diritto alla riservatezza e trattamento dei dati personali
TRANSCRIPT
DIRITTO ALLA RISERVATEZZA DIRITTO ALLA RISERVATEZZA E TRATTAMENTO DEI DATI E TRATTAMENTO DEI DATI
PERSONALIPERSONALI
LA NOZIONE DI DIRITTO ALLA RISERVATEZZA
• L’esigenza di garantire il rispetto della vita privata degli individui nasce nell’ambito dell’ordinamento statunitense a cavallo tra i secoli XIX e XX
Right to be let alone (= vietare ingerenze esterne nella propria sfera privata)
Accezione limitata e inidonea rispetto le attuali esigenze Non è un diritto assoluto informazione
TecnologiaBanche dati
La normativa non vieta il trattamento dei dati personali ma ne disciplina la gestione
Il FONDAMENTO NORMATIVO della COMPETENZA COMUNITARIA in MATERIA
• Attività del CONSIGLIO D’ EUROPARaccomandazioniConvenzione n. 108 del 1981 sulla protezione delle
persone rispetto al trattamento automatizzato dei dati di carattere personale (in vigore per l’Italia dal 1997)
Art. 8 CEDU Rispetto della vita privata
UNIONE EUROPEAArt. 8 Carta di Nizza Art. 286 CE: obbliga anche le istituzioni
comunitarie al rispetto della normativa sul trattamento dei dati personali; base normativa
La disciplina del trattamento dei dati personali nell’ambito del CONSIGLIO D’ EUROPA
• La Convenzione europea per la salvaguardia dei diritti dell’uomo e delle libertà fondamentali non contiene una norma specificatamente dedicata alla tutela dei dati personali, a differenza della Carta di Nizza.
• La Corte di Strasburgo ha finito per applicare a tale questione l’art. 8 CEDU che riconosce il diritto di ogni persona al rispetto della sua vita privata.
Diritto alla segretezza dei dati sanitari Diritto a che i dati presenti in un registro di polizia non vengano usati per
fini diversi da quelli per i quali sono stati raccolti Diritto alla segretezza delle comunicazioni telefoniche Diritto di conoscere eventuali informazioni sul proprio conto da altri
detenute
• L’art. 8 tutela gli individui da eventuali ingerenze non solo nelle ipotesi in cui si tratti di dati confidenziali, intimi, bensì anche in relazione ad atti ed eventi pubblici
Informazioni emerse durante conversazioni pubbliche (ambito professionale e commerciale)
attività politicamanifestazione pubblica
Il diritto NON HA CARATTERE ASSOLUTOArt. 8, n. 2 prevede la possibilità di ingerenze della pubblica
autorità e ne individua i LIMITI: 1. Prevista dalla legge 2. Scopo legittimo 3. “Necessaria in una società democratica”
(cfr. giurisprudenza Corte europea sull’art. 10)
• Convenzione n. 108 del 1981 sulla PROTEZIONE Convenzione n. 108 del 1981 sulla PROTEZIONE DELLE PERSONE RISPETTO AL DELLE PERSONE RISPETTO AL TRATTAMENTO AUTOMATIZZATO DEI DATITRATTAMENTO AUTOMATIZZATO DEI DATI
Art. 1 Ha lo scopo di garantire ad ogni persona fisica “il rispetto dei suoi diritti e delle sue libertà fondamentali, e in particolare al suo diritto alla vita privata, in relazione all’elaborazione automatica dei dati a carattere personale che la riguardano”
Sono protette esclusivamente le persone fisicheSolo trattamento automatizzato dei dati (e non anche manuale)
Gli Stati possono disporre una normativa più dettagliata
La Convenzione è vincolante per gli Stati ma ha natura non self executing
