Teutas - Diritto & Tecnologia

1. Evoluzione storica del concetto di privacy. 2. Il quadro normativo di riferimento. 2. 1. La convenzione di Strasburgo n. 108/1981 2.2. La normativa comunitaria: la direttive n. 95/46/CE ("direttiva madre") 2.2.1. …Segue la n. 2002/58/CE ("e-privacy"). 2.3. La tutela della privacy e dei dati personali nella Carta dei diritti fondamentali dell'Unione Europea (Nizza 2000). 2.4. La direttiva n. 2006/24/CE sulla conservazione dei dati di traffico ("data retention").


1. Evoluzione storica del concetto di privacy.

L'inizio del dibattito giuridico intorno all'esistenza di un autonomo diritto alla privacy viene fatto risalire alla fine dell'ottocento nell'ambito della dottrina statunitense, in seguito alla pubblicazione sulla Harvard Law Review di un articolo di S.Warren e L. Bandeis dal titolo "The right to privacy"[1]. Il suo contenuto all'epoca coincideva con quella che in seguito sarebbe diventata la sua componente essenziale, ma non unica: il diritto ad essere lasciati in pace, ossia la pretesa a mantenere il riserbo sulla propria sfera privata contro ingerenze esterne (pubbliche o private). La portata innovativa di questa prima elaborazione concettuale sta nell'aver attribuito alla privacy la consistenza di un vero e proprio diritto della personalità, risarcibile in caso di lesione[2].

Da allora il concetto di privacy ha subito una profonda evoluzione, dovuta a molti fattori di natura economica e sociale, ma soprattutto all'avvento dell'informatica nella vita quotidiana e allo sviluppo repentino della tecnologia. Lo sviluppo di tecniche di raccolta e gestione computerizzata delle informazioni personali hanno permesso una progressiva invasione della sfera privata dell'individuo, divenendo sempre più spesso anche strumento di controllo sociale: da qui la necessità di veder garantito il fondamentale diritto all'autodeterminazione informativa, ovvero il diritto ad effettuare le proprie scelte di vita con consapevolezza, senza condizionamenti e discriminazioni[3].

All'inizio degli ani '70, infatti, la creazione delle prime banche dati e l'uso della tecnologia informatica nella raccolta e gestione dei dati personali ha fatto acquisire la consapevolezza che i mezzi resi disponibili dal progresso tecnologico se, da un lato, assicuravano vantaggi in termini di semplificazione ed efficienza dell'attività amministrativa, dall'altro, ponevano nuovi problemi per i pericoli alla tutela della vita privata dei cittadini. Da qui la necessità di predisporre a livello normativo un adeguato sistema di garanzie in relazione alla raccolta e all'uso di dati personali[4]. In particolare a seguito dell'avvento della tecnologia informatica, il problema del flusso internazionale dei dati personali richiede un bilanciamento tra due opposte esigenze, la protezione della vita privata e la libertà di informazione. Lo sviluppo della telematica ha trasformato quello che era un problema d'elite in un problema di massa, portando il tema della tutela della vita privata al centro dell'attenzione delle moderne società[5]. L'esigenza di trasparenza propria della c.d. Società dell'Informazione, che implica che i dati personali riferiti a ciascuno siano acquisiti e organizzati da altri soggettiva ha fatto emergere la necessità, da un lato, di un maggior controllo sulle inevitabili attività di raccolta e di uso delle informazioni, dall'altro, di una puntuale disciplina delle relative modalità e delle procedure di elaborazione, affinché si eviti - o almeno si riduca al minimo- il rischio che delle informazioni raccolte si facciano usi impropri, producendo nuove modalità di lesione della privacy.

A tal fine è bene tenere in considerazione che il concetto di privacy, pur potendosi ricondurre a un concetto unitario, è caratterizzato da molteplici sfaccettature: dall'aspetto più tradizionale, classico, di segretezza sulle proprie vicende personali a quello più dinamico, attivo, tipico della società della comunicazione, di potere di scelta e controllo sull'uso che viene fatto delle proprie informazioni nonché di quelle che invadono la propria sfera privata e influenzano la personalità.

Garantendo la tutela della privacy e in particolare dell'"integrità personale" di un soggetto si tutela, quindi, il suo diritto di sviluppare liberamente la propria personalità, condizione indispensabile per l'esercizio di altri diritti fondamentali.



2. Il quadro normativo di riferimento.

La disciplina giuridica vigente in materia è costituita da un insieme di disposizioni contenute in fonti normative che operano a più livelli. Sul piano internazionale è bene in questa sede ricordare, prima fra tutte, la Convenzione Europea Sui Diritti dell'Uomo del '50, che all'art. 8 riconosce ad ogni persona il diritto al rispetto della sua vita privata e familiare[6]; un altro riferimento a livello mondiale è fornito dall'art 17 del Patto Internazionale relativo ai diritti civili e politici delle Nazioni Unite sottoscritto a New York nel 1966 e contenente importanti elementi a difesa della personalità[7]. Ma è con la Convenzione di Strasburgo n. 108 dell'81 "sulla protezione delle persone rispetto al trattamento automatizzato di dati di carattere personale" che si ha il primo documento specificamente dedicato al tema in esame (si veda paragrafo successivo); in seguito la Direttiva n. 95/46/CE ha tracciato i principi fondamentali in materia di "tutela delle persone fisiche con riguardo al trattamento dei dati personali, nonché alla libera circolazione di tali dati"; una valenza costituzionale agli interessi in esame è stata fornita dalla Carta dei diritti fondamentali dell'UE di Nizza del 2000, che dedica due articoli "al rispetto della vita privata e familiare" (art 7) e alla "protezione dei dati di carattere personale" (art. 8). In seguito, con la Direttiva n. 2002/58/CE "relativa al trattamento dei dati personali e alla tutela della vita privata nel settore delle comunicazioni elettroniche", il legislatore comunitario ha inteso armonizzare le disposizioni degli Stati membri e assicurare al loro interno un livello equivalente di tutela del diritto alla vita privata[8]. Più recentemente la direttiva n. 2006/24/CE, modificando quest'ultima, ha introdotto nuovi obblighi di conservazione dei dati di traffico.



2. 1. La convenzione di Strasburgo n. 108/1981

C'è chi ha ravvisato nel concetto di privacy almeno cinque componenti, complementari tra loro: oltre alla pretesa ad essere lasciti in pace, a non essere soggetti a costante sorveglianza e a quella relativa alla segretezza delle comunicazioni, sarebbe individuabile un diritto all'anonimato (ossia a non lasciar tracce, affinché i propri dati non vengano incrociati per profilazioni di tipo economico-sociale), un diritto a controllare il flusso dei propri dati – il preaccennato diritto all'autodeterminazione informativa – e infine il diritto di scelta sui propri comportamenti e sulle proprie decisioni. Una tutela adeguata della privacy non potrebbe prescindere dalla considerazione di tutti questi aspetti[9].

