Questo articolo intende rispondere alla domanda che ne costituisce il titolo e, per far ciò, ho scelto di soffermarsi sul percorso che ha portato all’attuale assetto normativo.
Evitando di partire – come spesso accade nelle disamine evolutive di fenomeni di scottante attualità – da testimonianze più o meno pertinenti risalenti alle storiche civiltà egizie, greche, romane, ecc., con riferimento alle milestones riferite al data protection inizierei dal 7 maggio 1997, e cioè dalla data in cui sul sito del Garante per la protezione dei dati personali veniva pubblicato un comunicato stampa:
“Domani 8 maggio 1997 entrerà in vigore un’importante legge che attiene alla raccolta e all’elaborazione delle informazioni di carattere personale (L. 31 dicembre 1996, n. 675).
La legge reca una disciplina organica per la tutela dei diritti della personalità, e protegge in modo particolare il diritto alla riservatezza e il diritto all’identità personale.
La trasparenza e il controllo sulla circolazione delle informazioni diventano anche uno strumento essenziale per il corretto funzionamento del mercato e per lo sviluppo degli scambi.
Le garanzie previste riguardano sia i dati attinenti agli individui, sia le informazioni riferite alle associazioni, agli enti, alle imprese.
Il quadro normativo è complesso, e merita particolare attenzione nella sua applicazione. […]
Al cittadino sono riconosciuti alcuni diritti significativi, quale quello di:
- accedere ai dati che lo riguardano, contenuti nelle banche dati pubbliche e private. Per alcuni archivi finalizzati alla cura di particolari interessi pubblici, si potrà chiedere a questa autorità di effettuare una verifica;
- ottenere la rettifica, l’integrazione e la cancellazione dei dati erronei, incompleti o elaborati illecitamente;
- opporsi al trattamento delle informazioni, qualora ricorrano “motivi legittimi” ovvero quando i dati siano utilizzati per determinate attività pubblicitarie o di informazione commerciale.
Questi ed altri diritti potranno essere fatti valere dinanzi all’autorità giudiziaria, oppure dinanzi a questa autorità indipendente e di garanzia, i cui membri sono stati eletti dalle assemblee parlamentari.”
Si tratta di una sintesi che rappresenta una curiosità di valore quasi storico, considerato che negli oltre vent’anni trascorsi, in questo campo in così rapida evoluzione, si sono registrati mutamenti radicali.
Questa prima legge, in realtà, segna l’approdo di un iter che ha avuto origine il 28 gennaio 1981.
A tale data, infatti, risale il testo della “Convenzione sulla protezione delle persone rispetto al trattamento automatizzato di dati di carattere personale” n. 108 del Consiglio d’Europa, uno dei più importanti strumenti normativi per la protezione delle persone rispetto al trattamento automatizzato di dati a carattere personale, che l’Italia ha recepito nel proprio ordinamento dopo circa otto anni(1).
Il provvedimento – ispirato alla Convenzione europea dei diritti dell’uomo(2) e aperto anche all’adesione di Stati non membri del Consiglio d’Europa(3) – riguarda tutti i trattamenti di dati personali effettuati sia nel settore privato che pubblico (ad esempio, anche a quelli della polizia e dell’autorità giudiziaria).
Tabella 1 – Primi principi in materia di privacy
Con i suoi 27 articoli, la Convenzione europea dei diritti dell’uomo ha costituito la prima risposta di rilievo all’esigenza di tutela per le persone a seguito del proliferare di tecnologie dell’informazione e comunicazione, mirando a proteggere gli individui da abusi e a regolamentare i flussi transnazionali dei dati.
In virtù della Convenzione, inoltre, è stata istituita a Strasburgo, nel 1959, la Corte europea dei diritti dell’uomo (CEDU) che, al fine di garantire che gli Stati contraenti adempiano ai propri obblighi, decide sulle denunce presentate dai singoli individui, oppure da associazioni o persone giuridiche, ma sempre dopo che siano stati esperiti i rimedi giurisdizionali interni.
Tuttavia, il 24 ottobre 1995, per le pressanti maggiori esigenze di protezione, il Parlamento e il Consiglio dell’Unione Europea hanno adottato la Direttiva 95/46/CE, relativa alla tutela delle persone fisiche con riguardo al trattamento dei dati personali ed alla libera circolazione di tali dati.