• Capitolo II, art. 5 individua le “QUALITA’ DEI DATI”. Devono essere: a) ottenuti ed elaborati in modo legale e leale b) registrati per fini determinati e legittimi e il loro impiego
deve essere compatibile con tali fini c) adeguati, pertinenti e non eccessivi rispetto ai fini per i quali
sono registrati d) esatti e aggiornati e) conservati per un periodo non superiore a quello necessario
per la realizzazione dei fini perseguiti e permettere l’identificazione delle persone interessate
DATI SENSIBILI = informazioni che rivelano l’origine razziale, le opinioni politiche, le convinzioni religiose, le abitudini sessuali e la condizione di salute
Non possono essere sottoposti a elaborazione automatica a meno che gli Stati adottino normative interne che prevedano idonee garanzie (art. 6)
• I Paesi aderenti devono disporre adeguate misure di sicurezza al fine di evitare la distruzione o la perdita accidentale dei dati registrati e impedirne l’accesso e la diffusione non autorizzati (art. 7)
• Dati di una collezione automatizzata: possibilità di conoscerne l’esistenza e i fini; identità e sede del responsabile della stessa (art. 8)
Possibilità di adire l’autorità giudiziaria
Gli Stati possono derogare alla Convenzione mediante legge interna (art. 9)
Sicurezza dello StatoSicurezza pubblicaInteressi monetariRepressione dei reatiProtezione dei diritti e delle libertà degli individui
Il trattamento dei dati personali nella normativa dell’UE• La Comunità europea si è occupata di protezione dei dati personali solo molto
tempo dopo rispetto al Consiglio d’Europa Resistenza di alcuni Stati a conformarsi alla Convenzione n. 108 Accrescersi degli scambi di informazioni
Direttiva 95/46 relativa alla tutela delle persone fisiche con riguardo al trattamento dei dati personali nonché alla libera circolazione di tali dati
Direttiva 97/66 sul trattamento dei dati personali e sulla tutela della vita
privata nel settore delle telecomunicazioni Abrogata e sostituita dalla direttiva 2002/58 relativa al
trattamento dei dati personali e alla tutela della vita privata nel settore delle comunicazioni elettroniche.
Regolamento 45/2001 concernente la tutela delle persone fisiche in relazione al trattamento dei dati personali da parte delle istituzioni comunitarie, nonché la libera circolazione di tali dati.
La disciplina quadro
• La disciplina della direttiva-quadro 95/46 rispecchia in larga misura la Convenzione della quale intende precisare e ampliare i contenuti (considerando n. 11 del Preambolo)
Differenza: la direttiva intende applicarsi al trattamento dei dati personali contenuti in archivi strutturati, indipendentemente dal fatto che essi siano automatizzati o meno (art. 3, n. 1)
In comune: esclusione delle persone giuridiche
Sono inoltre esclusi dal campo di applicazione della direttiva i trattamenti di dati personali effettuati per l’esercizio di attività che non rientrano nel campo di applicazione del diritto comunitario, così come quelli aventi ad oggetto la difesa, la sicurezza pubblica o dello Stato e l’attività in materia penale e quelli effettuati da una persona fisica per l’esercizio di attività a carattere esclusivamente personale (art. 3, n. 2).
