Jei - Jus e Internet

Il primo organo di informazione giuridica su internet per gli operatori del diritto - in linea dal 1996

La disciplina della privacy nel panorama internazionale

Scritto da Davide Blonda

La tutela della privacy trova un primo riconoscimento a livello internazionale nella Dichiarazione universale dei diritti dell'uomo del 1948 [1], la quale afferma che “Nessun individuo potrà essere sottoposto ad interferenze arbitrarie nella sua vita privata, nella sua famiglia, nella sua casa, nella sua corrispondenza, né a lesioni del suo onore e della sua reputazione. Ogni individuo ha diritto ad essere tutelato dalla legge contro tali interferenze o lesioni” (art. 12). Con tale atto il diritto alla riservatezza entra a far parte del catalogo dei diritti fondamentali della persona. La preoccupazione per la tutela del diritto alla privacy esprime la volontà generale, all'indomani della seconda guerra mondiale, di cancellare i crimini e gli oltraggi alla dignità umana, stabilendo un sistema organico di regole come garanzia da futuri possibili abusi. Questa stessa volontà è rintracciabile nelle disposizioni previste dalla Convenzione europea per la salvaguardia dei diritti dell'uomo e delle libertà fondamentali del 1950 [2] (art. 8) e dal Patto internazionale sui diritti civili e politici del 1966 [3] (art. 17). In entrambi i casi, l'ispirazione all'art. 12 della Dichiarazione Universale è palese, sebbene la norma della Convenzione se ne discosti in parte, elencando una serie di eccezioni al diritto tutelato.
La Convenzione europea dei diritti dell'uomo riafferma il principio secondo cui “ogni persona ha diritto al rispetto della sua vita privata e familiare, del suo domicilio e della sua corrispondenza” (art. 8, cm . I). Sulla base di tale previsione, la Corte europea dei diritti dell'uomo
[4] ha determinato e progressivamente ampliato il significato da ascriversi ai concetti di “vita privata” e “corrispondenza” [5], gettando le basi della positivizzazione di un diritto al controllo consapevole su ogni forma di circolazione delle proprie informazioni personali. D'altra parte, la CEDU stabilisce che “Non può esservi ingerenza della pubblica autorità nell'esercizio di tale diritto se non in quanto tale ingerenza sia prevista dalla legge e in quanto costituisca una misura che, in una società democratica, è necessaria per la sicurezza nazionale, l'ordine pubblico, il benessere economico del paese, la prevenzione dei reati, la protezione della salute o della morale, o la protezione dei diritti e delle libertà altrui (art. 8, cm. II).
Il percorso che ha portato alla progressiva adozione da parte di tutti gli Stati dell'Unione Europea di una legislazione a protezione dei dati di carattere personale ha inizio con la risoluzione del Comitato dei ministri del Consiglio d'Europa del 26 settembre 1973 sulla protezione della vita privata delle persone fisiche rispetto alle banche dati elettroniche nel settore privato e con la risoluzione del 29 settembre 1974 riferita alle banche dati nel settore pubblico. I due atti non avevano, però, carattere vincolante, risolvendosi in semplici raccomandazioni ai governi di adottare i provvedimenti necessari per applicare i principi fondamentali di tutela della persona nei riguardi delle attività di raccolta ed elaborazione dei dati. In Europa, dunque, continuava a mancare una legislazione uniforme sulla protezione della riservatezza e sul controllo delle banche dati. Alcuni Stati avevano emanato una disciplina a tale riguardo (ad esempio, la Svezia nel 1973, la Germania nel 1977, la Francia , la Danimarca e la Norvegia nel 1978, il Lussemburgo nel 1979)
[6]; tuttavia restavano molti Stati, tra cui l'Italia, privi di un'adeguata regolamentazione in materia, e comunque anche le leggi adottate nel frattempo erano, sotto molti profili, tra loro diverse. La presenza di disposizioni eterogenee finiva, così, per rappresentare un ostacolo alla libera circolazione transfrontaliera delle informazioni [7].
Per ovviare a tale situazione, nel 1981 il Consiglio d'Europa ha emanato la Convenzione n. 108 sulla protezione delle persone rispetto al trattamento automatizzato di dati di carattere personale, nota come Convenzione di Strasburgo
[8]. Considerate le diversità esistenti tra le varie normative nazionali, la Convenzione si è adoperata per assicurare un livello minimo di garanzie, prevedendo una serie di principi a cui avrebbero dovuto conformarsi le varie legislazioni nazionali in modo da assicurare il rispetto del diritto alla privacy degli individui nei confronti di ogni elaborazione automatizzata di dati concernenti soggetti identificati o identificabili.
L'art. 1 della Convenzione di Strasburgo indica come oggetto e scopo della Convenzione quello di garantire sul territorio di ciascuna Parte contraente, ad ogni persona fisica quali che siano la sua nazionalità o la sua residenza, il rispetto dei suoi diritti e delle sue libertà fondamentali e, in particolare, del diritto alla vita privata in relazione all'elaborazione automatica dei dati a carattere personale che la riguardano (“protezione dei dati”). La Convenzione si pone l'obiettivo di ridurre le limitazioni ai flussi transfrontalieri di dati tra le Parti contraenti, garantendo al tempo stesso il rispetto della vita privata. A tal proposito, il Preambolo della Convenzione riconosce la necessità di “conciliare i valori fondamentali del rispetto della vita privata e della libera circolazione delle informazioni tra i popoli.”
Dalla disposizione dell'art. 1 risulta che la Convenzione si occupa solo delle informazioni oggetto di elaborazione automatica, mentre ignora i dati trattati con procedure manuali. Si tratta, secondo una certa dottrina, di una carenza comune alla maggior parte dei provvedimenti normativi dell'epoca, “i quali presentano il dato comune di mirare alla sola protezione delle notizie personali inserite in raccolte automatizzate.”
[9]
Già all'indomani della Convenzione n. 108 del 1981, le istituzioni comunitarie hanno avvertito il bisogno di colmare questa lacuna
[10], disponendo una disciplina che si occupasse anche degli archivi manuali idonei, al pari di quelli informatici, a mettere in pericolo la privacy . Dopo una lunga gestazione [11], il Parlamento europeo e il Consiglio dell'Unione europea, in applicazione degli artt. 95 e 251 [12] del Trattato istitutivo della Comunità Europea, hanno emanato la Direttiva comunitaria 95/46/CE del 24 ottobre 1995 [13]. Tale direttiva ha cercato, da un lato, di armonizzare le disposizioni degli Stati membri (e per alcuni di essi, tra cui l'Italia e la Grecia , di sollecitare l'approvazione di una disciplina ad hoc ) e, dall'altro, di garantire un livello alto ed equivalente di tutela della persona rispetto al trattamento dei dati. Nei consideranda introduttivi si nota che tra gli obiettivi della Comunità c'è quello di “promuovere la democrazia, basandosi sui diritti fondamentali sanciti dalle Costituzioni e dalle leggi degli Stati membri, nonché dalla Convenzione europea di salvaguardia dei diritti dell'uomo e delle libertà fondamentali” [14]. Si sottolinea, inoltre, “che l'instaurazione e il funzionamento del mercato interno […] esigono non solo che i dati personali possano circolare liberamente da uno Stato membro all'altro, ma che siano altresì salvaguardati i diritti fondamentali della persona” [15]. Da ultimo, si evidenzia che “i principi della tutela dei diritti e delle libertà delle persone, in particolare del rispetto della vita privata” contenuti nella direttiva “precisano ed ampliano quelli enunciati dalla convenzione del 28 gennaio 1981 del Consiglio d'Europa sulla protezione delle persone con riferimento al trattamento automatizzato dei dati di carattere personale” [16]. Queste considerazioni introduttive, si osserva in dottrina [17], hanno generato un equivoco: si è creduto, infatti, che scopo precipuo della direttiva comunitaria fosse la salvaguardia dei diritti fondamentali. In realtà, come sottolinea l'Avvocato generale Tizzano nelle sue conclusioni relative al caso Lindqvist [18], se è pur vero che la direttiva comunitaria esprime “importanti valori ed esigenze di cui il legislatore comunitario ha tenuto conto nel delineare la disciplina armonizzata necessaria per l'instaurazione ed il funzionamento del mercato interno”, d'altra parte i medesimi valori non vanno considerati come “autonomi obiettivi”. Pertanto, prosegue Tizzano, è da escludere che la direttiva “intenda tutelare gli individui rispetto al trattamento dei dati personali anche a prescindere dall'obiettivo di favorire la libera circolazione di tali dati”, altrimenti si avrebbe “l'incongrua conseguenza di far rientrare nel suo campo di applicazione pure trattamenti effettuati per l'esercizio di attività che abbiano qualche rilevanza sociale ma che non presentino alcun rapporto con l'instaurazione ed il funzionamento del mercato interno”. In sostanza, “se si attribuissero alla direttiva, oltre al fine di favorire la libera circolazione dei dati personali nel mercato interno, anche ulteriori ed autonomi obiettivi connessi ad esigenze di carattere sociale ed alla tutela dei diritti fondamentali (in particolare del diritto alla vita privata), si rischierebbe di mettere in causa la stessa validità della direttiva, dato che la sua base giuridica risulterebbe in tal caso palesemente inadeguata” [19]. L'art. 95 TCE, in virtù del quale è stata emanata la direttiva 95/46/CE, risulta inidoneo a porsi come fondamento di misure che non siano giustificate dallo specifico obiettivo di favorire “l'instaurazione ed il funzionamento del mercato interno” [20]. Piuttosto, il legislatore comunitario ha voluto stabilire un livello di tutela “equivalente in tutti gli Stati membri” [21], al fine di eliminare gli ostacoli alla circolazione dei dati personali derivanti dal “divario nei livelli di tutela dei diritti e delle libertà personali, in particolare della vita privata, garantiti negli Stati membri” [22]. Ciò in quanto, “data la protezione equivalente derivante dal ravvicinamento delle legislazioni nazionali, gli Stati membri non avrebbero potuto più ostacolare la libera circolazione tra loro di dati personali per ragioni inerenti alla tutela dei diritti e delle libertà delle persone fisiche, segnatamente del diritto alla vita privata.” [23]
Per rimediare alla lacuna lasciata dalla Convenzione di Strasburgo, nei consideranda viene esplicitamente affermato “che la tutela delle persone fisiche deve essere applicata al trattamento dei dati sia automatizzato che manuale”, così da evitare “gravi rischi di elusione delle disposizioni”. [24] Tuttavia la rilevanza delle operazioni manuali viene circoscritta ai soli dati personali “contenuti o destinati a figurare negli archivi” (art. 3, comma I) ed accessibili secondo i criteri determinati dell'art. 2, lett. b . [25]
A seguito della direttiva 95/46/CE, quasi tutti gli Stati appartenenti all'Unione europea hanno adottato una normativa in materia di trattamento dei dati personali, facendo entrare per la prima volta la tutela della privacy in seno alla legislazione nazionale ovvero integrando o sostituendo la preesistente disciplina in materia [26].
La direttiva 97/66/CE del Parlamento europeo e del Consiglio
[27], sul trattamento dei dati personali e sulla tutela della vita privata nel settore delle telecomunicazioni (definita direttiva figlia rispetto alla direttiva madre 95/46/CE), ha tradotto i principi enunciati dalla precedente direttiva in norme specifiche per il settore delle telecomunicazioni. Al fine di essere adeguata agli sviluppi verificatisi nei mercati e nelle tecnologie dei servizi di comunicazione elettronica, la direttiva 97/66/CE è stata sostituita dalla direttiva 2002/58/CE del Parlamento europeo e del Consiglio [28]. La normativa comunitaria stabilisce le misure necessarie per garantire tra gli Stati membri un livello equivalente di tutela dei diritti e delle libertà fondamentali, in particolare del diritto alla vita privata, con riguardo al trattamento dei dati personali nel settore delle comunicazioni elettroniche e per assicurare la libera circolazione di tali dati, delle apparecchiature e dei servizi di comunicazione elettronica all'interno della Comunità.

