DIRITTO ALLA RISERVATEZZA
E TRATTAMENTO DEI DATI
PERSONALI
LA NOZIONE DI DIRITTO ALLA
RISERVATEZZA
• L’esigenza di garantire il rispetto della vita privata degli
individui
nasce
nell’ambito
dell’ordinamento
statunitense a cavallo tra i secoli XIX e XX
Right to be let alone (= vietare ingerenze esterne nella
propria sfera privata)
Accezione limitata e inidonea rispetto le attuali esigenze
 Non è un diritto assoluto  informazione
Tecnologia
Banche dati
La normativa non vieta il trattamento dei dati personali ma
ne disciplina la gestione
Il FONDAMENTO NORMATIVO della
COMPETENZA COMUNITARIA in MATERIA
• Attività del CONSIGLIO D’ EUROPA
Raccomandazioni
Convenzione n. 108 del 1981 sulla protezione delle
persone rispetto al trattamento automatizzato dei dati
di carattere personale (in vigore per l’Italia dal 1997)
Art. 8 CEDU  Rispetto della vita privata
UNIONE EUROPEA
Art. 8 Carta di Nizza
 Art. 286 CE: obbliga anche le istituzioni
comunitarie al rispetto della normativa sul
trattamento dei dati personali; base normativa
La disciplina del trattamento dei dati personali
nell’ambito del CONSIGLIO D’ EUROPA
• La Convenzione europea per la salvaguardia dei diritti
dell’uomo e delle libertà fondamentali non contiene una
norma specificatamente dedicata alla tutela dei dati
personali, a differenza della Carta di Nizza.
• La Corte di Strasburgo ha finito per applicare a tale questione
l’art. 8 CEDU che riconosce il diritto di ogni persona al
rispetto della sua vita privata.
 Diritto alla segretezza dei dati sanitari
 Diritto a che i dati presenti in un registro di polizia non vengano usati per
fini diversi da quelli per i quali sono stati raccolti
 Diritto alla segretezza delle comunicazioni telefoniche
 Diritto di conoscere eventuali informazioni sul proprio conto da altri
detenute
• L’art. 8 tutela gli individui da eventuali ingerenze non solo
nelle ipotesi in cui si tratti di dati confidenziali, intimi, bensì
anche in relazione ad atti ed eventi pubblici
Informazioni emerse durante conversazioni pubbliche
(ambito professionale e commerciale)
attività politica
manifestazione pubblica
Il diritto NON HA CARATTERE ASSOLUTO
 Art. 8, n. 2 prevede la possibilità di ingerenze della pubblica
autorità e ne individua i LIMITI:
1. Prevista dalla legge
2. Scopo legittimo
3. “Necessaria in una società democratica”
(cfr. giurisprudenza Corte europea sull’art. 10)
• Convenzione n. 108 del 1981 sulla PROTEZIONE
DELLE
PERSONE
RISPETTO
AL
TRATTAMENTO AUTOMATIZZATO DEI DATI
Art. 1 Ha lo scopo di garantire ad ogni persona fisica “il
rispetto dei suoi diritti e delle sue libertà fondamentali, e
in particolare al suo diritto alla vita privata, in relazione
all’elaborazione automatica dei dati a carattere
personale che la riguardano”
 Sono protette esclusivamente le persone fisiche
 Solo trattamento automatizzato dei dati (e non anche manuale)
Gli Stati possono disporre una normativa più dettagliata
La Convenzione è vincolante per gli Stati ma ha natura non self
executing
• Capitolo II, art. 5 individua le “QUALITA’ DEI DATI”.
 Devono essere:
a) ottenuti ed elaborati in modo legale e leale
b) registrati per fini determinati e legittimi e il loro impiego
deve essere compatibile con tali fini
c) adeguati, pertinenti e non eccessivi rispetto ai fini per i quali
sono registrati
d) esatti e aggiornati
e) conservati per un periodo non superiore a quello necessario
per la realizzazione dei fini perseguiti e permettere
l’identificazione delle persone interessate
DATI SENSIBILI = informazioni che rivelano l’origine razziale,
le opinioni politiche, le convinzioni religiose, le abitudini
sessuali e la condizione di salute
Non possono essere sottoposti a elaborazione automatica a
meno che gli Stati adottino normative interne che prevedano
idonee garanzie (art. 6)
• I Paesi aderenti devono disporre adeguate misure di
sicurezza al fine di evitare la distruzione o la perdita
accidentale dei dati registrati e impedirne l’accesso e
la diffusione non autorizzati (art. 7)
• Dati di una collezione automatizzata: possibilità di
conoscerne l’esistenza e i fini; identità e sede del
responsabile della stessa (art. 8)
Possibilità di adire l’autorità giudiziaria
Gli Stati possono derogare alla Convenzione
mediante legge interna (art. 9)
Sicurezza dello Stato
Sicurezza pubblica
Interessi monetari
Repressione dei reati
Protezione dei diritti e delle libertà degli individui
Il trattamento dei dati personali
nella normativa dell’UE
•
La Comunità europea si è occupata di protezione dei dati personali solo molto
tempo dopo rispetto al Consiglio d’Europa
 Resistenza di alcuni Stati a conformarsi alla Convenzione n. 108
 Accrescersi degli scambi di informazioni
Direttiva 95/46 relativa alla tutela delle persone fisiche con
riguardo al trattamento dei dati personali nonché alla
libera circolazione di tali dati
Direttiva 97/66 sul trattamento dei dati personali e sulla tutela della vita
privata nel settore delle telecomunicazioni
 Abrogata e sostituita dalla direttiva 2002/58 relativa al
trattamento dei dati personali e alla tutela della vita
privata nel settore delle comunicazioni elettroniche.