Questa direttiva si proponeva soprattutto di armonizzare il livello di tutela, prevedendo in ogni Stato membro l’istituzione di autorità di controllo indipendenti, dotate di poteri di regolazione, ispettivi e sanzionatori.
Per tutto ciò che riguarda l’applicazione della Direttiva 95/46/CE, come di tutto il diritto dell’Unione Europea, la competenza è attribuita alla Corte di giustizia dell’Unione europea (CGUE)(4).
Questa direttiva è stata attuata in Italia con la legge 31 dicembre 1996, n. 675, “Tutela delle persone e di altri soggetti rispetto al trattamento dei dati personali“, menzionata all’inizio dell’articolo, che costituisce la prima legge organica sulla cosiddetta “privacy”. Deve peraltro essere evidenziato che l’adozione di questo fondamentale provvedimento legislativo non derivò da un’autentica apertura rispetto una concezione più rispettosa della persona ma fu sostanzialmente un obbligo: l’Europa avrebbe permesso ad uno Stato di godere dei benefici dell’Accordo di Schengen solo se avesse adeguato la propria normativa sul trattamento dei dati personali.
Successivamente, per affrontare adeguatamente l’evoluzione tecnologica, i servizi on-line, ecc., è stata adottata la direttiva 2002/58/CE del Parlamento Europeo e del Consiglio del 12 luglio 2002(5) relativa al “trattamento dei dati personali e alla tutela della vita privata nel settore delle comunicazioni elettroniche (direttiva relativa alla vita privata e alle comunicazioni elettroniche) – denominata e-privacy – le cui disposizioni, come recita l’art. 2, “… precisano e integrano la direttiva 95/46/CE”.
Nel frattempo, alla legge 675/1996 si erano affiancate ulteriori testi normativi riguardanti specifici aspetti del trattamento dei dati e ciò aveva determinato una stratificazione che ne aveva reso complicata l’attività di coordinamento.
Per superare la sopravvenuta complessità normativa è stato emanato il d. lgs. 30 giugno 2003, n. 196, “Codice in materia di protezione dei dati personali”, che ha riordinato interamente la materia, abrogando la legge n. 675/1996, introducendo nuove garanzie per i cittadini, razionalizzando le norme esistenti e semplificando gli adempimenti(6).
E a questo punto – ritenendo di poter rinunciare a richiamare tutte le ulteriori fonti normative internazionali e comunitarie nel frattempo intervenute(7)– siamo arrivati all’attualità!
Si tratta del Regolamento europeo per la protezione dei dati personali n. 2016/679(8), che è direttamente e integralmente applicabile dal 25 maggio 2018 in tutti gli Stati dell’Unione Europea, realizzando così una definitiva armonizzazione della regolamentazione in materia di protezione dei dati personali all’interno dell’Unione europea.
Questo Regolamento UE (noto con l’acronimo inglese GDPR), insieme alla Direttiva 2016/680(9)– che a differenza del primo necessita di un atto nazionale di recepimento(10) – costituisce il c.d. “Pacchetto europeo della protezione dei dati” che è integrato con il “diritto dello Stato membro cui è soggetto il Titolare del trattamento”.
Il GDPR è articolato in 11 Capi e 99 articoli nonché in 173 “considerando” che costituiscono un preambolo particolarmente utile per comprendere le premesse, le esigenze da soddisfare, i percorsi logici e giuridici, gli obiettivi, le modalità attuative e i collegamenti con gli altri provvedimenti dell’Unione (il Garante per la protezione dei dati personali ha pubblicato sul proprio sito un testo del Regolamento UE in cui per ogni articolo sono indicati i “considerando” di riferimento).
Al GDPR è affiancata, come detto, la legislazione nazionale(11) – rappresentata, sostanzialmente, dal preesistente d. lgs. n. 196/2003 “Codice in materia di protezione dei dati personali” – sulla quale, però, sono stati previsti interventi finalizzati a:
- introdurre disposizioni più specifiche per adeguare l’applicazione delle norme del GDPR, determinando, con maggiore precisione, requisiti specifici per il trattamento e altre misure atte a garantire un trattamento lecito e corretto(12);
- adottare “disposizioni specifiche per adeguare l’applicazione delle norme del presente regolamento, tra cui: le condizioni generali relative alla liceità del trattamento da parte del Titolare del trattamento; le tipologie di dati oggetto del trattamento; gli interessati; i soggetti cui possono essere comunicati i dati personali e le finalità per cui sono comunicati; le limitazioni della finalità, i periodi di conservazione e le operazioni e procedure di trattamento, comprese le misure atte a garantire un trattamento lecito e corretto”(13).
