La protezione dei dati personali in virtù dell’art. 8 della CEDU si riflette nell’interpretazione che la Corte Europea dei Diritti dell’Uomo dà al concetto di “vita privata”. Questa norma non menziona esplicitamente i dati personali, ma la Corte ha riconosciuto ripetutamente che la raccolta, la conservazione, l’uso e la divulgazione di dati personali rientrano nell’ambito di protezione della vita privata e familiare.
Principi chiave relativi alla protezione dei dati personali previsti dall’art. 8 CEDU
- Rilevanza e necessità: la Corte ha stabilito che qualsiasi raccolta e conservazione di dati personali da parte delle autorità deve essere rilevante e non eccessiva rispetto agli scopi per cui sono raccolti e conservati. Inoltre, deve essere considerata necessaria in una società democratica, cioè giustificata da un bisogno sociale urgente e proporzionata all’obiettivo legittimo perseguito.
- Legalità: ogni interferenza con il diritto alla vita privata, compresa la raccolta di dati personali, deve avere una base legale chiara e precisa. Ciò significa che deve esserci una legge che autorizzi specificamente tale interferenza e che fornisca garanzie adeguate contro gli abusi.
- Sicurezza dei dati: la Corte ha sottolineato l’importanza di proteggere i dati personali da accessi e usi non autorizzati. Le autorità devono adottare misure tecniche e organizzative adeguate a garantire la sicurezza dei dati.
- Accesso e rettifica: gli individui dovrebbero avere il diritto di accedere ai dati raccolti su di loro e di ottenere la rettifica di dati inesatti o l’eliminazione di dati non più necessari per gli scopi per cui sono stati raccolti.
- Decisioni automatizzate: la Corte ha affrontato anche la questione delle decisioni prese sulla base di elaborazioni automatiche di dati personali, sottolineando che tali pratiche richiedono garanzie adeguate a proteggere i diritti e le libertà degli individui.
Leading Case
Marper c. Regno Unito (2008): Questo caso è emblematico per la sua enfasi sulla necessità di bilanciare l’interesse pubblico nella conservazione dei profili del DNA e delle impronte digitali con il diritto alla privacy. La Corte ha giudicato che la conservazione indefinita di tali dati di persone non condannate costituisse una violazione dell’art. 8 CEDU.
Delfi AS c. Estonia (2015): Anche se maggiormente legato alla libertà di espressione, questo caso tocca la gestione dei dati personali online, ponendo l’accento sulla responsabilità delle piattaforme online riguardo ai commenti degli utenti.
Bărbulescu c. Romania (Grande Camera- 2017): La Corte ha esaminato la questione del monitoraggio delle comunicazioni elettroniche dei dipendenti, evidenziando la necessità di bilanciare il diritto alla privacy dei dipendenti con gli interessi legittimi del datore di lavoro.
Attraverso queste e altre sentenze, la Corte ha elaborato una giurisprudenza rafforzativa circa la protezione dei dati personali come componente fondamentale del diritto al rispetto della vita privata e familiare, ponendo le basi per la loro protezione contro usi impropri e interferenze ingiustificate.
Jehovah’s Witnesses c. Finlandia (2023)
Nel caso di specie, la Corte Europea dei Diritti dell’Uomo ha esaminato l’obbligo per i Testimoni di Geova di ottenere il consenso quando raccoglievano dati personali durante la predicazione porta a porta. La questione centrale riguardava il conflitto tra la libertà di religione (Art. 9 CEDU) e la protezione dei dati personali degli individui. La Corte ha concluso che non vi era stata violazione dell’Art. 9, poiché le autorità nazionali avevano equilibrato correttamente la libertà di religione con i diritti alla privacy, stabilendo che il requisito del consenso era necessario per prevenire la divulgazione non autorizzata di dati personali e sensibili.
Drelon c. Francia (2022)
Il caso riguardava la raccolta e la conservazione dei dati personali di un individuo da parte del servizio francese di donazione del sangue, che riflettevano l’orientamento sessuale presunto del donatore. La Corte ha trovato che ciò costituiva un’interferenza con il diritto al rispetto della vita privata, sottolineando. che, sebbene la raccolta di dati potesse avere una base legale per garantire la sicurezza del sangue donato, era fondamentale che i dati sensibili fossero accurati, aggiornati, pertinenti e non eccessivi rispetto agli obiettivi perseguiti. La Corte ha criticato il periodo di conservazione eccessivamente lungo dei dati, considerandolo potenzialmente dannoso per il ricorrente.
