Dalla Carta di Nizza al regolamento UE 2016/679
Un’altra tappa fondamentale è rappresentata dal riconoscimento della protezione dei dati personali quale diritto fondamentale dall’articolo 8 della carta di Nizza del 2000: è stato così introdotto il diritto di ogni individuo a vedersi protetti i dati di carattere personale che lo riguardano.
Tali dati devono essere trattati secondo il principio di lealtà, per finalità determinate e in base al consenso della persona interessata o a un altro fondamento legittimo previsto dalla legge: ogni individuo ha il diritto di accedere ai dati raccolti che lo riguardano e di ottenerne la rettifica.
Come si può intuire, il diritto di cui all’articolo 8, esprime un contenuto variegato: ciò deriva dalla ampiezza del concetto di “dato personale”.
Il rispetto di questa disciplina è sottoposto al controllo di un’autorità indipendente.
La straordinaria importanza di questi dati risiede nel fatto che essi veicolano la nostra immagine nella rete: è per questa ragione che il diritto alla protezione dei dati personali è sì un’espressione del diritto alla riservatezza ma è sempre più strettamente connesso all’identità personale.
Il diritto alla protezione dei dati personali è distinto dal diritto alla protezione della vita privata, del domicilio e delle comunicazioni: la protezione dei dati personali non corrisponde infatti alla mera “libertà negativa” di non subire interferenze nella propria vita privata e familiare ma trova la sua espressione nel controllo attivo sul flusso dei dati e delle informazioni che ci riguardano.
La disciplina stabilita dalla direttiva ormai più di vent’anni fa, sotto alcuni profili, si rivela oggi inadeguata. Per questo motivo il 27 aprile 2016, l’unione ha simultaneamente adottato tre atti che sostituiranno, a partire dal 6 maggio 2018, la vecchia disciplina: il regolamento UE 2016/679 e le direttive 2016/680 e 2016/681.
Il nuovo impianto normativo e la diversa forma giuridica (regolamento, non direttiva) dovrebbero consentire di superare le divergenze applicative emerse dal 1996 ad oggi, a livello sia giurisprudenziale sia legislativo tra i diversi Stati.
Inoltre il regolamento si misura con problemi che la vecchia direttiva non poteva scorgere: dai big data, alla portabilità dei dati, dal social networking al diritto all’oblio.
Divergenze incolmabili? Data privacy tra UE e USA
Negli ultimi anni Europa e Stati Uniti d’America si sono resi protagonisti di uno scontro sul tema della data privacy.
L’Europa ha agito per consolidare la sua posizione volta ad affermare il principio che al trattamento dei dati personali degli europei occorre applicare il diritto europeo: ciò anche in base alla convinzione che il livello di protezione dei dati personali adottato in Europa è assai più elevato rispetto agli altri stati.
A questa impostazione gli Stati Uniti hanno risposto con una visione in cui gli interessi americani hanno un peso maggiore rispetto alle tutele giuridiche europee: del resto, se nell’ordinamento europeo, il diritto alla protezione dei dati personali è un diritto fondamentale, negli Stati Uniti esso non trova riconoscimento diretto a livello costituzionale. Ciò ha comportato il risultato che negli Stati Uniti il diritto alla protezione dei dati personali configura una posizione giuridica soggettiva “isolata”.
Mentre in Europa la tutela dei dati personali presenta la molteplicità che accomuna la protezione di tutti i diritti fondamentali, negli Stati Uniti essa si riduce, nella maggioranza dei casi, ad azioni di natura meramente risarcitoria.
Questa distanza è andata progressivamente allargandosi dopo l’11 Settembre 2001: nel quadro della cosiddetta “guerra al terrorismo internazionale” il controllo dei dati personali è diventato una priorità strategica per il governo statunitense. Le differenze sono emerse così, sia in sede politica che in sede giurisdizionale:
- Per quanto riguarda il primo aspetto, basti pensare alle vicende di alcuni accordi sullo scambio di informazione oppure alle numerose riserve espresse a diversi livelli pubblici, sulla compatibilità del programma di sorveglianza della NSA con i diritti fondamentali dei cittadini dell’Unione
- Sul piano giurisdizionale si è assistito ad una seria di pronunce della Corte di Giustizia mirate ad affermare l’applicabilità della normativa Europa nei confronti dei titolari del trattamento non europei e anche nel caso che i dati personali siano trattati in territorio extraeuropeo. La medesima vicenda del Datagate ha creato i presupposti per l’annullamento, da parte della Corte di Giustizia, di atti che comprimevano in maniera ingiustificabile i diritti stabiliti dagli articoli 7 e 8 della Carta.
