Il bilanciamento tra diritto alla privacy o diritto alla riservatezza e altre ragioni di pubblico interesse nella normativa dell’UE è un argomento largamente affrontato dalla giurisprudenza della Corte di Giustizia.
La Carta fondamentale dei diritti dell’UE (“Carta”), agli art. 7 e 8, tutela, rispettivamente, il rispetto della vita privata e familiare e la protezione dei dati di carattere personale. Tali diritti non sono assoluti e possono essere limitati.
Le normative che introducano limitazioni a tali diritti dovrebbero, tuttavia, essere oggetto di attenta valutazione giacché esse incidono direttamente sulla misura rispetto al quale essi possono essere goduti dagli individui. In particolare, le normative che introducano restrizioni non dovrebbero, in ogni caso, scalfire il nucleo essenziale dei diritti fondamentali degli individui.
Tale problematica si è posta con frequenza in relazione alle normative che impongono a operatori privati, quali i fornitori di servizi di comunicazione elettronica, obblighi restrittivi dei diritti degli interessati, quali tempi di conservazione dei dati per ragioni di pubblica sicurezza.
È bene ricordare, preliminarmente, che le limitazioni ai diritti fondamentali devono rispettare i criteri stabiliti dall’art. 52 della Carta. Quest’ultimo, in estrema sintesi, richiede che ogni limitazione sia prevista per legge, rispettosa dell’essenza del diritto, che non può essere svuotato, e orientata al soddisfacimento di un obbiettivo di interesse pubblico. Lo stesso art. 52 della Carta richiede, inoltre, che sia condotta una valutazione circa la necessità della normativa e la sua proporzionalità.
La proporzionalità è principio generale del diritto dell’Unione, come si ravvisa anche dalla lettura dell’art. 5(4) del TUE che prevede che “il contenuto e la forma dell’azione dell’Unione si limitano a quanto necessario per il conseguimento degli obiettivi dei trattati.”
Indice degli argomenti
Principio di proporzionalità: le linee guida dell’EDPS
Al fine di fornire una guida a policymakers e a legislatori dell’UE, l’European Data Protection Supervisor (“EDPS”), il 20 dicembre 2019 ha rilasciato delle linee guida relative al test proporzionalità che complementano il precedente toolkit in materia di necessità e approfondiscono, con riferimento specifico ai diritti alla privacy e alla protezione dei dati personali, le esistenti indicazioni della Commissione, del Consiglio e dell’Agenzia dell’UE per i diritti fondamentali.
L’EDPS, lo si rammenta, è l’organo che si occupa di garantire che istituzioni e organi dell’UE rispettino il diritto dei cittadini al trattamento riservato dei dati personali.
Tali linee guida si pongono l’obiettivo di orientare il processo legislativo europeo, ogni qualvolta siano proposte misure idonee a limitare i diritti di cui agli art. 7 e 8 della Carta.
Secondo l’EDPS, policymakers e legislatori dell’UE dovrebbero prendere in considerazione la privacy e il diritto alla protezione dei dati personali in ogni iniziativa normativa che possa potenzialmente incidere su essi. Tale esigenza appare particolarmente importante anche in considerazione dei mutamenti tecnologici che consentono, oggi, di trattare estensivamente dati personali, con un impatto significativo sulla vita dei cittadini.
La differenza tra test di necessità e proporzionalità
In primo luogo, è opportuno evidenziare la differenza che intercorre tra necessità e proporzionalità. La distinzione tra tali concetti, infatti, comporta l’esigenza di porre in essere due distinte valutazioni, l’una prodromica all’altra.
Difatti, la valutazione della necessità di una misura normativa costituisce un antecedente rispetto all’accertamento sulla sua proporzionalità. La necessità, infatti, presuppone l’analisi dell’efficacia della misura rispetto all’obiettivo perseguito e la comparazione di essa con altre meno intrusive che potrebbero essere adottate per raggiungere lo stesso risultato.
La proporzionalità in senso stretto, al contrario, è un’analisi in concreto che si sostanzia in un esercizio di bilanciamento tra l’importanza dell’obbiettivo perseguito e l’intensità dell’interferenza con il diritto, alla luce delle salvaguardie volte a minimizzare i rischi per l’individuo e delle misure già esistenti. Il fine ultimo del test di proporzionalità è valutare l’accettabilità della misura normativa.