2.  Dalla giurisprudenza della Corte di Giustizia alla Carta dei diritti fondamentali dell'Unione Europea

Nel silenzio dei trattati istitutivi delle Comunità Europee in materia di diritti fondamentali, è stata la giurisprudenza della Corte di Giustizia ad introdurre, a partire dalla fine degli anni sessanta, una forma di tutela dei diritti fondamentali, allo scopo di colmare una grave lacuna del legislatore comunitario [29]. Solo molto tempo dopo che la giurisprudenza della Corte di Giustizia aveva consolidato la tutela dei diritti fondamentali, il legislatore comunitario ha provveduto ad introdurre una norma scritta di sostegno alla giurisprudenza. L'art. 6 (ex art. F) del Trattato sull'Unione Europea [30] afferma che “1. L'Unione si fonda sui principi di libertà, democrazia, rispetto dei diritti dell'uomo e delle libertà fondamentali e dello stato di diritto, principi che sono comuni agli stati membri. 2. L'Unione rispetta i diritti fondamentali quali sono garantiti dalla Convenzione europea per la salvaguardia dei diritti dell'uomo e delle libertà fondamentali, firmata a Roma il 4 novembre 1950, e quali risultano dalle tradizioni costituzionali comuni degli stati membri in quanto principi generali del diritto comunitario”. In seguito, il Trattato di Amsterdam [31] ha apportato alcune modifiche alle disposizioni del Trattato di Maastricht, con l'obiettivo di rafforzare ed estendere la tutela dei diritti fondamentali di cui all'art. 6 TUE [32].
Il diritto di controllare il flusso dei propri dati personali ha avuto un importante riconoscimento nella Carta dei diritti fondamentali dell'Unione Europea, proclamata a Nizza il 7 dicembre 2000 dal Parlamento europeo, dal Consiglio e dalla Commissione
[33]. “ La Carta dei diritti fondamentali non introduce ex novo una tutela europea o comunitaria dei diritti fondamentali, ma semmai, più limitatamente, reca un contributo a una realtà già radicata e consolidata nell'Unione Europea” [34]. Tuttavia, nonostante il carattere ricognitivo delle norme che la compongono [35], la Carta , nel suo insieme, risulta essere un'opera originale per la scelta delle norme che ha voluto includere, escludendone altre [36]. Inoltre, secondo autorevole dottrina, la Carta ha avuto il beneficio di risolvere il problema dell'individuazione di un catalogo scritto dei diritti fondamentali tutelati nell'Unione Europea, offrendo, in tal modo, una base certa di diritto positivo alla giurisprudenza della Corte di giustizia [37].
D'altra parte, le affermazioni di principio contenute nella Carta segnano un importante cambio di prospettiva nella politica comunitaria sui diritti fondamentali: mentre nella direttiva 95/46/CE la loro protezione è funzionale al perseguimento delle finalità economiche
[38], nella Carta di Nizza i diritti fondamentali sono tutelati in sè e per sè. Si è parlato, dunque, di sviluppo della comunità europea da “unione economica e monetaria”, che pone al centro la libertà di circolazione di persone, capitali, beni e servizi, ad “Europa dei diritti dei cittadini” [39].

