DIRITTO ALLA RISERVATEZZA E TRATTAMENTO DEI DATI PERSONALI LA NOZIONE DI DIRITTO ALLA RISERVATEZZA • L’esigenza di garantire il rispetto della vita privata degli individui nasce nell’ambito dell’ordinamento statunitense a cavallo tra i secoli XIX e XX Right to be let alone (= vietare ingerenze esterne nella propria sfera privata) Accezione limitata e inidonea rispetto le attuali esigenze Non è un diritto assoluto informazione Tecnologia Banche dati La normativa non vieta il trattamento dei dati personali ma ne disciplina la gestione Il FONDAMENTO NORMATIVO della COMPETENZA COMUNITARIA in MATERIA • Attività del CONSIGLIO D’ EUROPA Raccomandazioni Convenzione n. 108 del 1981 sulla protezione delle persone rispetto al trattamento automatizzato dei dati di carattere personale (in vigore per l’Italia dal 1997) Art. 8 CEDU Rispetto della vita privata UNIONE EUROPEA Art. 8 Carta di Nizza Art. 286 CE: obbliga anche le istituzioni comunitarie al rispetto della normativa sul trattamento dei dati personali; base normativa La disciplina del trattamento dei dati personali nell’ambito del CONSIGLIO D’ EUROPA • La Convenzione europea per la salvaguardia dei diritti dell’uomo e delle libertà fondamentali non contiene una norma specificatamente dedicata alla tutela dei dati personali, a differenza della Carta di Nizza. • La Corte di Strasburgo ha finito per applicare a tale questione l’art. 8 CEDU che riconosce il diritto di ogni persona al rispetto della sua vita privata. Diritto alla segretezza dei dati sanitari Diritto a che i dati presenti in un registro di polizia non vengano usati per fini diversi da quelli per i quali sono stati raccolti Diritto alla segretezza delle comunicazioni telefoniche Diritto di conoscere eventuali informazioni sul proprio conto da altri detenute • L’art. 8 tutela gli individui da eventuali ingerenze non solo nelle ipotesi in cui si tratti di dati confidenziali, intimi, bensì anche in relazione ad atti ed eventi pubblici Informazioni emerse durante conversazioni pubbliche (ambito professionale e commerciale) attività politica manifestazione pubblica Il diritto NON HA CARATTERE ASSOLUTO Art. 8, n. 2 prevede la possibilità di ingerenze della pubblica autorità e ne individua i LIMITI: 1. Prevista dalla legge 2. Scopo legittimo 3. “Necessaria in una società democratica” (cfr. giurisprudenza Corte europea sull’art. 10) • Convenzione n. 108 del 1981 sulla PROTEZIONE DELLE PERSONE RISPETTO AL TRATTAMENTO AUTOMATIZZATO DEI DATI Art. 1 Ha lo scopo di garantire ad ogni persona fisica “il rispetto dei suoi diritti e delle sue libertà fondamentali, e in particolare al suo diritto alla vita privata, in relazione all’elaborazione automatica dei dati a carattere personale che la riguardano” Sono protette esclusivamente le persone fisiche Solo trattamento automatizzato dei dati (e non anche manuale) Gli Stati possono disporre una normativa più dettagliata La Convenzione è vincolante per gli Stati ma ha natura non self executing • Capitolo II, art. 5 individua le “QUALITA’ DEI DATI”. Devono essere: a) ottenuti ed elaborati in modo legale e leale b) registrati per fini determinati e legittimi e il loro impiego deve essere compatibile con tali fini c) adeguati, pertinenti e non eccessivi rispetto ai fini per i quali sono registrati d) esatti e aggiornati e) conservati per un periodo non superiore a quello necessario per la realizzazione dei fini perseguiti e permettere l’identificazione delle persone interessate DATI SENSIBILI = informazioni che rivelano l’origine razziale, le opinioni politiche, le convinzioni religiose, le abitudini sessuali e la condizione di salute Non possono essere sottoposti a elaborazione automatica a meno che gli Stati adottino normative interne che prevedano idonee garanzie (art. 6) • I Paesi aderenti devono disporre adeguate misure di sicurezza al fine di evitare la distruzione o la perdita accidentale dei dati registrati e impedirne l’accesso e la diffusione non autorizzati (art. 7) • Dati di una collezione automatizzata: possibilità di conoscerne l’esistenza e i fini; identità e sede del responsabile della stessa (art. 8) Possibilità di adire l’autorità giudiziaria Gli Stati possono derogare alla Convenzione mediante legge interna (art. 9) Sicurezza dello Stato Sicurezza pubblica Interessi monetari Repressione dei reati Protezione dei diritti e delle libertà degli individui Il trattamento dei dati personali nella normativa dell’UE • La Comunità europea si è occupata di protezione dei dati personali solo molto tempo dopo rispetto al Consiglio d’Europa Resistenza di alcuni Stati a conformarsi alla Convenzione n. 108 Accrescersi degli scambi di informazioni Direttiva 95/46 relativa alla tutela delle persone fisiche