In tal senso, la valutazione circa la necessità di una misura è una precondizione dell’analisi circa la sua proporzionalità. Conseguentemente, non sarà possibile procedere al giudizio sulla proporzionalità nel caso in cui il test sulla necessità abbia dato esiti negativi.
La checklist del EDPS per policymakers e legislatori dell’UE
L’EDPS, con specifico riferimento alle normative che possano interferire con il diritto alla protezione dei dati personali e alla privacy, propone una checklist di 4 passi per la valutazione della proporzionalità di una proposta normativa.
- Valutazione dell’importanza dell’obbiettivo perseguito e dell’efficacia della misura normativa proposta per raggiungerlo. In tale fase va, innanzitutto, analizzata l’esigenza che sottende l’adozione della misura (il problema che si intende risolvere), l’urgenza del pubblico interesse e il livello della minaccia temuta. Tale analisi deve essere tesa, in primo luogo, a verificare che lo scopo concreto della misura sia speculare alle esigenze che ne giustificano l’adozione. In secondo luogo, si deve prendere in considerazione l’importanza dell’obiettivo e accertare se esso abbia fondamento costituzionale o sia espressione di un diritto fondamentale. Durante tale livello di analisi, inoltre, si dovrebbero valutare le misure già esistenti e, se del caso, la loro efficacia.
- Valutazione dell’interferenza, intesa come impatto della misura normativa proposta sui diritti fondamentali alla privacy e alla protezione dei dati personali. A questo punto, il legislatore è tenuto ad effettuare un’analisi in concreto che prenda in considerazione sia l’individuo che la collettività, tenendo in considerazione anche eventuali esternalità prodotte dalla contrazione del diritto. In particolare, misure che limitino la tutela dei dati personali degli individui ovvero il rispetto della loro vita privata possono generare una sfiducia verso lo Stato ovvero possono avere un impatto su altri diritti personali, come la libertà di espressione. In tema di diritto alla protezione dei dati personali la valutazione circa la serietà dell’interferenza deve tenere in considerazione il numero di individui coinvolti, anche rispetto a soggetti indirettamente colpiti dalla misura, la loro vulnerabilità, nonché la durata della misura e la tipologia di dati coinvolti. Devono, dunque, essere identificati in modo puntuale i limiti all’ambito applicativo della proposta normativa.Allo stesso tempo, è di fondamentale importanza la valutazione circa la natura dell’attività posta in essere e il suo contesto. In particolare, misure che possano potenzialmente comportare la profilazione dell’individuo o l’adozione di decisioni automatiche risulteranno particolarmente intrusive, in considerazione degli effetti sostanziali sulla vita dell’individuo. Questi ultimi devono essere verificati in concreto, rispetto alle tecnologie utilizzate, prendendo in considerazione anche la possibilità di combinare dati diversi e la possibilità di inferirne altri.In tal senso, con riferimento a misure che coinvolgano nuove tecnologie dagli effetti incerti, l’EDPS suggerisce l’adozione del cd. “principio precauzionale”, già adottato in tema di diritto ambientale dalla Commissione.Infatti, secondo l’EDPS, la perdita di privacy si configura come una sorta di “inquinamento dei dati” e, pertanto, richiede un elevato livello di responsabilità nel trovare un adeguato bilanciamento, da parte di chi si faccia pioniere nell’adozione di nuove tecnologie. Conseguentemente, in presenza di esiti incerti, è preferibile che siano adottati strumenti informatici già sperimentati e verificati, soprattutto con riguardo alla loro efficacia.
- Bilanciamento e valutazione della misura normativa proposta e analisi delle conclusioni circa la proporzionalità. Una volta raccolti, nelle prime due fasi, gli elementi necessari per comparare l’importanza e l’efficacia della misura e l’impatto su privacy e protezione dei dati personali, è necessario che il Legislatore proceda al bilanciamento. In tal senso, devono essere prese in considerazione anche le cd. “asimmetrie informative” e, cioè, l’assenza di informazioni rispetto a costi e benefici della misura normativa. Successivamente, dovranno essere messi a confronto vantaggi e benefici della normativa proposta. I risultati del bilanciamento e le conclusioni che da questo sono tratte devono essere documentati e registrati (in particolare, nel “Report on the Proportionality Test”).