3.  La distinzione tra diritto alla vita privata e diritto alla protezione dei dati personali nella Carta dei diritti fondamentali dell'Unione Europea

Nella Carta dei diritti fondamentali dell'Unione Europea trovano riconoscimento, per la prima volta, alcuni nuovi diritti, la cui tutela si è resa necessaria “alla luce dell'evoluzione della società, del progresso sociale, e degli sviluppi scientifici e tecnologici” [40]. Tra questi diritti “inediti” vi è il diritto alla protezione dei dati personali (art. 8) che trova un autonomo riconoscimento accanto al tradizionale diritto al rispetto della vita privata e familiare (art. 7) [41]. Quest'ultimo costituisce il nucleo originario del diritto alla riservatezza, intorno al quale dottrina e giurisprudenza hanno sviluppato un'ampia tutela della privacy . L'art. 7 afferma che “ogni individuo ha diritto al rispetto della propria vita familiare, del proprio domicilio e delle sue comunicazioni” [42]. Come la maggior parte degli articoli compresi nel Capo dedicato alle “Libertà” [43], anche l'art. 7 della Carta trova una quasi totale corrispondenza in un'analoga disposizione contenuta nella CEDU (art. 8) [44]. Tuttavia, rispetto alla Convenzione di Roma del 1950, si notano due differenze di non poco conto: in primo luogo, il diritto al rispetto delle “comunicazioni” prende il posto del diritto al rispetto della “corrispondenza” allo scopo di tenere conto delle evoluzioni tecnologiche; in secondo luogo, l'art. 7 non riproduce il secondo comma dell'art. 8 CEDU, che individua i limiti del diritto al rispetto della vita privata [45].
La disposizione più innovativa nell'ambito della disciplina della privacy è l'art. 8 della Carta, che recepisce i principi sanciti dalla normativa europea in materia di trattamento dei dati personali
[46]. L'introduzione di questo diritto risponde alla necessità di garantire una specifica tutela nei confronti di attività diffuse e potenzialmente pericolose per alcuni diritti fondamentali. L'utilizzo di mezzi automatizzati nella gestione delle informazioni ha, infatti, facilitato la possibilità di creare banche dati e di far circolare le informazioni in esse contenute, ponendo l'esigenza di una tutela della privacy e degli altri diritti della persona rispetto al trattamento dei dati personali. “D'altra parte, l'integrazione europea, implicando l'intensificazione dei flussi transfrontalieri di dati, richiede che vengano impedite limitazioni della circolazione verso determinati Stati, giustificate dalla mancanza di standard minimi di sicurezza” [47].
L'art. 8 si compone di tre commi
[48]. Nel primo, viene riconosciuto a ogni individuo il diritto alla protezione dei dati personali che lo riguardano. La tutela è, quindi, limitata alle persone fisiche allo stesso modo di quanto previsto dalla direttiva comunitaria 95/46/CE [49]. Nel secondo, riguardo alle condizioni in presenza delle quali è ammesso il trattamento dei dati personali, ci si limita a stabilire che i dati devono essere trattati “secondo il principio di lealtà” e “per finalità determinate” [50]; il trattamento dei dati è ritenuto legittimo solo in presenza del consenso della persona interessata o di un altro fondamento previsto dalla legge, lasciando in tal modo alla discrezionalità del legislatore la scelta dei margini di deroga al consenso dell'interessato. Tuttavia, considerando che la direttiva comunitaria 95/46/CE individua i casi in cui il legislatore nazionale può derogare al principio del necessario consenso per il trattamento dei dati personali [51], si deve ritenere che la Carta offra, in base al disposto dell'art. 53, un livello di protezione almeno equivalente a quello riconosciuto dal diritto comunitario [52]. Sempre nel secondo comma dell'art. 8 si riconosce a ciascun individuo “il diritto di accedere ai dati raccolti che lo riguardano e di ottenerne la rettifica”. Anche in tal caso alle garanzie riconosciute dalla norma in esame si aggiungono quelle già previste dalla normativa comunitaria, in particolare dall'art. 286 T.C.E. e dalla più volte ricordata direttiva 95/46/CE [53]. L'art. 8 della Carta si conclude con la previsione di un'autorità indipendente a cui affidare il controllo del rispetto delle regole in materia di protezione dei dati personali (art. 8, comma III), riprendendo così quanto stabilito sia dalla direttiva [54] sia dall'art. 286 T.C.E.. Come osservato in dottrina, “nel diritto al rispetto della vita privata e familiare si manifesta soprattutto il momento individualistico, il potere si esaurisce sostanzialmente nell'escludere interferenze altrui: la tutela è statica e negativa. La protezione dei dati, invece, fissa regole ineludibili sulle modalità del trattamento dei dati, si concretizza in poteri di intervento: la tutela dinamica segue i dati nella loro circolazione. I poteri di controllo e di intervento, inoltre, non sono attribuiti soltanto ai diretti interessati, ma vengono affidati anche a una autorità indipendente: la tutela non è più soltanto individualistica, ma coinvolge una specifica responsabilità pubblica. Siamo così di fronte anche a una ridistribuzione dei poteri sociali e giuridici.” [55]
Il diritto al rispetto della vita privata (art. 7) e il diritto alla protezione dei dati personali (art. 8) possono essere limitati alle condizioni previste dall'art. 52 della Carta. Secondo tale disposizione le limitazioni all'esercizio dei diritti garantiti debbono: a) essere previste dalla legge; b) rispettare il contenuto essenziale dei diritti; c) rispettare il principio di proporzionalità; d) essere necessarie e rispondenti a finalità di interesse generale riconosciute dall'Unione o all'esigenza di proteggere i diritti e le libertà altrui [56]. Occorre ricordare, poi, che la succitata direttiva 2002/58/CE, relativa al trattamento dei dati personali e alla tutela della vita privata nel settore delle comunicazioni elettroniche, mira espressamente a garantire “il pieno rispetto dei diritti di cui agli articoli 7 e 8” della Carta dei diritti fondamentali dell'Unione Europea. [57] Per quanto riguarda il profilo dell'efficacia, inizialmente la Carta ha avuto “solo” una valenza politica, non essendo stata subito inserita nel testo dei trattati. Il Consiglio europeo di Colonia del 1999 aveva delineato per la Carta un percorso in due fasi: la prima, destinata a guadagnare il consenso politico degli Stati membri sul testo elaborato dalla Convention ; la seconda, diretta ad affrontare la più delicata decisione sulla natura giuridica di quel testo. Seguendo le indicazioni emerse dal Consiglio di Colonia, i Capi di Stato e di Governo, riuniti a Nizza nel dicembre 2000, si sono accordati limitatamente alla proclamazione della Carta dei diritti come documento momentaneamente privo di valore giuridico, rinviando il dibattito sulla sua efficacia giuridica ad un futuro di breve-medio termine. Nella dichiarazione 23, allegata al Trattato di Nizza e contenente l'agenda politica del “Futuro dell'Unione”, si menziona specificamente la questione dello “status della Carta dei diritti fondamentali dell'Unione Europea”, fissando l'appuntamento per la discussione sul riconoscimento della natura giuridica nel contesto della conferenza intergovernativa (CIG) del 2004 [58].