con riguardo al trattamento dei dati personali nonché alla libera circolazione di tali dati Direttiva 97/66 sul trattamento dei dati personali e sulla tutela della vita privata nel settore delle telecomunicazioni Abrogata e sostituita dalla direttiva 2002/58 relativa al trattamento dei dati personali e alla tutela della vita privata nel settore delle comunicazioni elettroniche. Regolamento 45/2001 concernente la tutela delle persone fisiche in relazione al trattamento dei dati personali da parte delle istituzioni comunitarie, nonché la libera circolazione di tali dati. La disciplina quadro • La disciplina della direttiva-quadro 95/46 rispecchia in larga misura la Convenzione della quale intende precisare e ampliare i contenuti (considerando n. 11 del Preambolo) Differenza: la direttiva intende applicarsi al trattamento dei dati personali contenuti in archivi strutturati, indipendentemente dal fatto che essi siano automatizzati o meno (art. 3, n. 1) In comune: esclusione delle persone giuridiche Sono inoltre esclusi dal campo di applicazione della direttiva i trattamenti di dati personali effettuati per l’esercizio di attività che non rientrano nel campo di applicazione del diritto comunitario, così come quelli aventi ad oggetto la difesa, la sicurezza pubblica o dello Stato e l’attività in materia penale e quelli effettuati da una persona fisica per l’esercizio di attività a carattere esclusivamente personale (art. 3, n. 2). • “Art. 2 “DATI PERSONALI” = “qualsiasi informazione concernente una persona fisica identificata o identificabile” • “TRATTAMENTO” = “qualsiasi operazione … come la raccolta, la registrazione, l’organizzazione, la conservazione, l’elaborazione o la modifica, l’estrazione, la consultazione, l’impiego, la comunicazione mediante trasmissione, diffusione o qualsiasi altra forma di messa a disposizione, il raffronto o l’interconnessione, nonché il congelamento, la cancellazione o la distruzione” • “RESPONSABILE DEL TRATTAMENTO” = “la persona … l’autorità pubblica, il servizio o qualsiasi altro organismo … che determina le finalità e gli strumenti del trattamento dei dati personali” • I principi da seguire per un corretto trattamento dei dati sono quelli già espressi dalla Convenzione: legalità, finalità, pertinenza, esattezza, ... (art. 6) • Art. 7 perché un trattamento dei dati sia lecito è indispensabile che vi sia una delle seguenti condizioni: - consenso al trattamento da parte dell’interessato - trattamento previsto da un contratto - necessario per adempiere un obbligo del responsabile del trattamento - salvaguardia dell’interesse vitale della persona o un interesse pubblico - perseguimento di un interesse legittimo del responsabile del trattamento o di un terzo, a meno che non prevalga l’interesse della persona cui i dati si riferiscono perplessità • DATI SENSIBILI (art. 8) divieto del loro trattamento n. 2 ampie eccezioni per cui il divieto non si applica quando: vi sia il consenso esplicito dell’interessato; il trattamento sia necessario per assolvere obblighi o diritti del responsabile del trattamento in materia di diritto del lavoro; il trattamento riguardi dati resi in maniera pubblica Gli Stati sono autorizzati, previe opportune garanzie, ad apportare ulteriori deroghe per motivi di interesse pubblico rilevante. Grande margine di discrezionalità lasciato ai singoli paesi • GARANZIE INDIVIDUI RICONOSCIUTE AGLI Artt. 10 e 11 Diritto ad essere informato riguardo all’identità del responsabile del trattamento, alle finalità dello stesso, alla possibilità di accedere ai dati ed eventualmente rettificarli. Art. 12 Diritto d’accesso Art. 13 gli Stati possono limitare tali garanzie solo quando ciò sia necessario alla salvaguardia della sicurezza pubblica o dello Stato, della difesa, al perseguimento di reati, al fine di tutelare un rilevante interesse economico dello Stato, … (ipotesi tassative) Art. 18 obbligo di notificazione all’Autorità di controllo da parte del responsabile del trattamento prima di procedere al trattamento dei dati (possibilità di deroga da parte degli Stati) • AUTORITA’ DI CONTROLLO Al fine di riequilibrare la disparità di forze tra chi gestisce i dati e chi invece li fornisce, la direttiva impone agli Stati di istituire al loro interno delle autorità di controllo indipendenti, dotate di poteri investigativi e di intervento a cui, tra l’altro, possono rivolgersi i singoli nel caso in cui ritengano che siano violati i loro diritti (art. 28). Gruppo per la tutela delle persone con riguardo al trattamento dei personali (art. 29) Codici di autoregolamentazione (art. 27) Trasferimento dei dati verso paesi terzi Consentito solo verso i paesi terzi che assicurino un livello di protezione adeguato La