- Individuazione e introduzione di correttivi e salvaguardie. Nella quarta e ultima fase è, inoltre, opportuno che il Legislatore introduca correttivi a misure non adeguate o, individui delle salvaguardie efficaci per limitare i rischi. Queste ultime possono essere, ad esempio, l’introduzione di un controllo umano, laddove siano previste misure completamente automatizzate, ovvero l’introduzione di un controllo da parte di autorità indipendenti. Parimenti, si potrà optare per l’introduzione di previsioni che stabiliscano la transitorietà della misura o la sua successiva rivalutazione.
Il test di proporzionalità nella giurisprudenza della Corte di Giustizia
Le linee guida dell’EDPS hanno una valenza non vincolante ma piuttosto di orientamento per le istituzioni dell’UE, al fine di porre in essere una corretta valutazione della proporzionalità e, quindi, il del diritto dell’UE. La proporzionalità, infatti, è requisito necessario per la compatibilità della misura normativa con il diritto dell’UE.
Le linee guida offerte dall’EDPS trovano profonda radice nell’esperienza giurisprudenziale europea. Infatti, nel corso degli ultimi anni, la Corte di Giustizia dell’UE si è più volte trovata a esprimersi sulla proporzionalità di misure limitative del diritto alla privacy e diritto al trattamento dei dati personali.
Sebbene sia pacifico, anche nella giurisprudenza UE, che le regole circa la sicurezza nazionale relative a attività poste in essere dallo Stato stesso non sono sottoposte a tale scrutinio, diversamente si è posto il tema relativamente a quelle misure che impongono obblighi a operatori privati, quali obblighi di conservazione di dati personali.
In tal senso, di importanza fondamentale è la sentenza Digital Rights Ireland (Cause riunite C-293/12 e C-594/12) che ha dichiarato invalida la Direttiva 2006/24/EC sulla conservazione dei dati, proprio in virtù dell’interferenza eccessiva con i diritti fondamentali. In tale sentenza, in particolare, la Corte ha ritenuto che il legislatore europeo avesse superato i limiti imposti dal principio di proporzionalità. Secondo la Corte, l’assenza di limiti circoscritti all’obbligo di conservazione dei dati e di sufficienti garanzie contro il rischio di abusi rendevano la norma in contrasto con i principi fondamentali dell’UE.
In tema di rispetto della proporzionalità, con riferimento alle limitazioni al diritto alla privacy e al trattamento dei dati personali, la Corte di Giustizia si è ripetutamente espressa relativamente all’applicazione dell’art. 15 della direttiva 2002/58/CE che consente agli Stati membri di adottare disposizioni legislative volte a limitare i diritti alla riservatezza e alla protezione dei dati personali, qualora tale restrizione costituisca una misura necessaria, opportuna e proporzionata all’interno di una società democratica per la salvaguardia della sicurezza nazionale, della difesa, della sicurezza pubblica; e la prevenzione, ricerca, accertamento e perseguimento dei reati, ovvero dell’uso non autorizzato del sistema di comunicazione elettronica.
Tali restrizioni possono consistere anche in misure legislative le quali prevedano che i dati siano conservati per un periodo di tempo limitato.
Una delle sentenze più importanti in tal senso è senza dubbio quella resa nel procedimento Tele2 Sverige AB (Causa C-203/2015), cd. “Tele2”, relativa all’obbligo di conservazione generale e indiscriminata di dati di traffico e dati relativi all’ubicazione degli abbonati imposto ai fornitori di servizi di comunicazione elettronica.
Nella sua pronuncia, la Corte di Giustizia esprime l’esigenza di una lettura restrittiva dell’art. 15 della direttiva 2002/58/CE, a tutela dei diritti fondamentali (punto 89).
Nel caso di specie, le misure oggetto di scrutinio sono state considerate non rispettose del principio di proporzionalità, in ragione dell’assenza di sufficiente collegamento tra i dati oggetto dell’obbligo di conservazione e la minaccia alla pubblica sicurezza che ci si proponeva di fronteggiare. Solo l’esigenza di contrastare le più gravi forme di criminalità può, secondo la Corte, giustificare una grave e significativa interferenza con gli art. 7 e 8 della Carta (punto 102). Inoltre, l’assenza di limiti geografici, di tempo o relativi a una determinata cerchia di persone, rende la misura indiscriminata a generalizzata e, dunque, eccessiva rispetto all’obiettivo perseguito e non direttamente connessa a esso (punto 105).
