II.Osservazioni generali e questioni di natura politica
II.1. Breve excursus
Per qualsiasi informazione inerente i prezzi o le modalità di effettuazione del servizio, contatta l'agente di zona oppure scrivi a info@entionline.it
o telefona allo 030/2531939.
Linee guida sul processo decisionale automatizzato relativo alle persone fisiche e sulla profilazione ai fini del regolamento 2016/679 adottate il 3 ottobre 2017 Versione emendata e adottata in data 6 febbraio 2018
ALLEGATO 3 - Approfondimenti - Parere 6/2014 sul concetto di interesse legittimo del responsabile del trattamento ai sensi dell’articolo 7 della direttiva95/46/CE
GRUPPO DI LAVORO ARTICOLO 29 PER LA PROTEZIONE DEI DATI
844/14/IT
WP217
I.1. Breve excursus
Il presente excursus si concentra sul modo in cui sono stati sviluppati il concetto di liceità e i fondamenti giuridici che legittimano il trattamento.Spiega in particolare come la necessità di una base giuridicasia stata inizialmente utilizzata come obbligo nell’ambito delle deroghe aidirittialla tutela della vita privatae successivamente sia diventata una prescrizione a se stante nell’ambito della protezione dei dati.
Convenzione europea dei diritti dell’uomo (“CEDU”)
L’articolo 8 della Convenzione europea dei diritti dell’uomo, adottata nel 1950,incorporail diritto alla tutela della vita privata, ossia il diritto di ogni persona al rispetto della propria vita privata e familiare,del proprio domicilio e della propria corrispondenza. Vieta qualsiasi ingerenza nell’esercizio di tale diritto a meno che sia “prevista dalla legge”e costituisca una misura che, “in una società democratica, è necessaria” a soddisfare talune esigenze imperative, espressamente elencate, che perseguono un obiettivo di interesse generale.L’articolo 8 della CEDU si concentra sullatutela della vita privata e stabilisce che qualsiasi ingerenza nell’esercizio di tale dirittodeve esseregiustificata. Tale approccio si basa su un divieto generale di ingerenza nel diritto alla tutela della vita privata e prevede deroghe solo a condizioni rigorosamente definite. Nei casi di“ingerenza nella vita privata”occorre indicare una base giuridicanonché precisare un finelegittimo quale requisito per valutare la necessità dell’ingerenza.Da questo approccio si evince che la CEDU non fornisce un elenco dei possibili criteri di liceità, ma si concentra sulla necessità di una base giuridica e sulle condizioni che tale base giuridica deve soddisfare.
Convenzionen.108
La Convenzione n.108 del Consiglio d’Europa10, aperta alla firma nel1981, introducela protezione dei dati personali come concetto separato.L’idea sottesa all’epoca non era che il trattamento dei dati personali dovesse essere sempre considerato come una “ingerenzanella vita privata”, bensì che per proteggerei diritti e le libertà fondamentali di ogni persona, e in particolare il diritto di ognuno alla tutela della vita privata, il trattamento dei dati personali dovesse sempre soddisfare determinate condizioni. L’articolo5 stabilisce pertanto i principi fondamentali della normativa in materia di protezione dei dati, compreso il requisito secondo cui “i dati a carattere personale oggetto di elaborazione automatica devono essere: (a) ottenuti ed elaborati lealmente e legalmente”. Tuttavia, la Convenzione non stabilisce criteri di liceità del trattamento dettagliati11
Linee guida dell’OCSE12
Le linee guida dell’OCSE, elaborate contestualmente alla Convenzione n.108 e adottate nel 1980, condividono analoghe idee di “liceità”, anche se il concetto è espresso in maniera differente. Le linee guida sono state aggiornate nel 2013, senza apportare modifiche sostanziali al principio di liceità. L’articolo7 delle lineeguida dell’OCSE stabilisce in particolare che “devono esistere limiti alla raccolta di dati personali e che tali dati devono essere ottenuti lealmente e lecitamentee, ove opportuno, con la conoscenza o il consenso dell’interessato”.In questo caso il fondamento giuridico del consenso è espressamente indicato come un’opzione, da utilizzare “ove opportuno”. A tal fine sarà necessario esaminare gli interessi e i diritti in gioco nonché valutare il livello di invasività del trattamento. Inquesto senso l’approccio dell’OCSE mostra alcune analogie con i criteri, molto più elaborati, definiti nella direttiva95/46/CE.Direttiva95/46/CEQuando è stata adottata nel1995, la direttiva si basava su precedenti strumenti di protezione dei dati, compresa la Convenzione n.108 e le linee guida dell’OCSE. Si era tenuto conto anche della precedente esperienza in materia di protezione dei dati in alcuni Stati membri.Oltre al più ampio requisito enunciato all’articolo 6, paragrafo 1, lettera a), secondo cui i dati personali devono essere tratti “lealmente e lecitamente”, la direttiva ha aggiunto un insieme specifico di requisiti aggiuntivi,non ancora presenti in quanto tali né nella Convenzione n.108 né nelle linee guida dell’OCSE: il trattamento dei dati personali deve basarsi su uno dei sei fondamenti giuridici indicati all’articolo 7.
