A cura di Gabriel N. Toggenburg
Dati personali. Vi sembra un argomento noioso? Sentite questa: un ex soldato trova lavoro come membro dell’equipaggio di uno yacht privato. Presto però, quel paradiso caraibico si trasforma in Sodoma e Gomorra: l’ex soldato uccide quasi metà dell’equipaggio. Dopodiché passa 17 anni in un carcere tedesco e, una volta uscito, inizia una vita completamente nuova. Ma la storia è troppo spettacolare per non diventare famosa: con qualsiasi ricerca su Google si trovano riferimenti alla vicenda, compreso il nome dell’ex soldato. Si tratta di una violazione della protezione dei suoi dati e della “capacità di sviluppare la sua personalità” nella sua nuova vita?
Questi fatti, che sembrano avere dell’incredibile, riguardano il caso dello yacht Apollonia, raccontato anche nel film Mord in der Karibik – Die Todesfahrt der Apollonia e nel libro di Klaus Hympendahl, Logbuch der Angst – Der Fall Apollonia.
Gli omicidi sono avvenuti nel 1981, ma gli aspetti della vicenda relativi alla protezione dei dati sono stati trattati davanti alla Corte costituzionale tedesca alla fine del 2019 nel caso BvR 16/13 – e la Carta dei diritti fondamentali dell’UE era al centro dell’attenzione. In pratica, la questione riguardava la possibilità dell’ex soldato di invocare il “diritto all’oblio”, già riconosciuto dalla Corte di giustizia dell’UE (CGUE) nel 2014. In un caso noto come “Google Spagna”, la Corte stabilì infatti che , a seguito di una ricerca effettuata sulla base del nome di una persona, se l’elenco dei risultati mostra un link a una pagina web che contiene informazioni sulla persona in questione, tale persona può rivolgersi direttamente all’operatore (ad esempio Google) e, se l’operatore non considera la sua richiesta, può portare la questione in tribunale per ottenere, a determinate condizioni, la rimozione di tale link dall’elenco dei risultati. In un caso più recente, la CGUE ha chiarito che Google non è obbligato a cancellare i link a dati personali sensibili su richiesta in tutto il mondo.
La Carta in azione
Il diritto alla protezione dei dati può essere considerato una delle disposizioni più note della Carta. Ciò è dovuto a tre aspetti: in primo luogo, la Carta ha adottato un approccio innovativo distinguendo il diritto alla protezione dei dati personali dal classico diritto umano alla vita privata e attribuendo, quindi, una nuova importanza al primo.
In secondo luogo, la protezione dei dati è un ambito in cui l’UE detiene una forte competenza legislativa e di conseguenza questo diritto fondamentale è direttamente applicato dal legislatore e dalle politiche dell’UE.
L’Unione europea ha armonizzato l’ambito della protezione dei dati definendo come gli Stati membri debbano trattare i dati personali all’interno della propria legislazione e amministrazione, ad esempio con il Regolamento generale sulla protezione dei dati 2016/679 del 27 aprile 2016 e la direttiva 2016/680, che riguarda la polizia e altre autorità legate alla criminalità. Inoltre, con la direttiva 2016/1148, l’UE ha adottato una legislazione per garantire un elevato livello comune di sicurezza delle reti e dei sistemi informativi in tutta Europa.
Il legislatore dell’UE deve anche garantire che negli ambiti di rilevanza fondamentale vengano rispettati gli standard di protezione dei dati. Si veda, ad esempio, la legislazione dell’UE sull’uso del codice di prenotazione dei passeggeri (art. 13 della direttiva 2016/681), sull’istituzione di “Eurodac” (un sistema di confronto delle impronte digitali nel contesto delle richieste d’asilo, artt. 1 e 23 del regolamento 603/2013), o il lavoro di Europol (cfr. artt. 28, 31, 36 del regolamento 2016/794).
Infine, la Corte UE di Lussemburgo ha sviluppato in breve tempo una notevole e rilevante giurisprudenza in questo ambito. La Corte ha chiaramente segnalato al legislatore dell’UE che era pronta a dichiarare nullo il diritto europeo se non fosse stato all’altezza degli standard della Carta. Per esempio, nella sentenza del 2014 sulla causa C-293/12, la Corte ha respinto la cosiddetta “direttiva sulla conservazione dei dati” che obbligava gli operatori delle telecomunicazioni a conservare tutti i metadati di tutte le persone, indipendentemente dal loro comportamento e senza sufficienti garanzie procedurali.