La dottrina europea, in realtà, ha ricostruito il diritto alla riservatezza soprattutto come diritto al controllo sui dati personali, focalizzando, quindi, l'attenzione su un aspetto, forse il più importante ma non unico, della privacy[10]: dal momento in cui la gestione computerizzata dei dati ha aumentato la quantità di informazioni disponibili la privacy si è, infatti, trasformata in primo luogo in un problema di tutela dei dati personali[11].

Questa tendenza ha trovato espressione nella Convenzione di Strasburgo n. 108 del 28 febbraio 1981 "Sulla protezione delle persone rispetto al trattamento automatizzato di dati personali", promossa dal Consiglio d'Europa ed avente il carattere e l'obbligatorietà di un accordo internazionale; ad essa ha fatto seguito la Direttiva del Parlamento europeo e del Consiglio n. 95/46/CE, che riprendendo i principi della Convenzione ha introdotto un più complesso sistema di garanzia dei dati personali, anche per i trattamenti non automatizzati.

La Convenzione rimane ancor oggi uno strumento giuridico fondamentale in materia, anche in considerazione del fatto che, diversamente dalle altre convenzioni del Consiglio d'Europa, questa è definita aperta a qualsiasi altro Stato, anche non membro del Consiglio d'Europa, dietro invito di adesione del Comitato dei Ministri.

Nel Preambolo è sancito il principio secondo cui la libera circolazione delle informazioni tra i popoli non può prescindere dalla tutela dei diritti e delle libertà fondamentali di ciascuno e in particolare dal diritto al rispetto della vita privata. La finalità della Convenzione, indicata all'art 1, è quella di garantire la protezione degli individui senza considerazione di frontiere, a prescindere, dalla loro cittadinanza o residenza[12], nei confronti dell'elaborazione automatica dei dati che li riguardano. La sua applicazione è espressamente indirizzata alle persone fisiche e all'elaborazione automatica di dati (in ambito pubblico o privato)[13] e impegna gli Stati ad adottare provvedimenti in materia idonei a rendere operanti i principi fondamentali che costituiscono il "nocciolo duro" (common core). La Convenzione non è uno strumento "self-executing", immediatamente esecutivo, ma vincola le Parti a conformare le normative nazionali ai principi fondamentali in essa contenuti, che necessitano di adeguate misure per essere attuati[14]. Tali misure, ex art 22, devono essere adottate al momento della ratifica o al più tardi al momento in cui la Convenzione entri in vigore per ciascuno Stato[15].

In essa si rinvengono i principi base per la legittimità del trattamento. In particolare, in base al criterio di "legalità" gli scopi del trattamento devono essere legittimi e i dati – esatti e aggiornati – devono essere trattati secondo le prescrizioni di legge[16]. Altro principio fondamentale è quello che vieta l'elaborazione automatica di alcuni tipi di dati, noti come dati 'sensibili', ed offre una risposta ai crescenti timori di indiscriminate schedature degli aspetti più intimi delle persone o di atteggiamenti discriminatori fondati su tali dati "caratterizzanti": si tratta, nell'elencazione offerta dall'art 6, delle informazioni capaci di rivelare l'origine razziale[17], le opinioni politiche, le convinzioni religiose, lo stato di salute, la vita sessuale o relative alle condanne penali. Il divieto generale di sottoporre tali dati a elaborazione – le eventuali inesattezze possono comportare maggiori rischi per la tutela degli individui – nella necessità di garantire la libera circolazione delle informazioni purché nel rispetto della vita privata, può venir meno a patto che "il diritto interno preveda garanzie appropriate", ossia purché i trattamenti di dati sensibili siano contenuti e controllati attraverso strumenti appositi[18]; saranno i legislatori nazionali a scegliere le misure più opportune [19], che possono consistere nel consenso espresso dell'interessato, nella sola forma anonima per fini statistici, oppure nell'autorizzazione preliminare di un autorizzazione di controllo. Un altro principio (art 7) che non sembra essere in alcun modo derogabile è quello relativo alle "misure di sicurezza" che devono essere adottate per evitare la distruzione, la perdita o l'accesso non autorizzati dei dati: si tratta di un dovere degli Stati di sancire un obbligo per i responsabili del trattamento che dovranno adottare delle garanzie adeguate al tipo di trattamento, al livello del rischio e dello stato delle conoscenze informatiche. All'interessato, cui si riferiscono i dati è riconosciuta una serie di diritti (art 8), che vanno dal diritto di accesso ai propri dati[20] al diritto di rettifica e aggiornamento di dati inesatti a quello di cancellazione dei dati elaborati in violazione di legge. Tra questi ultimi devono farsi rientrare secondo parte della dottrina[21] anche i dati non più utili ai fini dell'elaborazione, nel rispetto del principio di "finalità limitata" e a tutela di quello che è stato definito il diritto all'oblio dell'interessato[22] e da cui molte legislazioni nazionali hanno fatto discendere il criterio della conservazione dei dati limitata nel tempo a quanto strettamente necessario[23].

Per rendere questi diritti effettivamente attuabili si riconosce agli interessati la possibilità di esperire un'azione amministrativa o giudiziaria (art 8, l. d) - ad esempio nel caso di inerzia del responsabile del trattamento di fronte a una richiesta dell'interessato.

Anche se soggetta a una disciplina piuttosto rigida, la Convenzione prevede una serie di deroghe ai principi sopra descritti che consentono agli Stati di attenuare alcuni obblighi o di limitare i diritti, purché sia necessario in una società democratica a tutelare interessi rilevanti dello Stato (sicurezza dello Stato, sicurezza pubblica, repressione dei reati, interessi monetari statali) o del soggetto cui i dati si riferiscono o ancora di diritti e libertà altrui; le deroghe devono essere contenute in atti di rango legislativo. L'art 11 contiene un importante criterio interpretativo dei principi indicati al Capitolo I della Convenzione, i quali non devono limitare la facoltà delle Parti di riconoscere agli interessati una protezione più ampia di quella assicurata dall'Accordo: la Convenzione, dunque, individua un "denominatore comune minimo"[24].