4 . La Costituzione europea e il Garante europeo della privacy

L'apertura ufficiale della conferenza dei rappresentanti dei governi degli Stati membri si è svolta a Roma il 4 ottobre 2003, sotto la Presidenza italiana dell'Unione Europea. La CIG è stata chiamata ad approvare il “Progetto di trattato che istituisce una Costituzione europea” messo a punto da un organismo ad hoc , la Convenzione europea, a seguito di un dibattito durato sedici mesi [59]. La Convenzione , istituita con la Dichiarazione di Laenken del dicembre 2001 [60], ha riunito i rappresentanti di tutti gli Stati membri e dei Paesi candidati all'adesione, nonché sedici rappresentanti del Parlamento europeo. La Convenzione ha adottato lo stesso modus operandi utilizzato per l'approvazione della Carta dei diritti fondamentali, coinvolgendo anche soggetti non istituzionali in rappresentanza della società civile [61]. In tal modo, si è cercato di ottenere il più elevato livello di partecipazione ai lavori della Convenzione, allo scopo di assicurare una maggiore legittimazione democratica alla Costituzione europea. Dopo lunghe trattative, i rappresentanti dei venticinque Stati membri dell'Unione Europea hanno trovato l'accordo il 18 giugno 2004 [62]. La storica firma del Trattato e dell'Atto finale che stabiliscono una Costituzione per l'Europa è avvenuta a Roma il 29 ottobre 2004 [63]. Per entrare in vigore, la Costituzione dovrà essere ratificata da tutti gli Stati dell'U.E.. [64]
Il testo del Trattato costituzionale europeo unifica in un documento organico tutti i precedenti trattati, da quelli più lontani di Roma del 1957 fino ai più recenti di Maastricht e Nizza [65]. In particolare, la Costituzione europea accoglie al suo interno (Parte II) il testo integrale della Carta dei diritti fondamentali dell'Unione, conferendo efficacia giuridica alle sue disposizioni e risolvendo la lunga querelle attorno alla valenza delle norme della Carta di Nizza. Ne consegue che gli artt. 7 ed 8 della Carta acquistano addirittura forza costituzionale venendo trasfusi negli artt. II-67 e II-68 del trattato costituzionale europeo.
La Costituzione europea dimostra grande attenzione verso il problema della privacy , inserendo un'apposita disposizione nel titolo VI della Parte I dedicato alla “Vita democratica dell'Unione”. L'art. I-51 prevede che: “1. Ogni individuo ha diritto alla protezione dei dati di carattere personale che lo riguardano. 2. La legge europea stabilisce le norme relative alla protezione delle persone fisiche con riguardo al trattamento dei dati di carattere personale da parte delle istituzioni, degli organi e delle agenzie dell'Unione, e da parte degli Stati membri nell'esercizio di attività che rientrano nel campo di applicazione del diritto dell'Unione, e le norme relative alla libera circolazione di tali dati. Il rispetto di tali norme è soggetto al controllo di un'autorità indipendente”.
[66] Con questo articolo si è inteso ribadire l'esistenza di un autonomo diritto alla protezione dei dati personali, così come sancito dalla Carta di Nizza (art. 8). D'altra parte, il secondo comma dell'articolo in esame riprende quanto stabilito dall'art. 286 del TCE in materia di trattamento dei dati personali, estendendone l'applicazione anche alle attività degli Stati membri che presentino punti di contatto con il diritto dell'Unione Europea.
L'art. 286 del TCE, aggiunto dal Trattato di Amsterdam, rende applicabili anche alle istituzioni e agli altri organismi europei le norme comunitarie in materia di trattamento dei dati personali già in vigore per i singoli Stati membri
[67]. In attuazione di questa disposizione è stato approvato il Regolamento C.E. 18 dicembre 2000, n. 45/2001 [68], il quale, sulla falsariga del Garante della privacy dei vari Stati membri, ha istituito il “Garante europeo della protezione dei dati” [69]. Si tratta di un organo di controllo indipendente incaricato di “garantire il rispetto del diritto alla vita privata riguardo al trattamento dei dati personali da parte delle istituzioni e degli organismi dell'U.E.” [70], in collaborazione con i rispettivi responsabili della protezione dei dati. Tra i compiti ad esso attribuiti, il Garante europeo ha quello di rendere pareri su tutti gli aspetti relativi al trattamento dei dati personali alle istituzioni e agli organismi dell'UE [71]. La nomina del Garante europeo della protezione dei dati e del Garante aggiunto, per un mandato rinnovabile di cinque anni, spetta, di comune accordo, al Parlamento europeo e al Consiglio dell'Unione europea [72]. La Corte di Giustizia ha il potere di destituirli dalle loro funzioni, qualora non siano più in possesso dei requisiti necessari o abbiano commesso una colpa grave. Ogni anno, il Garante europeo pubblica una relazione sulla sua attività, che viene inviata alle principali istituzioni dell'U.E. e può essere esaminata dal Parlamento europeo. Il Garante europeo della protezione dei dati è l'unica autorità indipendente dell'Unione Europea ad avere avuto espresso riconoscimento nella neonata Costituzione europea (art. I- 51, cm . 2).

---------------------------

[1] La Dichiarazione universale dei diritti dell'uomo fu proclamata il 10 dicembre 1948 dall'Assemblea generale delle Nazioni Unite con la risoluzione n. 217-III. La Dichiarazione non costituisce un documento giuridicamente vincolante in quanto l'Assemblea generale delle Nazioni Unite non ha poteri legislativi: l'atto tipico che essa può emanare in base alla Carta delle Nazioni Unite è la raccomandazione, che è un atto avente mero valore di esortazione. Tuttavia i suoi contenuti sono stati tradotti in forma giuridicamente vincolante nei due Patti delle Nazioni Unite adottati nel 1966 (v. oltre nel testo e in nota).

[2] La Convenzione europea per la salvaguardia dei diritti dell'uomo e delle libertà fondamentali è stata firmata a Roma il 4 novembre 1950 ed è stata ratificata dal Presidente della Repubblica in seguito ad autorizzazione conferitagli dalla l. 4 agosto 1955, n. 848. La CEDU è entrata in vigore per l'Italia il 26 ottobre 1955. Il testo ufficiale della Convenzione è stato pubblicati nella G.U. del 24 settembre 1955, in appendice alla suddetta l. 848/1955.

[3] Con la risoluzione 2200A (XXI) del 16 dicembre 1966, l'Assemblea generale dell'O.N.U. ha adottato il Patto internazionale sui diritti civili e politici ed avviato il relativo processo di firma, ratifica e adesione. Il Patto è entrato in vigore il 23 marzo 1976. Questo Patto e il coevo Patto sui diritti economici, sociali e culturali sono i primi strumenti internazionali onnicomprensivi e giuridicamente vincolanti nel campo dei diritti umani, e, insieme alla Dichiarazione universale dei diritti umani del ‘48, costituiscono il nucleo della c.d. Carta internazionale dei diritti umani .