Regolamento 45/2001 concernente la tutela delle persone fisiche in
relazione al trattamento dei dati personali da parte delle istituzioni
comunitarie, nonché la libera circolazione di tali dati.
La disciplina quadro
• La disciplina della direttiva-quadro 95/46 rispecchia in larga
misura la Convenzione della quale intende precisare e
ampliare i contenuti (considerando n. 11 del Preambolo)
 Differenza: la direttiva intende applicarsi al trattamento dei
dati personali contenuti in archivi strutturati,
indipendentemente dal fatto che essi siano automatizzati o
meno (art. 3, n. 1)
 In comune: esclusione delle persone giuridiche
Sono inoltre esclusi dal campo di applicazione della direttiva i
trattamenti di dati personali effettuati per l’esercizio di attività
che non rientrano nel campo di applicazione del diritto
comunitario, così come quelli aventi ad oggetto la difesa, la
sicurezza pubblica o dello Stato e l’attività in materia penale e
quelli effettuati da una persona fisica per l’esercizio di attività
a carattere esclusivamente personale (art. 3, n. 2).
• “Art. 2 “DATI PERSONALI” = “qualsiasi
informazione concernente una persona fisica
identificata o identificabile”
• “TRATTAMENTO” = “qualsiasi operazione …
come la raccolta, la registrazione, l’organizzazione, la
conservazione, l’elaborazione o la modifica,
l’estrazione, la consultazione, l’impiego, la
comunicazione mediante trasmissione, diffusione o
qualsiasi altra forma di messa a disposizione, il
raffronto
o
l’interconnessione,
nonché
il
congelamento, la cancellazione o la distruzione”
• “RESPONSABILE DEL TRATTAMENTO” = “la
persona … l’autorità pubblica, il servizio o qualsiasi
altro organismo … che determina le finalità e gli
strumenti del trattamento dei dati personali”
• I principi da seguire per un corretto trattamento dei
dati sono quelli già espressi dalla Convenzione:
legalità, finalità, pertinenza, esattezza, ... (art. 6)
• Art. 7 perché un trattamento dei dati sia lecito è
indispensabile che vi sia una delle seguenti
condizioni:
- consenso al trattamento da parte dell’interessato
- trattamento previsto da un contratto
- necessario per adempiere un obbligo del
responsabile del trattamento
- salvaguardia dell’interesse vitale della persona o un
interesse pubblico
- perseguimento di un interesse legittimo del
responsabile del trattamento o di un terzo, a meno che
non prevalga l’interesse della persona cui i dati si
riferiscono  perplessità
• DATI SENSIBILI (art. 8)
divieto del loro trattamento
 n. 2 ampie eccezioni per cui il divieto non si
applica quando: vi sia il consenso esplicito
dell’interessato; il trattamento sia necessario per
assolvere obblighi o diritti del responsabile del
trattamento in materia di diritto del lavoro; il
trattamento riguardi dati resi in maniera pubblica
Gli Stati sono autorizzati, previe opportune garanzie,
ad apportare ulteriori deroghe per motivi di interesse
pubblico rilevante.
Grande margine di discrezionalità lasciato ai singoli
paesi
• GARANZIE
INDIVIDUI
RICONOSCIUTE
AGLI
Artt. 10 e 11 Diritto ad essere informato riguardo
all’identità del responsabile del trattamento, alle
finalità dello stesso, alla possibilità di accedere ai
dati ed eventualmente rettificarli.
Art. 12 Diritto d’accesso
Art. 13 gli Stati possono limitare tali garanzie solo
quando ciò sia necessario alla salvaguardia della
sicurezza pubblica o dello Stato, della difesa, al
perseguimento di reati, al fine di tutelare un rilevante
interesse economico dello Stato, … (ipotesi tassative)
Art. 18 obbligo di notificazione all’Autorità di
controllo da parte del responsabile del trattamento
prima di procedere al trattamento dei dati (possibilità di
deroga da parte degli Stati)
• AUTORITA’ DI CONTROLLO
 Al fine di riequilibrare la disparità di forze tra chi gestisce i dati
e chi invece li fornisce, la direttiva impone agli Stati di istituire
al loro interno delle autorità di controllo indipendenti, dotate
di poteri investigativi e di intervento a cui, tra l’altro, possono
rivolgersi i singoli nel caso in cui ritengano che siano violati i
loro diritti (art. 28).