Uno dei profili principali della Convenzione è dato dalla libera circolazione oltre frontiera dei dati personali: a tal fine è fatto divieto agli Stati di proibire o condizionare ad autorizzazione preliminare tale flusso per esigenze di tutela della vita privata (è consentito invece per finalità di protezione dell'ordine o di sicurezza pubblica) e riguarda il trasferimento di qualsiasi categoria di dati personali a prescindere dal supporto utilizzato. La disciplina riguarda il trasferimento sia telematico che fisico oltre frontiera e viene espressamente menzionata anche la semplice raccolta di dati destinati all'elaborazione automatizzata per evitare il fenomeno dell'esportazione di dati verso i cd "paradisi informatici"[25].

E' prevista comunque la facoltà di deroga al libero flusso di informazioni, sia nel caso in cui il diritto interno di uno Stato contenga una disciplina particolare per alcune categorie di dati (ad es. sensibili) o per determinati settori (Telecomunicazioni, direct marketing), sia nel caso in cui lo Stato destinatario non fornisca una protezione equivalente: il grado di tutela equivalente fornita dipende dal livello di rigorosità delle singole legislazioni interne del Paese importatore. La facoltà per il singolo legislatore di estendere la deroga riguarda anche l'ipotesi in cui il flusso di dati sia diretto apparentemente verso una Parte che costituisce in realtà un tramite per esportare i dati in un Paese terzo non contraente e sia diretto ad eludere la disciplina dello Stato di partenza[26].

In realtà quest'ultima previsione è l'unica restrizione prevista nella Convenzione al trasferimento di dati verso Paesi non contraenti: diversamente, la direttiva 95/46 contiene una disciplina più rigorosa sul punto, in quanto impone agli Stati membri di disciplinare anche il trasferimento dei dati extra -UE[27]. La Convenzione di Strasburgo è stata e continua ad essere un testo di grande importanza giuridica: impone agli Stati di accordare garanzie "minimali" ma tutte irrinunciabili[28]; spetta ad essi concretizzare e specificare i principi basilari in essa enunciati, diventati ormai patrimonio giuridico comune a tutte le Parti contraenti e proprio la loro formulazione, ampia, elastica consente di adattarli ai cambiamenti dovuti soprattutto all'evoluzione tecnologica. E' evidente l'importanza di un'interpretazione evolutiva dei principi della Convenzione in armonia con le esigenze poste dall'art 8 della CEDU. Pur trattando di elaborazione automatizzata di dati, infatti, la Convenzione ha costituito fin da subito una regolamentazione comune, basilare per l'intero fenomeno del trattamento di dati personali, data la relativa natura trasversale di questo che tocca i diversi settori dell'esperienza umana.



2.2. La normativa comunitaria: la direttiva n. 95/46/CE ("direttiva madre").



Per quanto riguarda più specificatamente la normativa comunitaria occorre far riferimento innanzitutto a quella che è stata definita la "direttiva-quadro" in materia di trattamento dei dati personali, direttiva n. 95/46/CE, che contiene i principi generali validi per ogni trattamento rientrante nel diritto comunitario.

Obiettivo, comune ad altri strumenti giuridici in materia, quello di contemperare la tutela delle libertà delle persone fisiche- in particolare la vita privata – con l'esigenza della libera circolazione dei dati tra Stati membri, strumentale a sua volta all'esercizio delle libertà di circolazione delle persone, beni e servizi all'interno del mercato e quindi al suo buon funzionamento[29]. Il corretto funzionamento del mercato unico esige che siano salvaguardati i diritti fondamentali della persona. In questa prospettiva viene richiamato l'art 8 della Convenzione europea sui Diritti dell'Uomo e la Convenzione n. 108/81, di cui la direttiva in esame costituisce una precisazione e un ampliamento, nel momento in cui, tutelando i diritti e libertà fondamentali delle persone fisiche, vieta al contempo agli Stati di impedire la libera circolazione dei dati personali per motivi connessi alla tutela della vita privata.

L'esigenza di salvaguardare i diritti di libertà personale -tra i primi diritti tutelati dal costituzionalismo antico e moderno- trova giustificazione nell'obiettivo di garantire il libero sviluppo della persona. Bisogna precisare che nelle Costituzioni vigenti la persona non è l'individuo isolato, contrapposto alla società organizzata, ma la persona nella sua dimensione sociale. Questo ha consentito di far emergere, soprattutto negli ultimi tempi, nuove posizioni soggettive meritevoli di tutela e un ampliamento degli ambiti di protezione della libertà personale: da un'interpretazione restrittiva (tutela dalle coercizioni fisiche e dalle restrizioni di vario genere che incidono sulla sfera fisica) a una visione più ampia di tale diritto, che garantisce sia l'integrità fisica che morale della persona: sia la libertà dagli arresti che il diritto all'autodeterminazione della propria personalità. In quest'ambito particolare attenzione è stata riservata al diritto di ogni persona alla propria identità e alla propria riservatezza, intesa in senso ampio e comprensivo sia del profilo dell'intimità della vita privata, sia di quello dell'autonomia nelle scelte e della dignità della persona.

La direttiva 95/46/CE si preoccupa di tutelare questo aspetto della libertà personale, con riguardo al trattamento dei dati personali ed alla loro circolazione all'interno e all'esterno della Comunità europea, tenuto conto che lo sviluppo della società tecnologica può rappresentare, oltre che uno stimolo al progresso, un potenziale pericolo per il libero sviluppo della persona.

La direttiva, inoltre, testimonia l'esigenza di superare, in materia di diritti fondamentali, ogni chiusura nazionale perché si crei un "diritto costituzionale comune", basato sullo scambio di modelli culturali e giuridici. Questa tendenza favorisce da un lato un processo di omogeneizzazione dei livelli di tutela dei diritti indipendentemente dall'ordinamento statale di riferimento, dall'altro, arricchisce i contenuti dei diritti riconosciuti dalle singole Costituzioni[30]. Da qui la duplice valenza della direttiva, che impone ai legislatori nazionali di disciplinare la materia e, al contempo, introduce dei principi che costituiscono criteri interpretativi delle disposizioni costituzionali a tutela della riservatezza. L'obiettivo della direttiva è quello di creare una disciplina armonica di tutela dei dati personali per evitare la formazione di un eccessivo scarto nei livelli di tutela dei diritti e delle libertà fondamentali, che può ostacolare non solo la salvaguardia delle posizioni soggettive, ma anche l'esercizio di una serie di attività economiche su scala comunitaria. Tuttavia le disposizioni normative contenute nella direttiva 95/46/CE sono tali da vincolare gli Stati membri a conformarsi ad esse, lasciando, comunque, ai legislatori nazionali significativi margini di adattamento, specie per quanto riguarda la disciplina delle deroghe in specifici settori.

