La protezione dei dati personali: breve inquadramento normativo La positivizzazione del diritto alla protezione dei dati personali: dalla Convenzione 108 alla direttiva 95/46/CE

Tra la seconda metà dell’Ottocento e gli inizi del Novecento quasi ogni ordinamento giuridico ha sancito l’inviolabilità di queste dimensioni in cui si svolge l’esistenza di un individuo: vita privata, domicilio, corrispondenza. Tuttavia, la crisi del diritto e dei diritti, culminata con la seconda guerra mondale, non risparmiò né la vita privata, né il domicilio e tantomeno la corrispondenza.

Conclusa la guerra si tentò di riaffermare i diritti che erano stati negati: il più celebre momento di questa opera di ricostruzione è rappresentato dall’adozione, da parte dell’assemblea generale delle nazioni unite, della dichiarazione universale dei diritti umani, firmata a Parigi il 10 Dicembre 1948.

La dichiarazione del 1948 ha svolto un ruolo significativo, prevedendo espressamente che “nessun individuo potrà essere sottoposto ad interferenze arbitrarie nella sua vita privata, nella sua famiglia, nella sua casa, nella sua corrispondenza, né a lesione del suo onore e della sua reputazione. Ogni individuo ha diritto ad essere tutelato dalla legge contro tali interferenze o lesioni”: si tratta di un’affermazione espressa in un documento privo di natura strettamente giuridica che tuttavia ha orientato il successivo sviluppo della riflessione giuridica intorno a questi temi.

Basti infatti confrontare la formulazione con quella di cui all’articolo 8 della convenzione europea per la salvaguardia del diritti dell’uomo e delle libertà fondamentali (CEDU), siglata il 4 Novembre 1950.

Il debito della formulazione accolta dalla CEDU nei confronti della dichiarazione universale è evidente ma tra i due documenti vi è una differenza che riguarda la dimensione dell’effettività della previsione normativa: infatti, la CEDU è un trattato internazionale a tutti gli effetti e, in quanto tale, offre una concreta possibilità di tutela dei diritti che vi sono contemplati.

Questa eventualità è stata rafforzata dalla istituzione, nel 1959, di un organo giurisdizionale deputato al rispetto della CEDU: la corte europea dei diritti dell’uomo (corte EDU).

Per quanto riguarda l’ordinamento giuridico italiano vale la pena ricordare che le cosiddette sentenze “gemelle” della Corte costituzionale (n.348/349 del 2007) hanno superato la precedente visione del rapporto tra accordi internazionali e leggi di recepimento: infatti, la nuova formulazione dell’articolo 117 della costituzione, introdotta del 2001, ha consentito alla consulta di configurare la possibile incostituzionalità di una legge per contrasto con la norma scaturente dall’accordo internazionale.

Dopo aver chiarito che il rispetto delle disposizioni di cui all’articolo 8 CEDU sono tutt’altro che indicazioni prive di effettività, vale la pena ricordare anche che la corte EDU ha stabilito che gli stati aderenti non sono soltanto obbligati ad astenersi da qualsiasi azione che possa comprimere l’effettiva tutela dei diritti previsti dall’articolo 8, ma sono anche tenuti a promuovere attivamente il rispetto della vita privata e familiare, del domicilio e della corrispondenza.

La corte EDU si è tuttavia trovata in difficoltà nel momento in cui ha dovuto confrontarsi con un problema: la gestione delle conseguenze della diffusione delle tecnologie informatiche sull’esercizio dei diritti previsti dall’articolo 8.

È per questa ragione che, introno alla metà degli anni Settanta il consiglio d’Europa istituì

gruppi di ricerca che avevano ad oggetto la tutela della riservatezza delle persone in relazione all’uso di banche dati e altri strumenti di data processing: ebbe così inizio un periodo di riflessione politica e giuridica che culmino a Strasburgo, il 28 gennaio 1981, con l’adozione della convenzione sulla protezione delle persone al trattamento automatizzato di dati a carattere personale (convenzione 108).

Questo atto è stato il primo a disciplinare il trattamento automatizzato dei dati di carattere personale e a stabilire regole sul flusso transfrontaliero di quest’ultimi: la convenzione ha stabilito alcuni principi che ancora oggi sono alla base della normativa europea sui dati personali.

E’ all’articolo 2 della convenzione che troviamo, per la prima volta, la definizione di dato personale come “ogni informazione concernente una persona fisica identificata o identificabile”.

Le regole fondamentali del trattamento e della raccolta dei dati sono espresse negli

articoli 4-11: si trovano qui espressi i principi di correttezza, liceità e finalità del trattamento dei dati che troviamo oggi in tutte le normative europee sulla privacy.

Inoltre la convenzione 108, all’articolo 6 ha individuato alcune categorie di dati che richiedono garanzie particolari come i dati che rivelano l’origine razziale, le opinioni politiche le convinzioni religiose o altre convinzioni, e quelli relativi alla salute o alla vita sessuale o a condanne penali: per questi “dati speciale” vige il divieto di elaborazione automatica, a meno che il diritto interno del singolo Stato preveda garanzie appropriate.

Infine, il capitolo III della convenzione è dedicato ai flussi transfrontalieri di dati: secondo quanto previsto dall’articolo 12, una parte non può proibire il flusso di dati a carattere personale destinati al territorio di un’altra parte, affermandosi così il principio della circolazione senza necessità di autorizzazioni che non sarà però accolto dalla direttiva 95/46/CE.

La direttiva del 24 ottobre 1995 è stata, fino ad oggi, il principale documento normativo in tema di protezione dei dati di carattere personale.

Oltre a richiamare l’attenzione di tutti gli stati dell’unione sulla materia dei dati personali, la direttiva ha introdotto la figura del garante, che è il soggetto istituzionale che più ha favorito la tutela effettiva dei diritti ma anche recitato un ruolo fondamentale nell’aumentare la sensibilità della società civile su questi temi.