione elettronica”. La giurisprudenza della Corte di Strasburgo riguardante il bilanciamento della tutela dei dati personali con l’interesse pubblico alla sicurezza in materia di dati conservati dai servizi d’intelligence ha avuto per oggetto i seguenti casi: Rotaru v. Romania; Haralambie v. Romania; Turek v. Slovakia; Segerstedt-Wiberg and O. v. Sweden e Shimovolos v. Russia. In materia di conservazione del DNA: S. and Marper v. United Kingdom e Peruzzo and Martens v. Germany. In materia di conservazione dei dati in speciali banche dati: Bouchacourt; Gardel e M.B. v. France; Khelili v. Switzerland; M.K. v. France; Dalea v. France; E.B v. Austria e Bernh Larsen v. Norway. In materia di controlli e videosorveglianza: Peck v. the United Kingdom; Vetter v. France; Kopke v. Germany e Van Vondel v. Netherlands. La Corte EDU si è occupata di bilanciamento con la tutela della salute nelle sentenze: Armonas v. Lithuania; Gillberg v. Sweden e Avilkina and Others v. Russia. Mentre il bilanciamento con la libertà di espressione e il diritto di reputazione è stato affrontato nelle sentenze: Von Hannover v. Germany; Axel Springer AG v. Germany; Mosley v. United Kingdom e Nagla v. Lettonia. La giurisprudenza della Corte di giustizia in relazione all’esercizio di poteri pubblici si è occupata dei casi: Österreichischer Rundfunk, Huber e YS. Nelle sentenze Commissione c. Germania, Commissione c. Austria e ommissione c. Ungheria, il giudice dell’Unione si è occupato del ruolo delle autorità indipendenti di controllo sui dati e in Volker und Markus Schecke e Commissione c. Bavarian Lager della problematica relativa all’accesso agli atti. In particolar modo le questioni interpretative della direttiva 95/46/CE sono state affrontate nelle sentenze Asociación Nacional de Establecimientos Financieros de Crédito; Deutsche Telekom AG; Institut immobiliere e Ryneš. Copiosa è stata la giurisprudenza sia della Corte di Strasburgo (KU v. Finland; Editorial Board di Pravoye Delo e Shtekel v. Ukraina; Ahmet Yildirim v. Turkey; Animal Defenders International v. United Kingdom; Delfi AS v. Estonia; Times Newspapers Limited v. United Kingdom e Ashby Donald e Neij e Sunde Kolmisoppi) e della Corte di Lussemburgo sulle problematiche poste da internet in relazione alla tutela dei dati personali (SABAM, Promusicae, UPC Telekabel Wien, Digital Rights, Google Spain).
URI: http://hdl.handle.net/2307/5128
Access Rights: info:eu-repo/semantics/openAccess
Appears in Collections:T - Tesi di dottorato
Dipartimento di Giurisprudenza

Files in This Item:
File Description SizeFormat
TESI DOTTORATO ITALIANO.pdf2.05 MBAdobe PDFView/Open
SFX Query Show full item record Recommend this item

Google ScholarTM

Check


Items in DSpace are protected by copyright, with all rights reserved, unless otherwise indicated.