[4] La Corte europea dei diritti dell'uomo è stata istituita dall'art. 19 della CEDU con il compito di assicurare il rispetto della Convenzione stessa da parte degli Stati contraenti. La Corte ha sede a Strasburgo ed è formata da un numero di giudici pari a quello degli Stati contraenti.

[5] Cfr. sentenze Corte E.D.U.: Malone c. Regno Unito , 2 agosto 1984 (corte plenaria) serie A n. 82; Leander c. Svezia , 26 marzo 1987, serie A n. 116; Gaskin c. Regno Unito , 7 luglio 1989, (corte plenaria), serie A n. 160.

[6] Giannantonio E ., Manuale di diritto dell'informatica , , Padova, Cedam, 1997, pp. 33-34, distingue la disciplina delle banche di dati personali in due generazioni di leggi. “La prima è costitutita da quelle normative, particolarmente severe, che vietano qualsiasi raccolta automatizzata di dati personali non espressamente autorizzata con una legge o con un provvedimento amministrativo […]. Appartengono a questa generazione la prima legge svedese, la Datalag , emanata l'11 maggio 1973, la Bundesdaten Schutzgesetz (BSDG) tedesca, la Datenschutzgesetz (DSG) austriaca e le leggi danese, norvegese, islandese e lussemburghese. La seconda generazione di leggi in materia di raccolte di dati personali è costituita, invece, da quelle norme, più liberali, per le quali ciascuno può costituire raccolte automatizzate di dati, anche personali, senza necessità di alcuna autorizzazione, salvo l'obbligo di darne notificazione ad un particolare organo o ufficio, come il Datainspektionen della seconda legge svedese, il Data Protection Registrar o il registrar israeliano. Principio fondamentale di tali norme, infatti, non è quello di vietare tutte le raccolte di dati non espressamente e specificamente autorizzate, ma, al contrario, quello di riconoscere la libertà di raccolta dei dati personali e sottoporre tale libertà a una serie di limiti e di oneri, primo tra tutti quello della notificazione della banca all'Ufficio di controllo; un organo il cui compito è quello non di autorizzare, ma di controllare che le informazioni siano state ottenute in modo legittimo.”

[7] A tal proposito l'OCSE (Organizzazione per la Cooperazione e lo Sviluppo Economico) ha emanato varie raccomandazioni “finalizzate a sollecitare i Paesi membri ad un'uniformità di interventi nel campo della raccolta e diffusione di dati personali.”: v. Pardolesi R., Dalla riservatezza alla protezione dei dati personali , in Pardolesi R. (a cura di), Diritto alla riservatezza e circolazione dei dati personali , Milano, Giuffrè, 2003, p. 33.

[8] La “Convenzione per la protezione delle persone in relazione all'elaborazione automatica dei dati a carattere personale” è stata approvata dal Consiglio d'Europa il 28 gennaio 1981. L'Italia ha provveduto a ratificare la Convenzione di Strasburgo con notevole ritardo mediante la legge 21 febbraio 1989, n. 98, in G.U. n. 66 del 20 marzo 1989. La Convenzione di Strasburgo, a differenza di altre convenzioni del Consiglio d'Europa, ha carattere aperto, nel senso che, una volta entrata in vigore, è accessibile a qualsiasi altro Stato non membro del Consiglio che tuttavia sia stato invitato ad aderirvi da parte del Comitato dei ministri: cfr. Buttarelli G., Banche dati e tutela della riservatezza , Milano, Giuffrè, 1997, p. 3 ss.

[9] Così Pardolesi R., Dalla riservatezza alla protezione dei dati personali , in Pardolesi R. (a cura di), Diritto alla riservatezza e circolazione dei dati personali , op. cit., p. 34. E' significativo notare che l'Autore parla al riguardo di una vera e propria “sindrome da elaboratore”.

[10] V. la risoluzione del 9 marzo 1982, in G.U.C.E. n. C. 87/39 del 5 aprile 1982.

[11] La prima proposta di direttiva fu presentata dalla Commissione C.E. nel 1990.

[12] Rispettivamente ex artt. 100A e 189B

[13] In G.U.C.E. 23 novembre 1995, n. L 281, p. 31 e ss., e recepita in Italia con la legge n. 675 del 31 dicembre 1996, in G.U. 8 gennaio 1997, n. 5, s.o.

[14] I° considerando della direttiva 95/46/CE

[15] III° considerando della direttiva 95/46/CE.

[16] XI° considerando della direttiva 95/46/CE.

[17] V. sul punto Pardolesi R., Dalla riservatezza alla protezione dei dati personali , in Pardolesi R. (a cura di), Diritto alla riservatezza e circolazione dei dati personali , op. cit., p. 36.

[18] Corte di Giustizia, sentenza 6 novembre 2003, causa C-101/01, Lindqvist , in Racc. , 2003, p. I-12971.

[19] Così l'Avvocato generale Tizzano nelle conclusioni presentate il 19 settembre 2002, in relazione alla causa C-101/01, Lindqvist.

[20] Art. 95 T.C.E. (già art. 100A).

[21] Considerando VIII della direttiva 95/46/CE.

[22] Considerando VII della direttiva 95/46/CE.

[23] Considerando IX della direttiva 95/46/CE. Altra dottrina ritiene che concretamente la disciplina comunitaria sia andata ben oltre queste premesse, incentrando la normativa sul trattamento dei dati personali e quindi sulle operazioni di raccolta, elaborazione ed utilizzo delle informazioni relative ai soggetti: cfr. Buttarelli G., Banche dati e tutela della riservatezza , op. cit., p. 147; Rodotà S., Persona, riservatezza, identità. Prime note sistematiche sulla protezione dei dati personali , in Riv. Critica di dir. Priv. , n. 4, Napoli, Jovene, 1997, p. 586.

[24] Considerando XXVII della direttiva 95/46/CE.

[25] La direttiva non si applica ai fascicoli cartacei non strutturati secondo criteri determinati, tali da agevolare l'accesso (v. considerando XXVII).

[26] Una panoramica sulle leggi dei Paesi dell'Unione Europea di recepimento della suddetta direttiva in materia di protezione dei dati personali figura al seguente indirizzo: http://europa.eu.int/comm/justice_home/fsj/privacy/index_en.htm (consultato il 13 dicembre 2005).

[27] Direttiva 97/66/CE del 15 dicembre 1997, in G.U.C.E. 30 gennaio 1998, n. L 024. Tale direttiva è stata attuata in Italia con il decreto legislativo 13 maggio 1998, n. 171 pubblicato in G.U. 3 giugno 1998 , n . 127.

[28] La direttiva 2002/58/CE del 12 luglio 2002, relativa al trattamento dei dati personali e alla tutela della vita privata nel settore delle comunicazioni elettroniche, è stata pubblicata nella G.U.C.E. 31 luglio 2002, n. L 201, p. 37 e ss . L'Italia ha dato attuazione a questa direttiva con il decreto legislativo 30 giugno 2003, n. 196, c.d. “Codice della privacy”, pubblicato nella G.U. 29 luglio 2003 n. 174, s.o. 123.