Attuazione della direttiva;la sentenza ASNEF e FECEMD13
La relazione della Commissione intitolata “Evaluation of the implementation of the Data Protection Directive”(Valutazione dell’attuazione della direttiva sulla protezione dei dati)14sottolinea che il recepimento delle disposizioni della direttiva negli ordinamenti nazionali è stato talvolta insoddisfacente. Nell’analisi tecnica della trasposizione della direttiva negli Stati membri15, la Commissione fornisce ulteriori dettagli sull’attuazione dell’articolo 7. L’analisi spiega che, benché nella maggior parte degli Stati membri le disposizioni nazionali enuncino i sei fondamenti giuridici in termini relativamente simili a quelli utilizzati nella direttiva, di fatto la flessibilità di tali principi ha dato luogo a divergenze di applicazione.In tale contesto, riveste particolare importanza il fatto che, nella sentenza ASNEF e FECEMDdel 24novembre2011, la CGUEabbia stabilito che laSpagna non aveva recepito correttamente l’articolo 7, lettera f), della direttiva, richiedendo che, in assenza del consenso della persona interessata, tutti i dati pertinenti utilizzati figurino in fonti accessibili al pubblico.La sentenza ha inoltre stabilito che l’articolo 7, letteraf), ha effetto diretto. La sentenza limita il margine discrezionale di cui dispongono gli Stati membri nell’applicazione dell’articolo 7, lettera f). In particolare, gli Stati membri non devono oltrepassare la sottile lineadi confine tra la precisazione, da un lato, e l’imposizione di requisiti supplementari, che modificherebbero la portatadell’articolo 7, lettera f), dall’altro. Chiarendo che nei loro ordinamenti nazionali gli Stati membri non possono prevedere restrizioni e requisiti supplementari unilaterali riguardo ai fondamenti giuridici per il trattamento legittimo dei dati, la sentenza ha conseguenze considerevoli.I tribunali nazionali e gli altri organismi competenti devono interpretare le disposizioni nazionali alla luce di questa sentenza disapplicando, se necessario, tutte le norme e le pratiche nazionali contrastanti.Alla luce della sentenza, è ancora più importante che le autorità nazionali di protezione dei dati e/o i legislatori europei giungano a un’interpretazione chiara e comune sull’applicabilità dell’articolo 7, lettera f). Tale obiettivo deve essere raggiunto in maniera equilibrata, senza limitare o ampliare indebitamente il campo di applicazione di questa disposizione.
La Carta dei diritti fondamentali
Da quando il trattato di Lisbona è entrato in vigore il 1°dicembre 2009, la Carta dei diritti fondamentali dell’Unione europea (la “Carta”) ha “lo stesso valore giuridico dei trattati”16.La Carta sancisce la protezione dei dati personali all’articolo 8 quale diritto fondamentale distinto dal rispetto della vita privata e della vita familiare di cui all’articolo 7. L’articolo8 fissa l’obbligo di trattare i dati personali sulla base di un fondamento legittimo. In particolare, stabilisce che i dati personali devono essere trattati “in base al consenso della persona interessata o a un altro fondamento legittimo previsto dalla legge”17.Queste disposizioni rafforzano sia l’importanza del principio della liceità che la necessità di una base giuridica adeguata per il trattamento dei dati personali.