Uzun c. Germania ( 2010)
In questo caso, la sorveglianza di un individuo tramite GPS è stata ritenuta non violare l’Art. 8, poiché perseguiva fini legittimi di sicurezza nazionale e prevenzione del crimine, ed era stata considerata proporzionata. La decisione ha sottolineato che, anche nell’era della sorveglianza tecnologicamente avanzata, è fondamentale mantenere un equilibrio tra le misure di sorveglianza e i diritti alla privacy, assicurando che tali misure siano giustificate, limitate nel tempo, e non costituiscano una sorveglianza totale e onnicomprensiva.
Godelli c. Italia (2012)
Nel caso di specie, la Corte Europea dei Diritti dell’Uomo ha evidenziato un conflitto tra il diritto alla privacy della madre biologica, che ha scelto di rimanere anonima, e il diritto fondamentale del bambino, nato e successivamente adottato, di scoprire le proprie radici biologiche. La Corte ha stabilito che la legge italiana, sul punto, non avesse fornito un equilibrio giusto tra questi interessi contrastanti, violando l’art. 8 CEDU. I giudici avevano sottolineato il diritto di ciascun individuo di ricercare la propria identità, un aspetto fondamentale per il pieno sviluppo personale e per l’integrità della persona umana.
Big Brother Watch e a. c. Regno Unito (2021)
Il caso giudicato dalla Grande Camera nel 2021, riguardava le rivelazioni di Edward Snowden su programmi di sorveglianza e condivisione di intelligence tra USA e Regno Unito. Le denunce provenivano da giornalisti e organizzazioni per i diritti umani su tre regimi di sorveglianza: (1) l’intercettazione di massa delle comunicazioni; (2) la ricezione di materiale di intercettazione da governi e agenzie di intelligence straniere; (3) l’ottenimento di dati di comunicazione dai fornitori di servizi di comunicazione.
La Corte ha stabilito:
- la violazione all’art. 8 CEDU per quanto riguarda il regime di intercettazione di massa e il regime di ottenimento di dati di comunicazione dai fornitori di servizi.
- la violazione dell’Art. 10 (libertà di espressione) relativa sia al regime di intercettazione di massa sia al regime per ottenere dati di comunicazione dai fornitori di servizi.
La Corte ha sottolineato che un regime di intercettazione di massa, di per sé, non viola la Convenzione, ma deve essere accompagnato da misure adeguate a ogni fase del processo per garantire la necessità e la proporzionalità.
Volume consigliato
Formulario commentato della privacy
La normativa di riferimento viene commentata e analizzata, con un taglio che rende il volume un valido strumento pratico per il Professionista che si occupa di privacy.
L’analisi delle ricadute operative della normativa è integrata dalle specifiche formule correlate; questa combinazione costituisce il valore aggiunto dell’opera che ben può aspirare a diventare un riferimento per gli operatori del settore.
Giuseppe Cassano
Direttore del Dipartimento di Scienze Giuridiche della European School of Economics della sede di Roma e Milano, ha insegnato Istituzioni di Diritto Privato nell’Università Luiss di Roma. Avvocato cassazionista. Studioso dei diritti della persona, del diritto di famiglia, della responsabilità civile e del diritto di Internet, ha pubblicato oltre trecento contributi in tema, fra volumi, trattati, voci enciclopediche, note e saggi.
Enzo Maria Tripodi
attualmente all’Ufficio legale e al Servizio DPO di Unioncamere, è un giurista specializzato nella disciplina della distribuzione commerciale, nella contrattualistica d’impresa, nel diritto delle nuove tecnologie e della privacy, nonché nelle tematiche attinenti la tutela dei consumatori. È stato docente della LUISS Business School e Professore a contratto di Diritto Privato presso la facoltà di Economia della Luiss-Guido Carli. Ha insegnato in numerosi Master post laurea ed è autore di oltre quaranta monografie con le più importanti case editrici.
Cristian Ercolano
Partner presso Theorema Srl - Consulenti di direzione, con sede a Roma; giurista con circa 20 anni di esperienza nell’applicazione della normativa in materia di protezione dei dati personali e più in generale sui temi della compliance e sostenibilità. Ricopre incarichi di Responsabile della Protezione dei Dati, Organismo di Vigilanza e Organismo Indipendente di Valutazione della performance presso realtà private e pubbliche. Autore di numerosi contributi per trattati, opere collettanee e riviste specialistiche sia tradizionali che digitali, svolge continuativamente attività didattica, di divulgazione ed orientamento nelle materie di competenza.