[29] Con la sentenza Stauder del 1969 (Corte di giustizia, sent. 12 novembre 1969, causa 29/69, in Racc. 1969, p. 419) “ la Corte di giustizia ha ritenuto che la tutela dei diritti fondamentali costituisca parte integrante dei principi generali del diritto comunitario e che quindi la salvaguardia di quei diritti, che deve ispirarsi alle tradizioni costituzionali comuni degli stati membri, deve essere assicurata dalla Corte di giustizia stessa nel quadro degli obiettivi e della struttura della Comunità europea” ai sensi dell'art. 220 TCE, di modo che il primato del diritto comunitario sul diritto interno degli Stati membri non comporti il sacrificio dei diritti fondamentali della persona: così Bifulco R., Cartabia M., Celotto A. (a cura di), Introduzione, in L'Europa dei diritti, Bologna, Il Mulino, 2001, p. 13.

[30] Il Trattato sull'Unione Europea, adottato a Maastricht il 7 febbraio 1992 e pubblicato in GUCE 31 agosto 1992, n. C 224 , è entrato in vigore il 1° novembre 1993. In Italia il TUE è stato recepito con la legge (autorizzazione alla ratifica e ordine di esecuzione) 3 novembre 1992, n. 454, in G.U. n. 277 del 24 novembre 1992, suppl. ord. n. 126.

[31] Il Trattato di Amsterdam, firmato il 2 ottobre 1997 ed entrato in vigore il 1° maggio 1999, ha modificato il Trattato sull'Unione Europea ed i Trattati che istituiscono le Comunità Europee ed ha rinumerato gli articoli sia del TCE che del del TUE (precedentemente designati con delle lettere). La legge italiana di adattamento è del 16 giugno 1998, n. 209, in G.U. n. 155 del 6 luglio 1998, suppl. ord. n. 114/L.

[32] Per un verso, si è prevista una procedura politica di accertamento di gravi violazioni dei diritti fondamentali da parte degli Stati membri, che può portare anche alla sospensione dei diritti degli Stati in questione (art. 7 TUE) ; per l'altro, la Corte di giustizia è stata chiamata a garantire il rispetto di tali diritti anche nei confronti delle attività delle istituzioni comunitarie svolte nell'ambito del c.d. primo pilastro (art. 46 TUE). Infine, tra le condizioni per l'adesione all'Unione Europea di nuovi Stati, è stato inserito il rispetto dei diritti dell'uomo e delle libertà fondamentali (art. 49 TUE).

[33] La Carta dei diritti fondamentali dell'Unione Europea è stata pubblicata nella G.U.C.E 200/C-364/01 del 18 dicembre del 2000. Da notare come la pubblicazione della Carta sia avvenuta non nella serie L della G.U.C.E., propria degli atti normativi vincolanti, ma nella serie C, riservata agli atti non obbligatori  , ovvero gli atti di c.d. soft law  : la Carta , in una prima fase, ha avuto, infatti, solo una valenza politica. Per la redazione della Carta dei diritti fondamentali è stato creato un organismo ad hoc , la Convention , composto da rappresentanti dei Capi di Stato e di governo degli Stati membri dell'Unione Europea, della Commissione europea, del Parlamento europeo e dei Parlamenti nazionali; da segnalare inoltre la presenza della Corte di giustizia e del Consiglio d'Europa in veste di osservatori e l'apertura ad ampi spazi di interventi da parte di soggetti non istituzionali in grado di rappresentare la società civile (in particolare le organizzazioni non governative, ma anche le parti sociali, il settore privato, gli ambienti accademici, ecc.). Per un'analisi dettagliata di tutti gli aspetti organizzativi e procedurali della Convention e dei lavori preparatori v. Apostoli A., La Carta dei diritti dell'Unione europea , Brescia, Promodis Italia, 2000.

[34] Bifulco R., Cartabia M., Celotto A. (a cura di), Introduzione, in L'Europa dei diritti , op. cit., p. 12. Gli Autori sostengono che alla Carta di Nizza “non può essere imputata la virtù di introdurre nell'ordinamento comunitario una novità ‘rivoluzionaria' dal punto di vista giuridico. Piuttosto essa costituisce uno sviluppo, importante e significativo, di una eredità che viene da lontano e che ormai è saldamente radicata nell'ordinamento dell'Unione Europea”.

[35] Nel senso che, come affermato esplicitamente dal Preambolo, “La presente Carta […] riafferma i diritti derivanti in particolare dalle tradizioni costituzionali europee, dagli obblighi internazionali comuni agli stati membri, dal trattato sull'Unione europea e dai trattati comunitari, dalla convenzione europea per la salvaguardia dei diritti dell'uomo e delle libertà fondamentali, dalle carte sociali adottate dalla Comunità e dal Consiglio d'Europa, nonché i diritti riconosciuti dalla giurisprudenza della Corte europea dei diritti dell'uomo”.

[36] “Ciò che si è deciso di inserire nella Carta, è automaticamente posto su un piano giuridico superiore rispetto a ciò che è rimasto fuori da essa”: così Bifulco R., Cartabia M., Celotto A. (a cura di ), Introduzione in L'Europa dei diritti , op. cit., p. 15.

[37] Cfr. Bifulco R., Cartabia M., Celotto A. (a cura di) , Introduzione in L'Europa dei diritti , op. cit., p. 15.

[38] Secondo Cirillo G.P., La tutela della privacy nel sistema del nuovo codice sulla protezione dei dati personali , Padova, Cedam, 2004, p. 5, l'obiettivo essenziale della direttiva n. 95/46/CE “è la armonizzazione delle legislazioni nazionali per evitare effetti negativi sul funzionamento del mercato comune.” Inoltre, prosegue l'Autore, “è noto che la Corte di Giustizia ha affermato in numerose pronunce che […] i diritti fondamentali costituiscono, in quest'ottica, non un controlimite assoluto al mercato, ma semmai tendono a stabilizzare lo spazio economico europeo; la loro protezione è necessaria per evitare forme di social dumping tra i paesi aderenti e la possibilità che le imprese facciano lo ‘shopping' tra le legislazioni, scegliendo, nell'ambito della comunità, i paesi meno garantistici”. V. sul punto il precedente paragrafo.

[39] Melchionna S., I principi generali , in Acciai R. (a cura di), Il diritto alla protezione dei dati personali , Santrcangelo di Romagna, Maggioli, 2004, p. 32. Cfr. sul punto Rodotà S., La Carta Europea dei diritti - una vittoria dimezzata , in La Repubblica , 4 ottobre, 2000, p. 17.

[40] In questi termini si esprime il Preambolo della Carta di Nizza.

[41] Cfr. Rodotà S., Introduzione , in Lyon D., La società sorvegliata , Milano, Feltrinelli, 2002, p. XI.

[42] Analogamente l'art. 6 della Dichiarazione relativa ai diritti e alle libertà fondamentali adottata dal Parlamento europeo il 12 aprile 1989 dispone che: “1. Chiunque ha diritto al rispetto e alla protezione della propria identità. 2. E' garantito il rispetto della vita privata e della vita familiare, della reputazione, del domicilio e delle comunicazioni private”. D'altra parte, la Carta , nella sua versione definitiva, non menziona il diritto all'onore, che invece era presente nei progetti presentati durante i lavori preparatori.

[43] La Carta ha raggruppato le situazioni giuridiche fondamentali intorno a sei valori o principi fondamentali, che sono la dignità (artt. 1-5), la libertà (artt. 6-19), l'uguaglianza (artt. 20-26),la solidarietà (artt. 27-38), la cittadinanza (artt. 39-46) e la giustizia (artt. 47-50); gli artt. 51-54 contengono disposizioni generali.