Nella sua valutazione, la Corte prende in considerazione in modo puntuale la gravità dell’interferenza, in particolare, evidenziando come i dati oggetto dell’obbligo di conservazione fossero idonei a consentire di trarre conclusioni molto precise riguardo alla vita privata delle persone, come le abitudini della vita quotidiana, i luoghi di soggiorno, gli spostamenti, le attività svolte, le relazioni sociali di tali persone e gli ambienti sociali da esse frequentati (punti 98 a 100). Allo stesso tempo, la Corte sottolinea come una tale indiscriminata e generalizzata conservazione dei dati relativi al traffico e dei dati relativi all’ubicazione potrebbe anche incidere sull’utilizzazione dei mezzi di comunicazione elettronica e, dunque, sull’esercizio, da parte degli utenti, di tali mezzi della loro libertà di espressione, garantita dall’articolo 11 della Carta (101).
La sentenza Tele2 è utile anche a identificare alcune salvaguardie che una normativa limitativa dei diritti di cui agli art. 7 e 8 della Carta dovrebbe avere per essere considerata rispettosa del principio di proporzionalità (punti da 119 a 123), specialmente rispetto all’accesso.
Una tale misura normativa, per essere proporzionata, dovrebbe, innanzitutto, fondarsi su criteri oggettivi e chiari, idonei a circostanziare il suo ambito di operatività.
In secondo luogo, l’accesso ai dati dovrebbe essere subordinato a un previo controllo da un organo giurisdizionale o amministrativo.
In terzo luogo, il soggetto dovrebbe, salvo casi eccezionali, essere avvisato dell’uso dei suoi dati anche al fine di garantire il suo diritto di ricorso.
Da ultimo, una normativa che imponga elevati tempi di conservazione dovrebbe anche imporre una distruzione immediata allo scadere del termine previsto.
Diversamente, nella sentenza cd. “Ministerio Fiscal”, emessa nell’ambito del procedimento C-207/2016, la Corte ha ritenuto che fosse proporzionata la richiesta da parte della polizia giudiziaria di accedere a dati identificativi associati a una scheda SIM attivata da fornitori di comunicazioni elettroniche nell’ambito di talune indagini relative a un furto (punto 53). In tal senso, in sede di rinvio pregiudiziale, ci si chiedeva se, alla luce della sentenza Tele2, potesse ritenersi proporzionato l’imposizione di accesso a dati personali al fine di contrastare un reato non particolarmente grave (punti da 55 a 57).
In questo caso, l’ingerenza nel diritto di cui all’art. 8 è stata considerata dalla Corte come non seria, atteso che i dati oggetto della misura riguardavano solo dati identificativi, non relativi alle comunicazioni tra privati, e, quindi, non idonei a permettere inferenze sulla vita privata dell’individuo o a profilarlo (punti da 59 a 61). Di conseguenza, secondo la Corte, la misura doveva considerarsi proporzionata, in quanto, qualora l’ingerenza non sia grave, essa può essere giustificata da un obiettivo di prevenzione, ricerca, accertamento e perseguimento di un “reato” in generale (punto 63).
Le recenti opinioni dell’AG
Il 15 gennaio 2020, l’Avvocato Generale Campos Sanchez Bordona, si è di nuovo espresso sul tema in tre opinioni rilasciate su 4 casi (C-623/17, C-511/18, C-512/18, C-520/18), confermando i principi generali espressi nella sentenza Tele 2 sia per quanto concerne il divieto di imporre obblighi di conservazione generale indiscriminata, sia per quanto riguarda i requisiti di proporzionalità relativi all’accesso a tali dati. L’Avvocato Generale, tuttavia, va oltre quanto espresso in Tele2, formulando considerazioni ulteriori particolarmente nell’Opinion sul caso C-520/18.
In primo luogo, l’AG sottolinea come la proporzionalità degli obblighi di conservazione vada valutata separatamente rispetto a quella relativa alle condizioni di accesso da parte delle pubbliche autorità, cosicché non si potrebbe accettare un obbligo di conservazione generale e indiscriminata per il solo fatto che il successivo accesso sia circoscritto e limitato (C- 520/18 punti 75-79).