Quanto al suo contenuto, la direttiva – che intende evitare una compressione della libertà personale individuale attraverso il crescente utilizzo di dati personali - incentra la tutela delle persone fisiche[31] intorno a tre profili essenziali: il primo riguarda la definizione dell'oggetto della tutela; il secondo il riconoscimento di una serie di diritti dell'interessato; infine vi è la previsione di un sistema sanzionatorio e di ricorsi a tutela dei diritti. L'oggetto di tutela, come si è detto, è il diritto alla vita privata delle persone fisiche, con riguardo al trattamento dei dati personali; a tal fine la direttiva determina le qualità dei dati e i criteri da seguire nelle varie attività in cui si esplica il trattamento e fornisce una serie di definizioni di notevole importanza pratica e riprese in numerosi atti comunitari e nazionali successivi, tra cui quella di "dato personale" e di "trattamento": il primo consiste in qualsiasi informazione – inclusi suoni e immagini – in grado di identificare la persona a cui si riferisce: dal numero di identificazione personale ad ogni altra informazione che sveli elementi specifici, caratteristici della sua identità fisica, giuridica, economica, culturale e sociale: questa capacità identificativa può trovarsi in un singolo dato o nella sua elaborazione[32]. La nozione di trattamento comprende espressamente anche la raccolta, oltre che la registrazione, l'organizzazione la conservazione, la diffusione e la distruzione dei dati[33]; tra le altre definizioni quella di responsabile del trattamento (il soggetto che determina le finalità e gli strumenti)[34] e di incaricato (che elabora i dati per conto del responsabile). Per quanto riguarda l'ambito di applicazione la direttiva contiene una norma di collegamento, che individua quale tra le leggi degli Stati membri è applicabile al singolo trattamento di dati personali: si tratta del criterio territoriale dello "stabilimento", secondo cui è applicabile la legge dello Stato dove è stabilito il responsabile del trattamento; in caso di più stabilimenti- più filiali – riconducibili ad un medesimo soggetto, ciascuno di essi sarà assoggettato alla normativa del Paese in cui di trova: a rispondere della conformità o meno alle disposizioni di legge sarà l'unico responsabile, che non potrà addurre l'ignoranza delle prescrizioni nazionali o la negligenza dell'incaricato. Inoltre, per garantire che qualsiasi trattamento effettuato nella Comunità sia soggetto alle disposizioni della direttiva, si stabilisce che per i responsabili di trattamento privi di stabilimenti sul territorio comunitario si guarderà alla sede degli strumenti, automatizzati o meno, utilizzati per il trattamento dei dati[35].

Sui principi della direttiva che devono essere specificati dai diritti interni, si rileva che i primi due riprendono sostanzialmente le previsioni della Convenzione 108: quello della finalità limitata, per cui ogni rilevazione di dati deve avvenire per scopi predeterminati o non compatibili con tali finalità- il ché non autorizza a un trattamento di dati chiaramente estranei a quelli dichiarati al momento della raccolta; l'altro principio, quello della "legalità" dei trattamenti (art 6) implica che le finalità per cui si procede siano lecite e che il responsabile prenda tutte le misure ragionevoli per garantire che i dati siano esatti, pertinenti, aggiornati: comporta cioè un dovere di attivarsi, a seconda del caso, senza attendere la sollecitazione dell'interessato; e ciò risulta conforme anche al requisito della "lealtà", ossia della correttezza quale strumento indispensabile per diffondere la consapevolezza del pericolo nell'uso di informazioni altrui, per rendere rigorosa l'interpretazione dei principi precedenti, alzando il livello di diligenza da parte dei responsabili[36].

Circa i requisiti che rendono ammissibile il trattamento dei dati, la direttiva distingue a seconda che avvenga o meno con il consenso delle persone interessate. Nel primo caso è sempre legittimo, nel secondo dipende da specifiche circostanze che legittimano il trattamento e che costituiscono ipotesi alternative, necessarie per rendere la disciplina flessibile ad ogni attività socio-economica[37]. L'istituto del consenso (specifico, libero, informato) dell'interessato rappresenta un'importante novità introdotta dalla direttiva del '95 rispetto alla Convenzione di Strasburgo: è la prima regola per la liceità del trattamento, pur se non l'unica, e deve essere esplicito quando riguarda dati sensibili; per i dati comuni è sufficiente che sia inequivocabilmente prestato, per cui nel dubbio, e per una maggiore tutela del diritto alla vita privata, si deve ritenere mancante. Tra le alternative in cui è possibile prescindere dal consenso rientra la necessità di adempiere ad un compito di interesse pubblico e a un obbligo legale del responsabile: tali sono senz'altro quelli propri delle P.A. (ad esempio nel caso di scambio di dati tra le stesse per eseguire scopi loro attribuiti dall'ordinamento interno; in questo campo è inevitabile lo scontro tra diritto alla privacy e diritto di accesso dei cittadini ai documenti amministrativi e in genere ai dati resi pubblici per legge: occorre garantire, da un lato, il rispetto della vita privata permettendo agli interessati di conoscere i dati loro relativi detenuti dalle P.A. e per quali scopi, dall'altro, limitare-o acconsentire con adeguate cautele – la facoltà di consultazione di soggetti terzi[38]. In ogni caso da un'interpretazione sistematica della normativa pare opportuno da parte della P.A. coinvolta effettuare in concreto un bilanciamento tra i due diritti[39].

Viene presa in considerazione, poi, una serie di particolari dati - c.d. sensibili - e di ipotesi (art 8) in cui il trattamento può entrare in conflitto con altri valori tutelati dalla Convenzione europea dei diritti dell'uomo e dalle costituzioni nazionali (dal principio di uguaglianza alla libertà politica e sindacale alla libertà religiosa); inoltre il diritto alla riservatezza può entrare in conflitto con altri diritti fondamentali come il diritto alla salute, alla ricerca, alla manifestazione del pensiero ecc.: spetta in primo luogo al legislatore nazionale operare un bilanciamento tra i vari diritti, ma la ricerca di tale equilibrio è suscettibile di verifica da parte del giudice costituzionale e degli organi di giustizia comunitaria.

La direttiva del '95 disciplina il trattamento dei dati prevedendo che il relativo procedimento avvenga nel rispetto di alcuni principi e diritti dell'interessato: dal diritto di accesso[40] al diritto di opposizione, dal diritto alla sicurezza a quello alla giustiziabilità. A questo proposito è previsto un doppio livello di tutela, giurisdizionale e amministrativo: il primo si realizza attraverso ricorsi ordinari presso le magistrature comuni - l'autorità giudiziaria ordinaria; il secondo attraverso l'attività di un apposito organo di garanzia, l'autorità di controllo[41], incaricata di controllare l'applicazione della normativa in materia, disponendo a tal fine di poteri investigativi, consultivi, e di promozione di azioni giudiziarie in caso di violazione delle disposizioni in materia [42].