Gruppo per la tutela delle persone con riguardo al trattamento
dei personali (art. 29)
Codici di autoregolamentazione (art. 27)
Trasferimento dei dati verso paesi terzi
 Consentito solo verso i paesi terzi che assicurino un livello di
protezione adeguato
La disciplina specifica per settore
delle telecomunicazioni
• Direttiva 97/66 sul trattamento dei dati personali e
sulla tutela della vita privata nel settore delle
telecomunicazioni
 Direttiva 2002/58 relativa al trattamento dei dati e
alla tutela della vita privata nel settore delle
comunicazioni elettroniche che “si applica al
trattamento dei dati personali connesso alla
fornitura di servizi di comunicazione elettronica
accessibili al pubblico su reti pubbliche di
comunicazione” (art. 3, n. 1)
• Ambito di applicazione: riconosce come meritevoli di tutela,
non solo i diritti e le libertà delle persone fisiche, ma anche gli
interessi legittimi delle persone giuridiche (art. 1, n. 2)
• Gli Stati devono assicurare la riservatezza delle
comunicazioni effettuate tramite la rete pubblica di
comunicazione, impedendo a terzi di intercettare, ascoltare o
memorizzare conversazioni che si svolgono tramite telefono o
informazioni scambiate via e-mail o, comunque, mediante ogni
altro mezzo di comunicazione elettronica (art. 5).
• I dati relativi ad abbonati ed utenti debbono essere cancellati
quando non siano più necessari (art. 6)
• Spamming = invio di messaggi commerciali non sollecitati
 Può comportare interferenze nella vita privata
 Opt in = consente l’invio solo previo consenso dell’interessato
 Opt out = invio fino a quando il destinatario non esprima il
desiderio di non ricevere queste comunicazioni
La disciplina specifica per le istituzioni e
gli organismi dell’Unione
• Art. 286 (introdotto col Trattato di Amsterdam)
estende la normativa comunitaria in materia di
trattamento dei dati anche alle istituzioni e agli
organismi comunitari
 n. 2 prevede l’istituzione da parte del Consiglio di un organo
di controllo indipendente incaricato di sorvegliare sulla
corretta applicazione delle norme in discussione da parte degli
organi comunitari
Regolamento 45/2001 concernente la tutela delle
persone fisiche in relazione al trattamento dei dati
personali da parte delle istituzioni e degli
organismi
comunitari,
nonché
la
libera
circolazione di tali dati
 Istituisce il Garante europeo per la protezione dei dati
Le questioni che attengono alla
sicurezza interna e internazionale
• Le attività di politica estera e di sicurezza
comune e la cooperazione di polizia e
giudiziaria in materia penale non sono
sottoposte alla disciplina comunitaria in
materia di riservatezza.
Non si applica a Europol, SIS (Sistema di
informazione Schengen) e SID (Sistema di
informazione doganale)
In ogni caso la riservatezza viene tutelata.
L’art. 8 della Carta europea dei
diritti fondamentali
• L’art. 8 conferma l’importanza che gli Stati membri
attribuiscono alla tutela della riservatezza
 Mentre la Convenzione europea tutela la riservatezza dei dati
personali attraverso la norma relativa alla tutela della vita
privata, la Carta dei diritti fondamentali ha separato i 2 ambiti:
 Art. 7 “rispetto della vita privata e della vita familiare”
 Art. 8 “Protezione dei dati di carattere personale”
1. Ogni individuo ha diritto alla protezione dei dati di carattere
personale che lo riguardano.
2. Tali dati devono essere trattati secondo il principio di lealtà,
per finalità determinate e in base al consenso della persona
interessata o a un altro fondamento legittimo previsto dalla
legge. Ogni individuo ha il diritto di accedere ai dati raccolti
che lo riguardano e e di ottenerne la rettifica.
3. Il rispetto di tali regole è soggetto al controllo di un’autorità
indipendente.
L’attuazione italiana delle norme
europee
• Convenzione n. 108
in vigore in Italia dal 1997 a seguito della
ratifica autorizzata con legge 98 del 1989
• Direttiva 95/46
Legge 675/1996 oggi d. lgs. 196 del 2003
“Codice in materia di protezione dei dati
personali”
Efficacia e derogabilità
• PUNTI CRITICI
• Amplissima facoltà lasciata agli Stati membri di porre delle deroghe
 Principio svuotato
 Difformità tra la disciplina degli Stati
L’UE, consapevole dei limiti, ha apportato dei miglioramenti rispetto la
disciplina della Convenzione
“Duplice anima”
 Tutela delle libertà e dei diritti fondamentali
 Libera circolazione dei dati personali nel mercato comune
2 Organi:
 Gruppo per la tutela delle persone con riguardo al trattamento dei dati
personali
 Garante europeo per la protezione dei dati
Quadro normativo difforme all’interno della stessa Ue
 Art. I-51 della Costituzione Ue
Il trasferimento dei dati personali
verso Paesi terzi
• Verso gli USA
Safe Harbor = sistema di principi al quale possono
aderire le imprese americane che vogliono “accedere”
ai dati europei
“Clausole contrattuali tipo” alla quale debbono
aderire
tutte
le
imprese
non
europee
(indipendentemente dalla provenienza) che intendono
effettuare dei trattamenti dei dati europei.