La Carta dispone che i dati personali «devono essere trattati secondo il principio di lealtà», solo per «finalità determinate» e soltanto «in base al consenso della persona interessata o a un altro fondamento legittimo previsto dalla legge». Inoltre, riconosce «il diritto di accedere ai dati raccolti» e il diritto di «ottenerne la rettifica». Infine, la Carta – e l’art. 8 è l’unico a godere di tale status speciale – afferma che «[i]l rispetto di tali regole è soggetto al controllo di un’autorità indipendente». Proprio a questo scopo esistono il Comitato europeo per la protezione dei dati (CEPD), un organo europeo indipendente composto da rappresentati di tutte le autorità nazionali per la protezione dei dati, e il Garante europeo della protezione dei dati (GEPD).
Cosa dicono le Costituzioni degli Stati membri?
Poiché la protezione dei dati è un diritto piuttosto recente, che ha acquisito importanza nel tempo con lo sviluppo della società dell’informazione, in molte Costituzioni esso non è definito esplicitamente. Infatti, la protezione dei dati viene definita esplicitamente come un diritto fondamentale in meno della metà delle Costituzioni degli Stati membri. La maggior parte di questi sono Paesi dell’Europa orientale: si vedano l’art. 37 della Costituzione croata, l’art. 10 (3) della Costituzione ceca, l’art. 42 della Costituzione estone, l’art. VI (2)(3) della Costituzione ungherese, l’art. 22 della Costituzione lituana, l’art. 51 della Costituzione polacca, l’art. 19 (3) della Costituzione slovacca e l’art. 38 della Costituzione slovena. Si trovano disposizioni sulla protezione dei dati anche in alcune costituzioni dell’Europa occidentale, come nell’art. 9A della Costituzione greca, l’art. 10 (2)(3) della Costituzione olandese, l’art. 35 della Costituzione portoghese e gli artt. 3 e 6 della Costituzione svedese.
Dove la protezione dei dati è definita come un diritto fondamentale, le disposizioni tendono a essere brevi e fanno riferimento alla rispettiva legislazione. Le Costituzioni della Grecia (art. 9A) e dell’Ungheria (art. VI) stabiliscono che il diritto alla protezione dei dati è controllato da un’autorità indipendente, mentre le Costituzioni della Polonia (art. 51 comma 4) e del Portogallo (art. 35 comma 1) prevedono il diritto di far correggere le informazioni errate memorizzate dallo Stato.
E quindi?
Torniamo all’inizio. Lo stesso giorno in cui la Corte costituzionale tedesca ha deciso sul caso dell’“omicidio Apollonia”, ha emesso anche una seconda decisione riguardante l’art. 8 della Carta e il diritto all’oblio. La Corte è giunta a una conclusione innovativa: ogni volta che un determinato ambito è completamente soggetto alla legislazione dell’UE, la Corte non applicherà i diritti umani della Costituzione tedesca, bensì quelli della Carta dei diritti fondamentali dell’UE.
Così, una delle più potenti Corti costituzionali dell’UE è diventata una “Corte della Carta”. Questa decisione può essere vista come un riflesso di una tendenza più ampia: la Carta dell’UE sta acquisendo importanza nei sistemi giuridici nazionali.
Questo articolo è parte del progetto “All EU-r rights”, pubblicato in inglese sul blog Eureka! e tradotto in italiano su Lo Spiegone.
Gabriel N. Toggenburg è professore onorario di diritto dell’Unione europea e diritti umani all’Università di Graz, Austria. Dal 1998 al 2008 ha collaborato come ricercatore senior con l’Accademia Europea di Bolzano (Italia). Dal 2009 lavora per l’Unione europea. Tutte le opinioni espresse dall’autore sono personali e non sono attribuibili ai suoi attuali o precedenti datori di lavoro. La sua serie di articoli “All EU-r rights”, pubblicata sul blog di EUreka! (nella versione originale in Inglese, esempi e con annotazioni a piè di pagina) mira a far conoscere meglio la Carta dei diritti fondamentali dell’UE. L’autore ringrazia Miloladesign per la gentile concessione delle opere d’arte pubblicate assieme a ogni articolo del blog. Un elenco completo e commentato di tutti i diritti della Carta è disponibile qui.