• “Art. 2 “DATI PERSONALI” = “qualsiasi informazione concernente una persona fisica identificata o identificabile”
• “TRATTAMENTO” = “qualsiasi operazione … come la raccolta, la registrazione, l’organizzazione, la conservazione, l’elaborazione o la modifica, l’estrazione, la consultazione, l’impiego, la comunicazione mediante trasmissione, diffusione o qualsiasi altra forma di messa a disposizione, il raffronto o l’interconnessione, nonché il congelamento, la cancellazione o la distruzione”
• “RESPONSABILE DEL TRATTAMENTO” = “la persona … l’autorità pubblica, il servizio o qualsiasi altro organismo … che determina le finalità e gli strumenti del trattamento dei dati personali”
• I principi da seguire per un corretto trattamento dei dati sono quelli già espressi dalla Convenzione: legalità, finalità, pertinenza, esattezza, ... (art. 6)
• Art. 7 perché un trattamento dei dati sia lecito è indispensabile che vi sia una delle seguenti condizioni:
- consenso al trattamento da parte dell’interessato - trattamento previsto da un contratto - necessario per adempiere un obbligo del
responsabile del trattamento - salvaguardia dell’interesse vitale della persona o un
interesse pubblico - perseguimento di un interesse legittimo del
responsabile del trattamento o di un terzo, a meno che non prevalga l’interesse della persona cui i dati si riferiscono perplessità
• DATI SENSIBILIDATI SENSIBILI (art. 8)divieto del loro trattamento n. 2 ampie eccezioni per cui il divieto non si
applica quando: vi sia il consenso esplicito dell’interessato; il trattamento sia necessario per assolvere obblighi o diritti del responsabile del trattamento in materia di diritto del lavoro; il trattamento riguardi dati resi in maniera pubblica
Gli Stati sono autorizzati, previe opportune garanzie, ad apportare ulteriori deroghe per motivi di interesse pubblico rilevante.
Grande margine di discrezionalità lasciato ai singoli paesi
• GARANZIE RICONOSCIUTE AGLI GARANZIE RICONOSCIUTE AGLI INDIVIDUIINDIVIDUI
Artt. 10 e 11 Diritto ad essere informato riguardo all’identità del responsabile del trattamento, alle finalità dello stesso, alla possibilità di accedere ai dati ed eventualmente rettificarli.
Art. 12 Diritto d’accessoArt. 13 gli Stati possono limitare tali garanzie solo
quando ciò sia necessario alla salvaguardia della sicurezza pubblica o dello Stato, della difesa, al perseguimento di reati, al fine di tutelare un rilevante interesse economico dello Stato, … (ipotesi tassative)
Art. 18 obbligo di notificazione all’Autorità di controllo da parte del responsabile del trattamento prima di procedere al trattamento dei dati (possibilità di deroga da parte degli Stati)
• AUTORITA’ DI CONTROLLOAl fine di riequilibrare la disparità di forze tra chi gestisce i dati
e chi invece li fornisce, la direttiva impone agli Stati di istituire al loro interno delle autorità di controllo indipendenti, dotate di poteri investigativi e di intervento a cui, tra l’altro, possono rivolgersi i singoli nel caso in cui ritengano che siano violati i loro diritti (art. 28).
Gruppo per la tutela delle persone con riguardo al trattamento dei personali (art. 29)
Codici di autoregolamentazione (art. 27)
Trasferimento dei dati verso paesi terzi Consentito solo verso i paesi terzi che assicurino un livello di
protezione adeguato
La disciplina specifica per settore La disciplina specifica per settore delle telecomunicazionidelle telecomunicazioni
• Direttiva 97/66 sul trattamento dei dati personali e sulla tutela della vita privata nel settore delle telecomunicazioni
Direttiva 2002/58 relativa al trattamento dei dati e alla tutela della vita privata nel settore delle comunicazioni elettroniche che “si applica al trattamento dei dati personali connesso alla fornitura di servizi di comunicazione elettronica accessibili al pubblico su reti pubbliche di comunicazione” (art. 3, n. 1)
• Ambito di applicazione: riconosce come meritevoli di tutela, non solo i diritti e le libertà delle persone fisiche, ma anche gli interessi legittimi delle persone giuridiche (art. 1, n. 2)
• Gli Stati devono assicurare la riservatezza delle comunicazioni effettuate tramite la rete pubblica di comunicazione, impedendo a terzi di intercettare, ascoltare o memorizzare conversazioni che si svolgono tramite telefono o informazioni scambiate via e-mail o, comunque, mediante ogni altro mezzo di comunicazione elettronica (art. 5).