Ebbene, tali interventi sono stati effettuati attraverso il recentissimo d. lgs. n. 101/2018, emanato sulla base dell’art. 13 della legge di delegazione europea (2016 – 2017) del 25 ottobre 2017, n. 163(14), e cioè con una delle leggi con cui periodicamente il Parlamento delega il Governo a recepire la legislazione comunitaria.
Il d. lgs. n. 101/2018, peraltro, oltre alle disposizioni in esso contenute, ha adoperato – attraverso la tecnica del rinvio – anche alcune norme del d. lgs. 18 maggio 2018, n. 51, riferito al trattamento dei dati personali da parte delle autorità competenti a fini di prevenzione, indagine, accertamento e perseguimento di reati o esecuzione di sanzioni penali.
Quest’ultimo decreto, peraltro, è anch’esso di “matrice comunitaria” in quanto discende dall’art. 11 della sopra indicata legge di delegazione europea (2016-2017) del 25 ottobre 2017, n. 163, con cui è stata recepita la Direttiva UE 2016/680(15).
Riassumendo, il sistema del data protection ha come punto di riferimento il GDPR, come ribadito dal nuovo art. 1 del decreto legislativo n. 196 del 2003(16), secondo il quale “Il trattamento dei dati personali avviene secondo le norme del regolamento (UE) 2016/679 e del presente Codice, nel rispetto della dignità umana e dei diritti fondamentali della persona”.
Tale principio incide su tutte le attività interpretative ed attuative connesse al data protection, tra le quali assumono particolare rilievo, in primo luogo, quelle del Garante rivolte all’esercizio dei suoi poteri di soft law come, ad esempio, la verifica di compatibilità col GDPR dei codici di buona deontologia e buona condotta vigenti all’entrata in vigore del decreto, le autorizzazioni generali e l’adozione di nuove tipologie di provvedimenti di carattere generale e di misure di garanzia.
La modalità utilizzata è stata quella della “novella” e dell’abrogazione nei confronti del d. lgs. n. 196/2003 “Codice in materia di protezione dei dati personali” (in proseguo, “Codice”) e, cioè, per usare una brutta espressione informatica ormai diffusa, quella di “mecciare” i due testi normativi.
Oltre a modificare persino il titolo del Codice(17) e le premesse (aggiungendo tre visti), il Decreto abroga 110 degli originari 191 articoli per poi, ai rimanenti 81, aggiungerne 29.
Tabella 2 – Nuova struttura del d. lgs. n. 196/2003 “Codice in materia di protezione dei dati personali”
In grassetto le rubriche modificate
In conclusione, come si rileva dalla Figura 1, l’evoluzione storica del data protection si caratterizza per l’intreccio di norme nazionali, comunitarie e internazionali. E, per rispondere al titolo dell’articolo, il risultato è un corpus normativo non soltanto complesso ma anche complicato, oltre che per la criticabile qualità del drafting usato – che tra rinvii di norme e abrogazioni rende difficile la costruzione dell’impianto normativo e la lettura dei precetti – ma soprattutto non consente una facile attuazione delle prescrizioni in quanto “Il GDPR ed il Codice in materia di protezione dei dati personali non sono «solo», e nemmeno «soprattutto», un apparato normativo ma, prima di tutto, una METODOLOGIA!”
Figura 1 – Sintesi dell’evoluzione storica
(1) Legge 21 febbraio 1989, n. 98, “Ratifica ed esecuzione della convenzione n. 108 sulla protezione delle persone rispetto al trattamento automatizzato di dati di carattere personale, adottata a Strasburgo il 28 gennaio 1981”.
(2) “Convenzione per la salvaguardia dei Diritti dell’Uomo e delle Libertà fondamentali” del Consiglio d’Europa del 4 novembre 1950, così come modificato dalle disposizioni del Protocollo n. 14 a partire dalla sua entrata in vigore il 1° giugno 2010.
(3) Tutti gli Stati UE hanno aderito.