disciplina specifica per settore delle telecomunicazioni • Direttiva 97/66 sul trattamento dei dati personali e sulla tutela della vita privata nel settore delle telecomunicazioni Direttiva 2002/58 relativa al trattamento dei dati e alla tutela della vita privata nel settore delle comunicazioni elettroniche che “si applica al trattamento dei dati personali connesso alla fornitura di servizi di comunicazione elettronica accessibili al pubblico su reti pubbliche di comunicazione” (art. 3, n. 1) • Ambito di applicazione: riconosce come meritevoli di tutela, non solo i diritti e le libertà delle persone fisiche, ma anche gli interessi legittimi delle persone giuridiche (art. 1, n. 2) • Gli Stati devono assicurare la riservatezza delle comunicazioni effettuate tramite la rete pubblica di comunicazione, impedendo a terzi di intercettare, ascoltare o memorizzare conversazioni che si svolgono tramite telefono o informazioni scambiate via e-mail o, comunque, mediante ogni altro mezzo di comunicazione elettronica (art. 5). • I dati relativi ad abbonati ed utenti debbono essere cancellati quando non siano più necessari (art. 6) • Spamming = invio di messaggi commerciali non sollecitati Può comportare interferenze nella vita privata Opt in = consente l’invio solo previo consenso dell’interessato Opt out = invio fino a quando il destinatario non esprima il desiderio di non ricevere queste comunicazioni La disciplina specifica per le istituzioni e gli organismi dell’Unione • Art. 286 (introdotto col Trattato di Amsterdam) estende la normativa comunitaria in materia di trattamento dei dati anche alle istituzioni e agli organismi comunitari n. 2 prevede l’istituzione da parte del Consiglio di un organo di controllo indipendente incaricato di sorvegliare sulla corretta applicazione delle norme in discussione da parte degli organi comunitari Regolamento 45/2001 concernente la tutela delle persone fisiche in relazione al trattamento dei dati personali da parte delle istituzioni e degli organismi comunitari, nonché la libera circolazione di tali dati Istituisce il Garante europeo per la protezione dei dati Le questioni che attengono alla sicurezza interna e internazionale • Le attività di politica estera e di sicurezza comune e la cooperazione di polizia e giudiziaria in materia penale non sono sottoposte alla disciplina comunitaria in materia di riservatezza. Non si applica a Europol, SIS (Sistema di informazione Schengen) e SID (Sistema di informazione doganale) In ogni caso la riservatezza viene tutelata. L’art. 8 della Carta europea dei diritti fondamentali • L’art. 8 conferma l’importanza che gli Stati membri attribuiscono alla tutela della riservatezza Mentre la Convenzione europea tutela la riservatezza dei dati personali attraverso la norma relativa alla tutela della vita privata, la Carta dei diritti fondamentali ha separato i 2 ambiti: Art. 7 “rispetto della vita privata e della vita familiare” Art. 8 “Protezione dei dati di carattere personale” 1. Ogni individuo ha diritto alla protezione dei dati di carattere personale che lo riguardano. 2. Tali dati devono essere trattati secondo il principio di lealtà, per finalità determinate e in base al consenso della persona interessata o a un altro fondamento legittimo previsto dalla legge. Ogni individuo ha il diritto di accedere ai dati raccolti che lo riguardano e e di ottenerne la rettifica. 3. Il rispetto di tali regole è soggetto al controllo di un’autorità indipendente. L’attuazione italiana delle norme europee • Convenzione n. 108 in vigore in Italia dal 1997 a seguito della ratifica autorizzata con legge 98 del 1989 • Direttiva 95/46 Legge 675/1996 oggi d. lgs. 196 del 2003 “Codice in materia di protezione dei dati personali” Efficacia e derogabilità • PUNTI CRITICI • Amplissima facoltà lasciata agli Stati membri di porre delle deroghe Principio svuotato Difformità tra la disciplina degli Stati L’UE, consapevole dei limiti, ha apportato dei miglioramenti rispetto la disciplina della Convenzione “Duplice anima” Tutela delle libertà e dei diritti fondamentali Libera circolazione dei dati personali nel mercato comune 2 Organi: Gruppo per la tutela delle persone con riguardo al trattamento dei dati personali Garante europeo per la protezione dei dati Quadro normativo difforme all’interno della stessa Ue Art. I-51 della Costituzione Ue Il trasferimento dei dati personali verso Paesi terzi • Verso gli USA Safe Harbor = sistema di principi al quale possono aderire le imprese americane che vogliono “accedere” ai dati europei “Clausole contrattuali tipo” alla quale debbono aderire tutte le imprese non europee (indipendentemente dalla provenienza) che intendono effettuare dei trattamenti dei dati europei.