[44] In diverse Costituzioni nazionali degli Stati membri è possibile ritrovare disposizioni volte alla tutela dei diritti garantiti dall'art. 7 della Carta. Nei casi in cui le Costituzioni nazionali non prevedono espressamente alcuni di questi diritti, essi sono stati comunque ricavati in via giurisprudenziale.

[45] Secondo l'interpretazione autentica dei redattori della Carta, le limitazioni suscettibili di essere apportate ai diritti protetti sono comunque quelle previste dall'art. 8 CEDU, in virtù della previsione dell'art. 52, cm . III della Carta. Tale ultima disposizione stabilisce che “laddove la presente Carta contenga diritti corrispondenti a quelli garantiti dalla Convenzione europea per la salvaguardia dei diritti dell'uomo e delle libertà fondamentali, il significato e la portata degli stessi sono uguali a quelli conferiti dalla suddetta convenzione.”

[46] Secondo la ricostruzione di Donati F., Commento art. 8 , in Bifulco R., Cartabia M., Celotto A. (a cura di) , L'Europa dei diritti , op. cit., p. 83, i diritti garantiti dall'art. 8 trovano riconoscimento, in ambito comunitario, nella direttiva 95/46/CE del Parlamento europeo e del Consiglio relativa alla tutela delle persone fisiche con riguardo al trattamento dei dati personali, nonché nell'art. 286 del Trattato C.E. sulla disciplina applicabile alle istituzioni e agli altri organismi comunitari in materia di privacy . Il diritto alla protezione dei dati personali, invece, non viene espressamente menzionato nella CEDU, nella Dichiarazione universale dei diritti dell'uomo, nel Patto internazionale sui diritti civili e politici delle Nazioni Unite e nella dichiarazione congiunta del Parlamento europeo, del Consiglio e della Commissione sui diritti e le libertà fondamentali del 1989. Secondo altra dottrina, il riconoscimento del diritto alla protezione dei dati personali nella Carta si fonda sull'art. 286 TCE, sulla direttiva 95/46/CE, sull'art. 8 della CEDU, nonché sulla Convenzione di Strasburgo del 1981. Sul punto v. Alpa G., Prefazione , in Pardolesi R. (a cura di), Diritto alla riservatezza e circolazione dei dati personali , op. cit., p. XII.

[47] Donati F., Commento art. 8 , in Bifulco R., Cartabia M., Celotto A. (a cura di) , L'Europa dei diritti , op. cit., p. 83.

[48] L'art. 8 della Carta recita: “1. Ogni individuo ha diritto alla protezione dei dati di carattere personale che lo riguardano. 2. Tali dati devono essere trattati secondo il principio di lealtà, per finalità determinate e in base al consenso della persona interessata o a un altro fondamento legittimo previsto dalla legge. Ogni individuo ha il diritto di accedere ai dati raccolti che lo riguardano e di ottenerne la rettifica. 3. Il rispetto di tali regole è soggetto al controllo di un'autorità indipendente”

[49] Già con la legge n. 675 del 1996 (art. 1) l'Italia si era preoccupata di estendere la protezione in materia di trattamento di dati personali non solo alle persone fisiche, ma anche alle persone giuridiche. Tale scelta è stata ribadita dal nuovo Codice della privacy (d. lgs. n. 196 del 2003) che, all'art. 1, esordisce con un'affermazione di principio di amplissima portata: “Chiunque ha diritto alla protezione dei dati personali che lo riguardano”. Pertanto, in riferimento all'ambito soggettivo di operatività delle norme di tutela dei dati personali, non esiste alcuna distinzione tra cittadini, stranieri o apolidi, persone fisiche o persone giuridiche, enti o associazioni non riconosciute ovvero dotati di personalità giuridica.

[50] Rispetto alla direttiva comunitaria 95/46/CE mancano una serie di altre importanti prescrizioni riguardanti l'adeguatezza e la pertinenza dei dati rispetto alla finalità del trattamento, la cancellazione dei dati inseriti e le modalità di conservazione (v. art. 6 direttiva 95/46/CE), la riservatezza e la sicurezza dei trattamenti (v. artt. 16 e 17 direttiva 95/46/CE). Donati F., Commento art. 8 , in Bifulco R., Cartabia M., Celotto A. (a cura di ), L'Europa dei diritti , op. cit., p. 87, ritiene che “se da un lato questo è comprensibile, considerando che si tratta di una Carta di diritti che, come tale, non si sofferma sulla disciplina di dettaglio, ma enuncia principi generali di ampia portata, dall'altro, la scelta di inserire solo alcuni dei criteri stabiliti dal legislatore comunitario, lasciandone fuori altri, parimenti importanti, appare criticabile”. Nulla, invece, viene detto nell'art. 8 della Carta riguardo la nozione di “trattamento”; a tal proposito, dai lavoratori preparatori, sembra emergere che i redattori della Carta abbiano accolto l'ampia accezione di “trattamento” adottata dal legislatore comunitario, secondo cui tale attività comprende qualsiasi tipo di operazione svolta con o senza il supporto di mezzi telematici (v. più estesamente la definizione di “trattamento” contenuta nell'art. 2, lett. b) della direttiva 95/46/CE.

[51] V. art. 7 della direttiva comunitaria 95/46/CE.

[52] Secondo l'art. 53, nessuna disposizione della Carta “deve essere interpretata come limitativa o lesiva dei diritti dell'uomo e delle libertà fondamentali riconosciuti” dal diritto dell'Unione. Tale articolo prosegue, prescrivendo il rispetto del livello di protezione garantito “dal diritto internazionale, dalle Convenzioni internazionali delle quali l'Unione, la Comunità o tutti gli Stati membri sono parti contraenti, in particolare la Convenzione europea dei diritti dell'uomo e delle libertà fondamentali, e dalle costituzioni degli Stati membri”.

[53] La direttiva comunitaria 95/46/CE riconosce ulteriori diritti relativamente, tra gli altri, al trattamento dei c.d. dati sensibili, all'informativa della persona presso la quale viene effettuata la raccolta dei dati e alla sicurezza del trattamento.

[54] In attuazione di quanto stabilito dalla direttiva comunitaria, ciascuno Stato membro ha provveduto ad affidare ad un'autorità indipendente il controllo sul rispetto della disciplina a protezione dei dati personali. In Italia il “Garante per la protezione dei dati personali” è stato istituito dall'art. 30 della l. 675/1996.

[55] Rodotà S., Introduzione , in Lyon D., La società sorvegliata , op. cit., p. XI.

[56] “Si tratta, come ben si vede, del recepimento degli insegnamenti della Corte di Strasburgo e della Corte di Giustizia allorquando, chiamate a pronunciarsi sulla possibilità per gli Stati di limitare il diritto alla vita privata e familiare ai sensi del comma 2 dell'articolo 8 della CEDU, hanno cercato di limitare tale facoltà onde non svuotare di significato lo stesso riconoscimento del diritto. In tale ambito, come si ricorderà, la Corte europea dei diritti dell'uomo ha infatti ripetutamente asserito che l'ingerenza deve essere fondata su di un bisogno sociale imperativo e deve essere proporzionata al fine perseguito, devono esistere in diritto interno garanzie idonee e sufficienti ad evitare il rischio di abusi, e che il processo decisionale che conduce all'adozione del provvedimento di ingerenza deve essere equo e rispettare opportunamente gli interessi dell'individuo tutelati dall'art. 8.”: così Varani E., Diritto alla privacy e trattamento dei dati sensibili in ambito sanitario. Dalla Carta dei diritti fondamentali dell'Unione Europea al decreto legislativo 30 giugno 2003 n. 196 “Codice in materia di protezione dei dati personali” , pp. 20-21, disponibile sul sito web : http://www.giustamm.it/new_2005/2106.pdf (consultato il 13 dicembre 2005).