Fonti e approfondimenti
Commissione europea, Data protection, privacy and new technologies.
Corte costituzionale federale della Germania, Decisione del 06/11/2019, Anonymous plaintiff v. Federal Court of Justice (Bundesgerichtshof), causa BvR 16/13 (“Right to be forgotten I”).
Corte costituzionale federale della Germania, Decisione del 06/11/2019, Anonymous plaintiff v. Higher Regional Court Celle (Oberlandesgericht Celle), causa 1 BvR 276/17 (“Right to be forgotten II”).
Corte costituzionale federale della Germania, Domestic fundamental rights remain the primary standard of review for the Federal Constitutional Court, even in cases where EU fundamental rights would also be applicable***Online press archives may be required to take measures protecting against the indefinite dissemination via search engines of news publications containing information relating to an individual, comunicato stampa 83/2019, 27/11/2019.
Corte costituzionale federale della Germania, The Federal Constitutional Court reviews the domestic application of legislation that is fully harmonised under EU law on the basis of EU fundamental rights***When reviewing claims for injunctive relief against search engine operators, courts must take into account the freedom of expression afforded publishers of online contents, comunicato stampa 84/2019, 27/11/2019.
Corte di giustizia dell’Unione europea, Sentenza dell’8 aprile 2014, Digital Rights Ireland Ltd v Minister for Communications, Marine and Natural Resources and Others and Kärntner Landesregierung and Others, cause riunite C-293/12 and C‑594/12, ECLI:EU:C:2014:238.
Corte di giustizia dell’Unione europea, Sentenza del 13 maggio 2014, Google Spain SL, Google Inc. contro Agencia Española de Protección de Datos (AEPD), Mario Costeja González, causa C-131/12, ECLI:EU:C:2014:317.
Corte di giustizia dell’Unione europea, Sentenza del 24 settembre 2019, Google LLC, succeduta alla Google Inc., contro Commission nationale de l’informatique et des libertés (CNIL), causa C-507/17, ECLI:EU:C:2019:772.
Direttiva (UE) 2016/680 del Parlamento europeo e del Consiglio, del 27 aprile 2016, relativa alla protezione delle persone fisiche con riguardo al trattamento dei dati personali da parte delle autorità competenti a fini di prevenzione, indagine, accertamento e perseguimento di reati o esecuzione di sanzioni penali, nonché alla libera circolazione di tali dati e che abroga la decisione quadro 2008/977/GAI del Consiglio. Gazzetta Ufficiale L 119, 04/05/2016, pp. 89-131.
Direttiva (UE) 2016/681 del Parlamento europeo e del Consiglio, del 27 aprile 2016, sull’uso dei dati del codice di prenotazione (PNR) a fini di prevenzione, accertamento, indagine e azione penale nei confronti dei reati di terrorismo e dei reati gravi. Gazzetta Ufficiale L 119, 04/05/2016, pp. 132-149.
Direttiva (UE) 2016/1148 del Parlamento europeo e del Consiglio, del 6 luglio 2016, recante misure per un livello comune elevato di sicurezza delle reti e dei sistemi informativi nell’Unione. Gazzetta Ufficiale L 194, 19/07/2016, pp. 1-30.
Hympendahl, Klaus. 2011. Logbuch der Angst – Der Fall Apollonia. Bielefeld, Delius Krasing.
Regolamento (UE) 2016/679 del Parlamento europeo e del Consiglio del 27 aprile 2016 relativo alla protezione delle persone fisiche con riguardo al trattamento dei dati personali, nonché alla libera circolazione di tali dati e che abroga la direttiva 95/46/CE (regolamento generale sulla protezione dei dati). Gazzetta Ufficiale L 119, 04/05/2016, pp. 1-88.
Regolamento (UE) 2016/794 del Parlamento europeo e del Consiglio, dell’11 maggio 2016, che istituisce l’Agenzia dell’Unione europea per la cooperazione nell’attività di contrasto (Europol) e sostituisce e abroga le decisioni del Consiglio 2009/371/GAI, 2009/934/GAI, 2009/935/GAI, 2009/936/GAI e 2009/968/GAI. Gazzetta Ufficiale L 135, 24/05/2016, pp. 53-114.
Editing a cura di Carolina Venco
Be the first to comment on "L’8° fra tutti i diritti dell’UE: la protezione dei dati e il contributo della Carta"