2.2.1.…Segue. La direttiva n. 2002/58/CE ("e-Privacy").

Per quanto riguarda la disciplina dei dati personali nello specifico ambito delle comunicazioni elettroniche occorre far riferimento alla direttiva n. 2002/58/CE, con cui il legislatore comunitario ha inteso armonizzare la disciplina interna agli Stati membri in tema di circolazione delle informazioni nel rispetto della vita privata delle persone.

Lo sviluppo delle moderne Information Communication Technologies se, da un lato, contribuisce ad ottimizzare la fruizione di servizi nella Società dell'Informazione, dall'altro, pone nuovi e più complessi problemi in termini di tutela di alcuni diritti e libertà fondamentali costituzionalmente garantiti, tra cui il diritto alla riservatezza.

E' proprio nell'ottica di creare un sistema di garanzie e di tutele per il singolo individuo nel mondo delle comunicazioni elettroniche che sono state varate in questi anni alcune importanti direttive europee, tra cui proprio la n. 2002/58/CE.

Particolarmente significativo appare il divieto in essa sancito (art 5) di utilizzare la rete di comunicazione elettronica per accedere alle informazioni archiviate nelle apparecchiature terminali dell'abbonato o dell'utente, per archiviare informazioni o monitorare le operazioni dell'utente. Un esempio di applicazione concreta di tale norma è senz'altro Internet, che espone l'utente al pericolo di acquisizione occulta dei dati e di intrusione nella propria sfera privata: è noto, infatti, l'uso di dispositivi come i sofware spia, i marcatori (cookies),i bachi invisibili[43]. Le informazioni così raccolte (username, password, durata della connessione) possono diventare dati personali nel momento in cui ad esempio l'utente compila on-line un modulo (guest-book), contenente i propri dati.[44] A questo proposito si è rivelata interessante anche la Raccomandazione n. 2/2001 del Gruppo dei Garanti europeo, "Relativa ai requisiti minimi per la raccolta dei dati on-line nell'UE": fra le altre cautele disposte, quella di menzionare chiaramente l'esistenza, le finalità e la validità di procedure di raccolta automatica di dati prima di utilizzarle[45];

Particolarmente interessanti sono poi le disposizioni in tema di dati relativi al traffico e all'ubicazione. Circa il primo tipo (art. 6) la regola è che vadano cancellati o resi anonimi quando non più necessari ai fini della trasmissione della comunicazione elettronica, salvo quelli strettamente necessari ai fini della fatturazione o di pagamenti, che possono essere conservati dal fornitore di una rete o di un servizio di comunicazione elettronica per non più di sei mesi[46]. Per quanto riguarda la categoria dei dati relativi all'ubicazione, ci si trova di fronte ad un'ipotesi nuova nel panorama normativo comunitario: si tratta di ogni dato di una rete di comunicazione elettronica che indica la posizione geografica dell'apparecchiatura terminale dell'utente [47]. Le preoccupazioni in tema di privacy derivano dalle tecniche adoperate nel trattamento di questi dati, che per loro natura sono particolarmente invasive, potendo monitorare gli spostamenti, l'attività dell'individuo, fino ad invadere la sua sfera di libertà e di dignità (si pensi ai servizi radioguida satellitari). Anche in questo caso la direttiva stabilisce che possono essere trattati, nel rispetto del principio di necessità e pertinenza, solo se anonimi o con il consenso dell'interessato; quest'ultimo deve essere revocabile in ogni momento, gratuitamente e con una funzione semplice, anche in via temporanea, e per ogni collegamento alla rete.

Merita inoltre di essere menzionata la disciplina delle "comunicazioni indesiderate"(art. 13), secondo cui l'uso di sistemi automatizzati di chiamata per l'invio di materiale pubblicitario o di vendita diretta o per ricerche di mercato è consentito con il consenso dell'interessato, la quale si applica anche alle e-mail, telefax, Mms, Sms (non occorre il consenso per le coordinate di posta elettronica fornite dall'interessato nel contesto della vendita di un prodotto o servizio, per servizi analoghi).



2.3. La tutela della privacy e dei dati personali nella Carta dei diritti fondamentali dell'Unione Europea (Nizza 2000).

Consenso dell'interessato e ruolo delle Autorità Garanti sono due aspetti centrali della recente Carta dei diritti fondamentali dell'Unione Europea, proclamata a Nizza nel settembre del 2000[48]. Firmata da Parlamento europeo, Consiglio e Commissione, l'Atto contiene due importanti formulazioni in tema di rispetto della vita privata e di tutela dei dati personali (artt 7 e 8). Anche se dalla stessa non discendono novità sostanziali quanto una conferma della situazione giuridica comunitaria in materia, un merito va riconosciuto nella maggiore visibilità fornita alla tutela di tali diritti. La Carta svolge, infatti, un ruolo educativo-informativo nei confronti dei titolari dei diritti, contribuendo, dal punto di vista giuridico, ad elevarne il livello di protezione, in particolare sotto il profilo del diritto all'autodeterminazione informativa, che si rafforza come valore costituzionale dell'ordinamento comunitario. La collocazione dei due articoli in posizione contigua è stata interpretata in modo diverso in dottrina[49]. In primo luogo essa comporterebbe una serie di effetti rilevanti ai fini dell'applicabilità della disciplina in materia: quello di permettere la consapevolezza del legame tra diritto alla vita privata e diritto di decidere sulle proprie informazioni; rendere esplicito il contenuto costituzionale, in quanto minimo e imprescindibile, del diritto alla riservatezza, costituito dal principio della finalità limitata, dal ruolo centrale del consenso dell'interessato e dal diritto di accesso e di rettifica; dare visibilità alla presenza dei Garanti indipendenti e, non ultimo, l'effetto di ammonire gli Stati che la mancata attuazione di quest'ultima previsione rischia di far rimanere sulla carta eventuali disposizioni normative in materia. Gli articoli 7 e 8 della Carta sembrano così sancire il valore costituzionale al diritto al rispetto della vita privata, guidando la società europea a un comportamento che sia orientato alla tutela della privacy.

Secondo un'altra interpretazione lo schema della Carta, che sembra porre sullo stesso piano il diritto alla riservatezza e il diritto alla protezione dei dati, non sarebbe condivisibile, essendo i due concetti tra loro in rapporto di genere a specie, di parte rispetto al tutto[50]; la preoccupazione per l'inadeguatezza della Carta, anche se per sua natura non può che contenere dichiarazioni di principio, derivano dal fatto che in essa sono stati trasposti riferimenti normativi di documenti internazionali[51] nel loro contenuto minimo: l'art 7 sarebbe piuttosto scarno e in esso mancherebbe proprio la parte che pone un obbligo, pur in modo indiretto, in capo agli Stati di disciplinare la materia.