• I dati relativi ad abbonati ed utenti debbono essere cancellati quando non siano più necessari (art. 6)
• Spamming = invio di messaggi commerciali non sollecitati Può comportare interferenze nella vita privataOpt in = consente l’invio solo previo consenso dell’interessatoOpt out = invio fino a quando il destinatario non esprima il
desiderio di non ricevere queste comunicazioni
La disciplina specifica per le istituzioni e La disciplina specifica per le istituzioni e gli organismi dell’Unionegli organismi dell’Unione
• Art. 286 (introdotto col Trattato di Amsterdam) estende la normativa comunitaria in materia di trattamento dei dati anche alle istituzioni e agli organismi comunitari
n. 2 prevede l’istituzione da parte del Consiglio di un organo di controllo indipendente incaricato di sorvegliare sulla corretta applicazione delle norme in discussione da parte degli organi comunitari
Regolamento 45/2001 concernente la tutela delle persone fisiche in relazione al trattamento dei dati personali da parte delle istituzioni e degli organismi comunitari, nonché la libera circolazione di tali dati
Istituisce il Garante europeo per la protezione dei dati
Le questioni che attengono alla Le questioni che attengono alla sicurezza interna e internazionalesicurezza interna e internazionale
• Le attività di politica estera e di sicurezza comune e la cooperazione di polizia e giudiziaria in materia penale non sono sottoposte alla disciplina comunitaria in materia di riservatezza.
Non si applica a Europol, SIS (Sistema di informazione Schengen) e SID (Sistema di informazione doganale)
In ogni caso la riservatezza viene tutelata.
L’art. 8 della Carta europea dei L’art. 8 della Carta europea dei diritti fondamentalidiritti fondamentali
• L’art. 8 conferma l’importanza che gli Stati membri attribuiscono alla tutela della riservatezza
Mentre la Convenzione europea tutela la riservatezza dei dati personali attraverso la norma relativa alla tutela della vita privata, la Carta dei diritti fondamentali ha separato i 2 ambiti:
Art. 7 “rispetto della vita privata e della vita familiare”Art. 8 “Protezione dei dati di carattere personale” 1. Ogni individuo ha diritto alla protezione dei dati di carattere
personale che lo riguardano. 2. Tali dati devono essere trattati secondo il principio di lealtà,
per finalità determinate e in base al consenso della persona interessata o a un altro fondamento legittimo previsto dalla legge. Ogni individuo ha il diritto di accedere ai dati raccolti che lo riguardano e e di ottenerne la rettifica.
3. Il rispetto di tali regole è soggetto al controllo di un’autorità indipendente.
L’attuazione italiana delle norme L’attuazione italiana delle norme europeeeuropee
• Convenzione n. 108 in vigore in Italia dal 1997 a seguito della
ratifica autorizzata con legge 98 del 1989
• Direttiva 95/46Legge 675/1996 oggi d. lgs. 196 del 2003
“Codice in materia di protezione dei dati personali”
Efficacia e derogabilitàEfficacia e derogabilità• PUNTI CRITICI• Amplissima facoltà lasciata agli Stati membri di porre delle deroghe Principio svuotato Difformità tra la disciplina degli Stati
L’UE, consapevole dei limiti, ha apportato dei miglioramenti rispetto la disciplina della Convenzione
“Duplice anima” Tutela delle libertà e dei diritti fondamentali Libera circolazione dei dati personali nel mercato comune
2 Organi: Gruppo per la tutela delle persone con riguardo al trattamento dei
dati personali Garante europeo per la protezione dei dati
Quadro normativo difforme all’interno della stessa Ue Art. I-51 della Costituzione Ue
Il trasferimento dei dati personali Il trasferimento dei dati personali verso Paesi terziverso Paesi terzi
• Verso gli USASafe Harbor = sistema di principi al quale possono
aderire le imprese americane che vogliono “accedere” ai dati europei
“Clausole contrattuali tipo” alla quale debbono aderire tutte le imprese non europee (indipendentemente dalla provenienza) che intendono effettuare dei trattamenti dei dati europei.