(4) La Corte di giustizia dell’Unione Europea (CGUE), istituita nel 1952 in Lussemburgo, interpreta il diritto dell’UE per garantire che sia applicato allo stesso modo in tutti gli Stati membri e dirime le controversie giuridiche tra governi nazionali e istituzioni dell’UE. Può essere adita, in talune circostanze, anche da singoli cittadini, imprese o organizzazioni allo scopo di intraprendere un’azione legale contro un’istituzione dell’UE qualora ritengano che abbia in qualche modo violato i loro diritti.
(5) La direttiva è stata modificata dalla Direttiva 2009/136/CE del Parlamento Europeo e del Consiglio del 25 novembre 2009.
(6) Anche a questo testo sono state apportate delle modifiche nel tempo (ad esempio, il Documento programmatico sulla sicurezza è stato reso facoltativo).
(7) Per motivi di sintesi, non sono stati menzionati altri significativi provvedimenti, come, ad esempio, la Carta dei diritti fondamentali dell’Unione Europea (Carta di Nizza) proclamata il 7 dicembre 2000 che, nel titolo dedicato alla libertà (gli altri diritti sono riferiti alla dignità, eguaglianza, solidarietà, cittadinanza e giustizia), dedica l’art. 8 alla “protezione dei dati di carattere personale“. Il Trattato di Lisbona, entrato in vigore il 1 dicembre 2009, ha incluso la Carta di Nizza sotto forma di allegato, conferendole così carattere giuridicamente vincolante all’interno dell’ordinamento dell’Unione Europea, secondo quanto disposto dall’art. 6.
(8) Si tratta del Regolamento UE “relativo alla protezione delle persone fisiche con riguardo al trattamento dei dati personali, nonché alla libera circolazione di tali dati e che abroga la direttiva 95/46/CE”, del Parlamento europeo e del Consiglio n. 679 del 27 aprile 2016 (pubblicato nella Gazzetta Ufficiale europea il 4 maggio 2016), in vigore dal 24 maggio 2016 e applicabile dal 25 maggio 2018. Il regolamento è anche denominato “Regolamento generale sulla protezione dei dati” ed è spesso indicato con l’acronimo inglese GDPR (General Data Protection Regulation).
(9) Si tratta della Direttiva (UE) 2016/680 del Parlamento Europeo e del Consiglio del 27 aprile 2016 relativa alla protezione delle persone fisiche con riguardo al trattamento dei dati personali da parte delle autorità competenti a fini di prevenzione, indagine, accertamento e perseguimento di reati o esecuzione di sanzioni penali, nonché alla libera circolazione di tali dati e che abroga la decisione quadro 2008/977/GAI del Consiglio.
(10) La direttiva è stata recepita attraverso l’art. 11 della legge di delegazione europea (2016-2017) del 25 ottobre 2017, n. 163, a seguito della quale è stato emanato il d. lgs. 18 maggio 2018, n. 51.
(11) Cfr. l’art. 6, paragrafo 3, del Regolamento UE n. 2016/679.
(12) Cfr. l’art. 6, paragrafo 2, del Regolamento UE n. 2016/679.
(13) Cfr. l’art. 6, paragrafo 3, lett. b) del Regolamento UE n. 2016/679.
(14) La rubrica è “Delega al Governo per il recepimento delle direttive europee e l’attuazione di altri atti dell’Unione europea – Legge di delegazione europea 2016-2017”.
(15) Si tratta della Direttiva (UE) 2016/680 del Parlamento Europeo e del Consiglio del 27 aprile 2016 relativa alla protezione delle persone fisiche con riguardo al trattamento dei dati personali da parte delle autorità competenti a fini di prevenzione, indagine, accertamento e perseguimento di reati o esecuzione di sanzioni penali, nonché alla libera circolazione di tali dati e che abroga la decisione quadro 2008/977/GAI del Consiglio.
(16) Introdotto dall’art. 1 del Decreto.
(17) L’art. 1, comma 1, del Decreto, aggiunge «, recante disposizioni per l’adeguamento dell’ordinamento nazionale al regolamento (UE) n. 2016/679 del Parlamento europeo e del Consiglio, del 27 aprile 2016, relativo alla protezione delle persone fisiche con riguardo al trattamento dei dati personali, nonché alla libera circolazione di tali dati e che abroga la direttiva 95/46/CE».