2.4. La direttiva n. 2006/24/CE sulla conservazione dei dati di traffico ("data retention")



Scopo della recente direttiva, che ha suscitato non poche polemiche tra gli operatori del settore e tra i giuristi, l'armonizzazione degli obblighi di conservazione da parte dei fornitori per finalità di accertamento e repressione di "gravi reati". Alla base della sua adozione è stata addotta, da un lato, l'esigenza di assicurare la disponibilità dei dati di traffico alle autorità di contrasto, dall'altro la volontà di superare il divario tra le legislazioni degli Stati membri e la disomogeneità delle offerte dei servizi (prepagati, gratuiti, a tariffe forfetarie).

Oggetto della stessa disciplina i dati generati o trattati nell'ambito della fornitura di servizi pubblici di comunicazione elettronica: si tratta dei dati di traffico, di localizzazione e in genere di quelli necessari ad identificare l'utente o l'abbonato (fonte, destinazione, data, ora, tipo, attrezzatura impiegata e ubicazione), compresi i tentativi non riusciti di chiamata (art 5); vige invece il divieto di conservare il contenuto delle comunicazioni.

I dati, che andranno conservati per una durata tra i sei mesi e i due anni, indistintamente tra quelli telefonici e Internet(art 6), dovranno essere trasmessi solo alle competenti autorità nazionali, su loro richiesta, in relazione a specifici casi indicati dal diritto nazionale (art 4). La definizione di "gravità" del reato, ai fini dell'applicazione delle relative disposizioni, così come delle procedure e modalità di tale accesso sono rimesse alle legislazioni nazionali[52]. Si prevede, inoltre, che i dati così conservati siano oggetto di appropriate misure tecniche e organizzative contro i rischi di distruzione, perdita accidentale, conservazione, accesso o divulgazione non autorizzata (art 7): la violazione di tali misure dovrà essere punibile con sanzioni (amministrative o penali) efficaci, proporzionate e dissuasive.

Entrata in vigore nel maggio del 2006, la direttiva dovrà essere attuata entro il 15 settembre 2007, anche se è prevista la possibilità di posticipare fino al 2009 la relativa applicazione ai dati relativi a Internet Access, Internet telephony e Internet e-mail. E' prevista inoltre l'istituzione di un Gruppo europeo (autorità di contrasto, associazioni del settore, Autorità garanti) con svolga, tenendo conto dell'evoluzione tecnologia, funzioni consultive in materia,.

Oltre che per le questioni di tipo economico (i costi sostenuti per la conservazione dei dati), le maggiori critiche mosse all'atto in esame[53] derivano principalmente dai dubbi sull'adeguatezza delle misure previste nella direttiva, e sul fatto che possano dirsi davvero necessarie e proporzionate, come la CEDU stabilisce per ogni caso di interferenza nel diritto alla vita privata.







[1] V. M. Carnevalini, Evoluzioni e prospettive future del diritto alla privacy e della libertà di informazione nel diritto europeo e comunitario, in La Comunità internazionale n. 4, dicembre 2002, p. 683.

[2] Cfr. Annalisa Senese, Il diritto alla riservatezza nel diritto costituzionale europeo, in Il diritto costituzionale comune europeo, a cura di M. Scudiero, Jovene, 2002, p. 1338, Rodotà Repertorio di fine secolo, Bari, 1992, 190.

[3] Sull'argomento cfr. S. Rodotà, Tecnopolitica, Laterza, Bari, 1997 e D. Lyon, L'occhio elettronico. Privacy e filosofia della sorveglianza, Feltrinelli, Milano, 1997.

[4] Furono così varate le prime leggi in materia di protezione dei dati personali a partire da quella svedese del 1973, anche se la prima consacrazione giuridica solenne si ebbe con l'entrata in vigore della Costituzione spagnola del 1978 che dedica l'art 18 e 105 al tema in esame; v. più approfonditamente R. Pilia, Tutela della privacy informatica e protezione dei dati personali: un'analisi comparata, in Studi economico-giuridici, Università degli Studi di Cagliari, Giappichelli 2002, p. 307.

[5] M. Carnevalini, op. cit. , p. 684

[6] Il primo riconoscimento ufficiale dell'esigenza di garantire uno spazio di riserbo per il singolo è contenuto nell'art 12 della Dichiarazione Universale dei Diritti dell'Uomo delle Nazioni Unite del 1948, che riconosce il diritto ad essere tutelato contro le "interferenze arbitrarie nella sua vita privata, nella sua famiglia, nella sua corrispondenza, e le lesioni al suo onore e della sua reputazione", ma a differenza della Convenzione del '50 tale dichiarazione non ha l'obbligatorietà di un accordo internazionale.

[7] Il Patto comprende, in realtà, nel concetto di vita privata anche l'onore e la reputazione, quali diritti legati alla tutela della riservatezza e prevede un obbligo per gli Stati di predisporre un quadro normativo di protezione (v. art 17).

[8] Il provvedimento fa parte di un "pacchetto" di direttive europee diretto a formare il nuovo quadro normativo per le reti e i servizi di comunicazione elettronica e completato dalle direttive "Quadro", "Autorizzazioni", "Accesso e interconnessione", "Servizio universale". Un importante criterio stabilito a livello comunitario è quello della neutralità tecnologica, secondo cui devono essere emanate regole neutrali rispetto alla tecnica utilizzata, in modo tale che lo stesso servizio sia disciplinato con uguali criteri indipendentemente dalle modalità e dal mezzo con cui è fornito.

[9] Cfr. N. Lugaresi, Protezione della privacy e protezione dei dati personali: i limiti dell'approccio comunitario, in Giustizia amministrativa, marzo-aprile 2004, Istituto poligrafico e zecca dello Stato.

[10] Sul punto si veda, tra gli altri, Rodotà, Elaboratori elettronici e controllo sociale, Bologna, 1973, p. 114.

[11] M. Carnevalini, op.cit., 691. Sull'esigenza di riaffermare la centralità della tutela della sfera privata, latu sensu intesa, sull'aspetto della protezione dei dati personali, cfr., oltre a N. Lugaresi, op. cit., E. Dreyer, Le respect de la vie privée, object d'un droit fondamental, in LexisNexis, JurisClasseur, Mai, 2005, p. 21.