[57] Considerando II della direttiva 2002/58/CE.

[58] “La Carta , sin dall'inizio, è stata concepita come la prima parte di una futura costituzione europea, e si è detto che lo sarebbe stata senz'altro qualora fosse stata inserita nei Trattati”: così Luciani M., Legalità e legittimità nel processo di integrazione europea , in Bonacchi G. (a cura di) Una Costituzione senza Stato , Bologna, Il Mulino, 2001, pp. 71 e ss.

[59] La Convenzione europea ha iniziato i suoi lavori il 28 febbraio 2002 e li ha conclusi il 10 luglio 2003 con l'approvazione del testo completo della bozza di Costituzione europea disponibile sul sito web : http://european-convention.eu.int/docs/Treaty/cv00850.it03.pdf (consultato il 28 settembre 2005). Cfr. Rodotà S., Una costituzione senza Stato, il paradosso della nuova Europa , in “ La Repubblica ” del 22 luglio 2003, p. 15; si v. anche Manzella A, Melograni P., Paciotti E., Rodotà S., Riscrivere i diritti in Europa , Bologna, Il Mulino, 2001.

[60] Il testo della Dichiarazione di Laenken è disponibile sul sito web : http://european-convention.eu.int/pdf/LKNIT.pdf (consultato il 30 settembre 2005).

[61] V. nota 33.

[62] Secondo il Parlamento europeo, la Conferenza intergovernativa si sarebbe dovuta discostare il meno possibile dal progetto adottato dalla Convenzione.

[63] In G.U.C.E. n. C-310/9 del 16 dicembre 2004. Il testo integrale del Trattato che adotta una Costituzione per l'Europa, nonché degli atti connessi (protocolli, allegati e atto finale), è disponibile sul sito web : http://europa.eu.int/eur-lex/lex/JOHtml.do?uri=OJ:C:2004:310:SOM:IT:HTML (consultato il 30 settembre 2005).

[64] Il deposito delle ratifiche dovrà avvenire entro il 1° novembre 2006, secondo il disposto dell'art. IV-447 del Trattato costituzionale europeo. La competenza a ratificare il suddetto trattato è disciplinata da ogni singolo Stato con proprie norme costituzionali: alcuni Stati prevedono referendum popolari, altri l'approvazione in via parlamentare, altri ancora adotteranno una procedura mista. In Italia, il combinato disposto degli artt. 80 ed 87, comma 8, della Costituzione dispone che sia il Presidente della Repubblica a ratificare i trattati, previa, quando occorra, l'autorizzazione delle Camere. Trattandosi di un accordo internazionale di natura politica ex art. 80 Cost., il Parlamento ha emanato la legge 7 aprile 2005, n. 57 (pubblicata in G.U. n. 92 del 21 aprile 2005, suppl. ordinario n. 70) con cui si autorizza la ratifica e si ordina l'esecuzione del trattato che adotta la Convenzione europea (e gli atti connessi). Tuttavia, nel resto dell'Europa “l'agenda delle ratifiche ha subito qualche modifica dopo il voto negativo dei referendum in Francia (29 maggio 2005) e in Olanda (1° giugno 2005). Un grande dibattito è attualmente in corso in Europa e nelle diverse istituzioni europee, Consiglio, Commissione e Parlamento europeo, si sta sviluppando una approfondita riflessione sull'avvenire dell'Unione […]. La Costituzione , una volta ratificata da tutti gli Stati, entrerà in vigore a partire dal 2009 per alcuni aspetti, e dal 2014 per altri. Fino a quel momento l'Unione europea continuerà a funzionare come oggi, con i Trattati in vigore […]. Se alcuni paesi non ratificheranno la Costituzione entro il 1° novembre 2006 si aprirà un capitolo nuovo e dagli esiti non definiti sul futuro dell'Europa. Infatti, secondo la Dichiarazione n. 30 sulla ratifica del Trattato di Costituzione per l'Europa, occorrerà una soluzione politica in caso di mancata ratifica da parte di uno Stato membro: ‘se al termine di un periodo di due anni a decorrere dalla firma del Trattato che adotta una costituzione, i 4/5 degli Stati membri hanno ratificato detto Trattato e uno o più Stati membri hanno incontrato difficoltà nelle procedure di ratifica, la questione è deferita al Consiglio europeo'.Dopo i due ‘no' nei Referendum in Francia e Olanda, il Consiglio europeo del 16-17 giugno 2005 ha deciso di non rinegoziare il Trattato ma di riaprire, fino al giugno 2006, il Dibattito con i Cittadini europei, lasciando agli altri Stati membri che ancora non avessero deciso, la possibilità di sospendere o meno il processo di ratifica in corso.”: v. http://www.europarl.it/costituzione/index.asp (consultato il 30 settembre 2005).

[65] La Costituzione europea consta di 448 articoli ed è suddivisa in quattro parti. La prima parte definisce i valori, gli obiettivi, le competenze, le procedure decisionali e le istituzioni dell'Unione Europea; essa si occupa inoltre dei simboli, della cittadinanza, della vita democratica e delle finanze dell'Unione. La seconda parte riproduce integralmente la Carta dei diritti fondamentali adottata nel 2000 a Nizza. La terza descrive le politiche e il funzionamento dell'Unione. Infine, la quarta comprende le disposizioni generali e finali, tra le quali figurano le procedure di adozione e revisione della Costituzione.

[66] Tale disposizione riproduce pedissequamente l'art. 50 del “Progetto di trattato che istituisce una Costituzione per l'Europa” elaborato dalla Convenzione europea ed approvato il 10 luglio 2003.

[67] L'art. 286 T.C.E. dispone che “gli atti comunitari sulla protezione delle persone fisiche con riguardo al trattamento dei dati personali nonché alla libera circolazione di tali dati si applicano alle istituzioni e agli organismi comunitari”.

[68] Regolamento concernente “la tutela delle persone fisiche in relazione al trattamento dei dati personali da parte delle istituzioni e degli organismi comunitari , nonché alla libera circolazione dei dati”, in G.U.C.E. 12 gennaio 2001, n. L 8.

[69] V. artt. 41 e ss. del Regolamento 45/2001/CE.

[70] V. il sito web : http://europa.eu.int/institutions/edps/index_it.htm (consultato il 30 settembre 2005).

[71] Il Garante europeo riceve, inoltre, denunce o ricorsi e compie i relativi accertamenti; svolge indagini di propria iniziativa; tiene un registro delle operazioni di trattamento che gli sono state notificate; ordina la rettifica, il congelamento o la distruzione di tutti i dati irregolarmente acquisiti; vieta, a titolo provvisorio o definitivo, operazioni di trattamento; collabora con le autorità nazionali di controllo; interviene nelle cause di fronte alla Corte di giustizia e al Tribunale di primo grado.

[72] Nel 2004 Peter Hustinx è stato nominato Garante europeo della protezione dei dati e Joaquin Bayo Delgado Garante aggiunto. Il sito web del Garante europeo della privacy è disponibile sul sito web : http://www.edps.eu.int/01_en_presentation.htm (consultato il 30 settembre 2005).