La proposta di regolamento sulla protezione dei dati
Nell’ambito del processo di revisionedel quadro giuridico dell’UE sullaprotezione dei dati, il campo di applicazione dei criteri di liceità del trattamento di cui all’articolo 7 e, in particolare, la portatadell’articolo 7, lettera f), sono attualmente oggetto di discussione.L’articolo 6 della proposta di regolamento elenca i fondamenti che legittimano il trattamento dei dati personali. Con alcune eccezioni(come sarà illustrato più avanti), i sei fondamenti disponibili rimangono sostanzialmente invariati rispetto a quelli attualmente enunciati all’articolo 7 della direttiva. La Commissione ha tuttavia proposto di fornire ulteriori indicazioni sotto forma diatti delegati.È interessante osservare che, nell’ambito del lavoro svolto in seno alla competente commissione del Parlamento europeo18, sono stati compiuti tentativi per chiarire il concetto di interesse legittimo nella proposta di regolamento stessa. Sonostatiredattiun elenco di casi in cui l’interesse legittimodel responsabile del trattamento prevarrebbe, di regola, sugli interessi legittimi esui diritti e sulle libertà fondamentali dell’interessato e un secondoelenco di casi in cui gli interessi legittimi ei dirittie le libertàfondamentali dell’interessato prevarrebbero, di norma, sull’interesse legittimo del responsabile del trattamento. Tali elenchi,redatti nelle disposizioni o nei considerando,forniscono un importante contributo alla valutazione dell’equilibrio tra i diritti e gli interessi del responsabile del trattamento edell’interessato e sono presi in considerazione nel presente parere19
________
9 Tra questi figurano il parere 3/2013 sul principio di limitazione delle finalità, adottato il 3 aprile 2013 (WP203), il parere 15/2011 sulla definizione di consenso, adottato il 13 luglio 2011 (WP 187), citato alla nota a piè di pagina 2, il parere 8/2010 sul diritto applicabile, adottato il 16dicembre 2010 (WP 179) e il parere 1/2010 sui concetti di “responsabile del trattamento” e “incaricato del trattamento”, adottato il 16 febbraio 2010 (WP169).
10 Convenzione n.108 sulla protezione delle persone rispetto al trattamento automatizzato di dati a carattere personale.
11 Il progetto di testo della Convenzione modernizzata adottato dalla riunione plenaria del comitato consultivo T-PD del novembre 2012 afferma che i dati a carattere personale possono essere trattati in base al consenso della persona interessata o a “un altro fondamento legittimo previsto dalla legge”, analogamente a quanto prescritto dalla Carta dei diritti fondamentali dell’Unione europea citata di seguito a pagina 9.
12 Linee guida dell’OCSE sulla protezione della vita privata e dei flussi transfrontalieri di dati personali, 11luglio2013.13 Corte di giustiziadell’Unione europea, sentenza 24 novembre 2011, cause riunite C-468/10 e C-469/10 (ASNEF e FECEMD).
14 Cfr. l’allegato 2 alla valutazione d’impatto che accompagna il pacchetto di riforma della protezione dei dati della Commissione europea, citato nella precedente nota a piè di pagina 6.
15“Analysis and impact study on the implementation of Directive EC 95/46 in Member States” (Analisi e studio d’impatto sull’attuazione della direttiva 95/46/CE negli Stati membri). Cfr. http://ec.europa.eu/justice/policies/privacy/docs/lawreport/consultation/technical-annex_en.pdf.16Cfr. l’articolo 6, paragrafo 1, del TUE
17 Cfr. l’articolo 8, paragrafo 2, della Carta.
18 Progetto di relazione della commissione per le libertà civili, la giustizia e gli affari interni (LIBE) sulla proposta di regolamento del Parlamento europeo e del Consiglio concernente la tutela delle persone fisiche con riguardo al trattamento dei dati personali e la libera circolazione di tali dati (regolamento generale sulla protezione dei dati), (COM(2012)0011 –C7-0025/2012 –2012/0011(COD)), datato 16gennaio 2013 (“progetto di relazione della commissione LIBE”). Cfr., in particolare, gli emendamenti 101 e 102 nonché gli emendamenti adottati dalla commissione il 21ottobre 2013 nella sua relazione finale (“relazione finale della commissione LIBE”).1
9 Cfr. la sezione III.3.1, in particolare i punti a pag. 29,contenenti un elenco non esaustivo di alcuni degli ambiti più comuni in cui può porsila questione dell’interesse legittimo ai sensi dell’articolo 7, lettera f).
Fonte: Garante per la Protezione dei dati - GRUPPO DI LAVORO ARTICOLO 29 PER LA PROTEZIONE DEI DATI - Linee guida sul processo decisionale automatizzato relativo alle persone fisiche e sulla profilazione ai fini del regolamento 2016/679
LINK: https://ec.europa.eu/newsroom/article29/item-detail.cfm?item_id=622227