[12] Nell'art 14 della Convenzione è previsto espressamente a carico delle Autorità di controllo nazionali anche l'obbligo di assistenza dei residenti all'estero e degli stranieri domiciliati sul proprio territorio.

[13] Ma cfr. l'art 3 della stessa Convenzione, che consente alle singole Parti di estendere l'applicazione anche ai dati delle persone giuridiche e delle associazioni non riconosciute nonché al trattamento effettuato con banche dati manuali.

[14] In ciò le disposizioni della Convenzione n. 108 si differenziano da quelle della Convenzione sui Diritti dell'Uomo del '50, con cui pure vanno connesse, in quanto parametro complementare di interpretazione per i giudici costituzionali nazionali: cfr. G. Buttarelli Banche dati e tutela della riservatezza, Giuffrè, Milano, 1997, p. 16

[15] Sull'entrata in vigore si distingue tra quella della Convenzione in sé – che è coincisa nel 1985 con la firma di almeno cinque Stati del Consiglio d'Europa - e quella relativa alle ulteriori Parti che avviene dopo tre mesi dalla data di deposito dello strumento di ratifica, di accettazione, di approvazione.

[16] In tal senso la Convenzione non ha invaso il campo di competenza dei singoli ordinamenti, consentendo ad ognuno di essi di individuare secondo i propri valori giuridici ciò che è lecito fare nei vari settori.

[17] La direttiva del 95 successivamente integrerà l'elenco dei dati sensibili anche con il riferimento all'origine etnica.

[18] P. Pallaro, La tutela della vita privata in relazione ai trattamenti di dati personali in Internet: l'approccio della Comunità europea in Diritto comunitario e degli scambi internazionali, p. 57

[19] Il Comitato Consultivo si è espresso, nel documento del 27-29 gennaio 1993, nel senso che può costituire garanzia adeguata qualsiasi misura che assicuri una protezione maggiore rispetto a quella accordata ai dati comuni.

[20] Il diritto di accesso ai propri dati comprende la possibilità di conoscere l'esistenza e la finalità di una banca dati contenente le proprie informazioni, di avere conferma dell'esistenza dei propri dati, di averne comunicazione – copia – in forma intelligibile nonché di conoscere le finalità, le modalità del trattamento e gli estremi del responsabile: si deve dedurre dalla portata dell'art 8 che la conoscibilità di un archivio di dati personali deve essere assicurata dall'ordinamento in ogni caso, a prescindere dalle eventuali richieste dell'interessato. V. G. Buttarelli, op.cit., p.19

[21] P. Pallaro, op. cit. , 57

[22] S. Rodotà, Tecnopolitica, op.cit., p. 158.

[23] v. Cod. it. art 11.

[24] V. su tale interpretazione della normativa europea in materia di trattamento dei dati personali la sentenza della Corte di Giustizia "Linqvist", causa C-101/01, rilevante anche per quanto riguarda il concetto di trasferimento dei dati oltre frontiera.

[25] Qualcuno ritiene questa disciplina sul trasferimento oltre confine dei dati espressione della tutela accordata alla libertà di circolazione delle informazioni, dal momento che è consentito a un determinato Stato di convogliare dati verso Paesi meno rigorosi, ma pur sempre rispettosi del contenuto "minimale" della Convenzione, spingendoli a eliminare inutili burocratismi, che ostacolano il libero flusso di dati: v. Pallaro, op. cit., p.59

[26] Da notare che i principi sulla libera circolazione dei dati rappresentano il naturale sviluppo delle indicazioni fornite dall'OCSE nella Raccomandazione del 23 novembre 1980.

[27] Nel Progetto di Protocollo Addizionale alla Convenzione n. 108 adottato il 6 giugno del 2000, in cui si pone l'attenzione sulle Autorità di controllo e sul flusso transfontaliero di dati, si segue l'approccio comunitario del livello di protezione "adeguato" – e non "equivalente".

[28] Pallaro, op. cit., p. 61

[29] Cfr. i considerando iniziali della direttiva, in cui si sottolinea l'aumento dello scambio di dati personali tra tutti i soggetti della vita privata economica e sociale (imprese e amministrazioni) e si paventa il rischio che il divario nei livelli di tutela delle persone possa ostacolare questo scambio a danno del buon funzionamento del mercato interno, da cui la necessità di un livello comunitario elevato di protezione che sia uniforme.

[30] Cfr. Considerando 1 della direttiva in esame. Per un'approfondita riflessione del processo di integrazione tra omogeneità costituzionale e identità nazionali v. V. Atripaldi, Il trattamento dei dati personali in Scritti in memoria di L. Paladin, p. 83 e ss., il quale sottolinea come il processo di costituzionalizzazione dell'Unione si basi su una doppia legittimazione, proveniente da una parte dai Trattati e dall'altra dalle diverse Costituzioni dei Paesi che fanno parte del processo di integrazione: saremmo di fronte a una "Multilevel Constitution".

[31] L'oggetto di tutela della direttiva è la protezione delle persone fisiche: l'esclusione delle persone giuridiche è giustificato dall'obiettivo di avvicinare le normative nazionali su un diritto fondamentale irrinunciabile della persona umana; gli interessi delle persone giuridiche o di altri soggetti di diritto sono comunque regolabili da ciascun ordinamento interno.

[32] A questo proposito si può ricordare che la Corte di Giustizia ha ammesso una nozione estremamente ampia di dato personale, fino a ricomprendere anche informazioni sulle colture agricole praticate da un certo individuo, su un certo terreno in un determinato arco di tempo, in quanto "elementi specifici dell'identità economica di un soggetto", come conferma la sentenza Fisher , causa C-369/98 (http://curia.eu.int/), primo caso in cui è affrontata la questione del lecito trattamento di dati personali dalla Corte. La decisione è stata ritenuta, in realtà, non del tutto condivisibile in quanto, pur essendo sempre preferibili interpretazioni ampie del concetto di dato personale per una maggiore tutela del patrimonio "informazionale" dell'individuo, nel caso di specie è dubbia la natura "personale" dell'informazione relativa unicamente al tipo di coltura praticata dal precedente gestore del terreno: anche se un tale dato potesse consentire di conoscere le capacità lavorative del soggetto è difficile individuare il pregiudizio che potrebbe derivarne. Ibidem

[33] La differenza con la Convenzione di Strasburgo, che considera la registrazione il momento iniziale del trattamento, è giustificata dal fatto che questa si applica anche ai trattamenti automatizzati, la direttiva, invece, anche a quelli non automatizzati di dati contenuti in archivi -in un insieme cioè di dati organizzato secondo criteri determinati per rendere agevole il reperimento degli stessi.