In quanto diritto fondamentale, il diritto alla protezione dei dati personali, sopporta deroghe soltanto in casi eccezionali. Proprio il carattere eccezionale delle deroghe è stato al centro del caso Digital Rights Ireland: con tale pronuncia nel 2014, la corte ha stabilito che una direttiva (nel caso la 2006/24/CE) che comporti una ingerenza nei diritti fondamentali sanciti dagli articolo 7 e 8 della Carta, senza prevedere regole chiare e precise che ne limitino la portata, è incompatibile con l’ordinamento europeo e deve quindi essere annullata.
La corte ha inoltre dichiarato invalida la decisione 2000/520/CE del 26 Luglio 2000, con cui la commissione aveva ritenuto che gli Stati Uniti, nel quadro dell’accordo di “approdo sicuro”, garantissero ai dati personali trasferiti dall’Europa negli USA un livello di protezione adeguato agli standard europei. Tale decisione comprimeva i poteri delle autorità nazionale di controllo, privandole della possibilità di esprimersi sulla compatibilità del trasferimento dei dati verso gli USA con i diritti fondamentali dell’UE.
Il regime di safe harbor era applicabile esclusivamente alle imprese americano che lo sottoscrivevano e che erano, pertanto, vincolate al rispetto delle norme di tutela invi previste soldato fino a quando non entrassero in frizione con le esigenze di sicurezza nazionale, con il pubblico interezze e con l’osservanza delle leggi statunitensi.
Le autorità pubbliche degli Stati Uniti non erano assoggettate all’accordo e potevano accese al contenuto delle comunicazioni elettroniche approdate negli Stati Uniti.
La corte ha così accertato che l’approdo dei dati sull’altra sponda dell’Atlantico era tutt’altro che sicuro.
Il principio affermato dalla corte è chiaro: le autorità nazionali di controllo devono sempre poter esaminare in piena indipendenza se il trasferimento di dati verso un Paese terzo viene effettuato in conformità alla normativa europea.
Caso di studio: il diritto all’oblio nel caso Google Spain Dimenticare Barbablù
Come dimostrano ormai tanti casi di cronaca (Tiziana Cantone) il dibattito sul “diritto all’oblio” può offrire un contributo alla riflessione sulla vulnerabilità di donne, uomini e bambine che, sempre più immersi in un mondo virtuale, rischiano di pagare un prezzo altissimo a causa di condotte a volte ingenue, a volte lucidissime, altre volte soltanto idiote oppure violente.
Per chiarire il significato dell’espressione “diritto all’oblio” è necessario ricordare il momento di emersione.
Siamo nella provincia francese, a pochi mesi dallo scoppio del primo conflitto mondiale. Un uomo versa in pessime condizioni economiche e per risolvere i suoi guai finanziari pensa di pubblicare un annuncio sui quotidiani con cui, spacciandosi per un agiato vedovo, attirare nubili facoltose: una donna abbocca all’amo. I due intessono una relazione amorosa e dopo qualche tempo l’uomo convince la donna a indicarlo come unico erede del suo patrimonio. Passa ancora qualche tempo e i due si incontrano in una isolata villa in campagna: l’uomo strangola la donna, la brucia nel camino e dissemina i resti nel giardino della villa. La sequenza si ripeterà, nel giro di pochi anni, per almeno dieci volte.
Si tratta di un episodio di cronaca nera riguardante il “serial killer” francese Henri Landru, condannato a morte e ghigliottinato nel 1922.
Nel 1963, il celebre registra francese Claude Chabrol decide di girare un film sulla vicenda ma tra i protagonisti rievocati nella sceneggiatura vi è un’amante di Landru sopravvissuta. La donna, che aveva cercato di lasciarsi alle spalle quel periodo della propria vita, si vede catapultata in una situazione che la costringe a fare nuovamente i conti con il passato: per questo motivo intenta causa contro il regista, reo di aver leso il suo “diritto all’oblio”.
La questione sollevata dal caso dell’amante di Landru riguarda la possibilità di comprendere quando vicende trascorse possano costituire oggetto di nuova di nuova divulgazione e quando invece il semplice trascorrere del tempo renda tale diffusione illecita.