In secondo luogo, l’AG fa presente che gli obblighi di conservazione dei dati imposti a operatori privati per finalità di sicurezza nazionale o di repressione e perseguimento dei reati non sono da considerarsi di per sé vietati. Dovrebbe potersi ammettere, infatti, un obbligo di conservazione “mirato”. Non è, tuttavia, chiaro cosa debba considerarsi “mirato”, ai fini del rispetto del principio di proporzionalità atteso che obblighi di conservazione mirati a specifiche aree geografiche e o categorie di cittadini sconterebbero, per stessa ammissione dell’Ag dubbi relativi a rischi di discriminazione (C-520/18 punti da 88 a 89).
Per questo, l’AG sembra suggerire la possibilità di ottenere un contemperamento tra sicurezza e protezione della privacy, imponendo obblighi di conservazione temporanea di alcune categorie di dati che nel loro insieme non consentano di ottenere un’immagine precisa e dettagliata delle persone interessate.
Secondo l’AG, per poter perseguire finalità di sicurezza e repressione dei reati, si dovrebbero diversificare il tempo di conservazione di ciascuna categoria, oltre a adottare misure che riducano il potere identifico quali, ad esempio, pseudonimizzazione (C-520/18 punti da 92 a 97).
Sebbene le opinioni spingano sull’esigenza di garantire un’efficacia giuridica, oltre che un’efficacia tecnica, le indicazioni appaiono astratte e, spesso, teoriche soprattutto alle luce dello sviluppo delle tecnologie di big data e della aumentata capacità di inferire dati da altri. Né può prendersi in considerazione il principio esposto dal caso Ministero Fiscal, dove i dati considerati erano particolarmente limitati e strettamente identificativi.
Il problema della proporzionalità di misure che impongo a privati obblighi restrittivi dei diritti fondamentali degli individui rimane, dunque, aperto e da valutarsi di volta in volta in base ad elementi concreti circa la portata applicativa della misura normativa e il suo impatto sulla vita dell’individuo.
Bilanciamento dei diritti e del rispetto del principio di proporzionalità
Lungi dall’essere una questione meramente astratta e dottrinale, il rispetto del principio di proporzionalità e il corretto svolgimento del relativo bilanciamento di interessi, nel contesto dell’adozione di nuove misure normative, assumono un ruolo di centrale importanza nelle democrazie moderne.
Negli ultimi anni, infatti, il crescere di esigenze di tutela della sicurezza nazionale, con particolare riferimento al terrorismo internazionale, e l’avanzamento di moderne tecnologie di sorveglianza hanno spinto i legislatori ad adottare normative restrittive del diritto alla protezione dei dati personali e alla vita privata, ad esempio, mediante l’imposizione di lunghi tempi di conservazione dei dati nel settore delle comunicazioni elettroniche.
Allo stesso tempo, misure limitative del diritto alla privacy sono state sovente proposte per la tutela di altri diritti online e il perseguimento dei reati, anche come antidoto contro un asserito anonimato degli utenti.
Tale misure non sempre prendono debitamente in considerazione il rispetto dei diritti fondamentali alla privacy e alla tutela dei dati personali, essendo spesso trascurata proprio la valutazione circa la loro proporzionalità.
È opportuno ricordare che il diritto alla privacy e il diritto alla tutela dei dati personali sono spesso precondizioni per l’esercizio del diritto alla libertà di espressione. La tutela di tali diritti, infatti, impedisce sovente il verificarsi dei cd. chilling effects ovvero dell’autocensura da parte degli individui.
È, dunque, di tutta evidenza che il diritto alla protezione dei dati, da un lato, e alla riservatezza, dall’altro, non possono essere svuotati nel loro nucleo essenziale da policymaker e legislatori, stante il loro valore fondamentale riconosciuto anche dalle fonti europee e internazionali.
Come sottolineato dall’AG nelle Opinioni sui casi C-511/18 e C-512/18, un equilibrio è certamente necessario. Da un lato, è infatti importante assicurare la sicurezza nazionale, condizione essenziale per l’esercizio dei diritti. Dall’altro tale interesse deve essere soddisfatto in modo da non attribuire allo stato strumenti per il perseguimento dei reati tanto intrusivi da prestarsi a azione incontrollata e libera, tale da poter pregiudicare le libertà dei cittadini.
Il corretto svolgimento di un test di proporzionalità, dunque, è un’esigenza fondamentale per il rispetto dei principi democratici. Le linee guida dell’EDPS sono, dunque, un documento di estremo interesse che si spera possa non soltanto guidare le istituzioni europee ma anche ispirare i singoli Stati membri.