[34] L'individuazione di tale figura è di estrema importanza in termini di responsabilità per trattamento scorretto dei dati. Nel caso di invio di messaggi tramite servizi di telecomunicazione o di posta elettronica il responsabile è chi formula il messaggio e non il gestore del servizio di trasmissione, purché non intervenga sul contenuto del messaggio stesso.

[35] La norma sembra applicabile anche alle reti telematiche e il concetto di "strumenti" di cui all'art 4, applicabile ai software di raccolta e trattamento di dati personali, come i cookies, inviati da operatori stabiliti fuori dall'Unione: chi spedisce e installi questi tipi di programmi sul computer dell'utente situato nel territorio comunitario deve essere soggetto alle norme della direttiva. Cfr. Gruppo di Garanti europeo ex art 29, WP37; website: www.europa.eu.int/comm/privacy.

[36] Ad esempio rafforzando i doveri di informativa da parte di chi raccoglie e gestisce i dati e stimolando l'elaborazione di codici di condotta ex art 27: v. Pallaro, op. cit., 102.

[37] All'art 7 della direttiva 95/46/CE sono previste specifiche situazioni che legittimano il trattamento senza consenso: quando i dati siano trattati per l'esecuzione di un contratto concluso con la persona interessata o per adempiere ad un obbligo legale al quale il responsabile del trattamento è soggetto; per la salvaguardia dell'interesse vitale della persona interessata; per l'esecuzione di un compito di interesse pubblico connesso all'esercizio di poteri; per il perseguimento dell'interesse legittimo del responsabile del trattamento o dei terzi a cui vengono comunicati i dati.

[38] Cfr. Parere n. 3/99 del Gruppo dei Garanti ex art 29 WP 20 in cui si chiarisce che un dato di carattere personale, pur reso pubblico, resta un dato personale.

[39] Si veda ancora la sentenza "Fisher" della Corte di Giustizia da cui emerge l'obbligo di effettuare una ponderazione del caso di richiesta di dati personali detenuti da autorità pubbliche, quando i dati sono soggetti a obblighi di riservatezza. V. anche Parere Gruppo Garanti n. 5/2000. WP 44.

[40] Senza soffermarci ulteriormente sul contenuto di tale diritto, già riconosciuto dalla Convenzione 108, basti qui evidenziare l'importante integrazione operata dalla direttiva del '95 (art 12) in tema di: "blocco" dei dati nel caso di trattamento non conforme alle disposizioni, e di pretesa a conoscere i soggetti terzi ("destinatari") cui possono essere comunicati i dati. Sulla negazione del diritto di accesso ai propri dati come violazione dell'art 8 della CEDU del '50 v. Sent. Corte di Strasburgo del 24/12/02 causa M. G. v. U.K. n. 39393/98.

[41] Tale previsione risponde alla tendenza piuttosto recente di dare vita, da un lato, a delle autorità indipendenti in funzione di garanzia, dall'altro, ad adottare dei codici di condotta in settori determinati che fungano da parametro di valutazione della correttezza del trattamento.

[42] Al fine di effettuare un monitoraggio sullo stato di attuazione nei diversi ordinamenti della predetta direttiva e sulle esigenze di adeguamento agli sviluppi della società, è prevista la costituzione a livello comunitario dell'apposito "Gruppo per la tutela delle persone con riguardo al trattamento dei dati personali" (a cui si è già accennato nelle note precedenti), composto da un rappresentante delle autorità di controllo designate da ciascuno Stato membro con poteri consultivi e propositivi.

[43] Questi dispositivi, introdottisi nel terminale dell'utente possono accedere ai dati contenuti o memorizzare i siti web visitati dall'utente, rilevandone i gusti e gli interessi, permettendo di tracciarne così il profilo. Non è un caso che la dir. n. 2002/58 (considerando 25) prenda, per la prima volta, in considerazione questi strumenti, consentiti quando destinati a scopi legittimi e con le adeguate cautele. Tra le altre procedure si possono ricordare: gli spyware e gli adware.

[44] Si è osservato che spesso il fornitore di accesso ad Internet e il fornitore di contenuti web coincidono o vi sono tra loro accordi commerciali, per cui è facile intuire come gli stessi possano incrociare le informazioni acquisite e ottenere dati, anche sensibili, riconducibili a un soggetto identificato.

[45] Inoltre è prescritto : di raccogliere esclusivamente i dati necessari per il conseguimento dello scopo prefisso (principio della "minimizzazione", ex art.6 Dir. n. 95/46); di incoraggiare la consultazione in forma anonima di siti commerciali e l'uso di pseudonimi; di conservare i dati raccolti per il tempo strettamente necessario; per quanto riguarda la posta elettronica, è stabilito che gli indirizzi reperiti su Internet all'insaputa dell'interessato non sono da considerare pubblici, tali da essere utilizzati per fini diversi – in primis la commercializzazione diretta - da quelli di origine.

[46] Si veda a questo proposito anche il recente parere del Gruppo dei Garanti UE (9/2004) che, nel ribadire i principi fondamentali in materia di conservazione dei dati di traffico (proporzionalità, pertinenza, finalità specifica), afferma l'illegittimità di una conservazione indiscriminata dei dati di traffico e la necessità che vi sia in concreto di un'esigenza specifica.

[47] In base al considerando 14 della Dir. 2002/58 può riferirsi alla latitudine, longitudine, direzione di viaggio, identificazione della cella di rete in cui un soggetto è ubicato.

[48] Pubblicata in GUCE n. C 364 del 18 dicembre 2000.

[49] Pallaro, op. cit.,86,

[50] Logaresi, op. cit., p-295

[51] Tra tutti l'art 8 della Carta Europea dei Diritti fondamentali dell'Uomo e l'art 17 del Patto Internazionale relativo ai diritti civili e politici delle Nazioni Unite (N.Y. 1966), che contiene l'obbligo per gli Stati di predisporre un quadro normativo di protezione.

[52] Per un'analisi critica della summenzionata direttiva (anche in relazione alle riscontrate differenze con la proposta di direttiva della Commissione europea) sia consentito il rinvio al mio La tutela dei dati personali nelle comunicazioni elettroiche tra esigenze di Data Protection e obblighi di Data Retention, in I tre Codici, Atti del convegno, Giappichelli, 2007.

[53] V. Article 29 Data Protection Working Party 113, Parere del 21 ottobre 2005 e Working Party 119, Parere del 25 marzo 2006, consultabile sul sito www.eu.int/comm./justice_home/fsi/privacy, nonché il parere del G.E.P.D (Garante europeo) del 26 settembre 2005 sulla proposta di direttiva pubblicato in GUUE 298 del 29 novembre 2005.