7
CAPITOLO II
DIRETTIVA MADRE, MODIFICHE E
LACUNE NELLA TUTELA DEI
DATI PERSONALI
SOMMARIO: 1. Direttiva Madre (Direttiva Europea 95/46/CE del Parlamento e del Consiglio d’Europa) e
successive modifiche. – 2. Lacune e inadeguatezza della Direttiva Madre.
1. Direttiva Madre (Direttiva Europea 95/46/CE del Parlamento e del Consiglio
d’Europa) e successive modifiche
La protezione dei dati nasce nel 1995 con la c.d. Direttiva Madre (Direttiva Europea
95/46/CE del Parlamento e del Consiglio d’Europa). In Italia la direttiva fu recepita dalla
legge 31 dicembre 1996, n. 675 e confluì successivamente nel d.lgs. 3 giugno 2003, n.
196, denominato Codice Privacy.
A livello di Unione europea attraverso la Direttiva 95/46/CE fu avviato il processo di
armonizzazione della tutela dei diritti e delle libertà fondamentali delle persone fisiche in
materia di protezione dei dati personali. Ciò si era reso necessario poiché le legislazioni
dei singoli Paesi dell’Unione risultarono frammentate e disomogenee. Inoltre il quadro
normativo dovette raggiungere l’obiettivo della Convenzione di Schengen: la libera cir-
colazione dei dati personali all’interno dell’Unione, contemperato alla tutela dei dati delle
persone fisiche. Tramite la direttiva, infatti, veniva garantito per la prima volta il c.d.
flusso libero dei dati immateriali - “free flow of data”. A tale fine vennero fissati limiti
rigidi riguardo la raccolta e il trattamento dei dati, agli Stati venne imposta l’introduzione
di un’autorità di controllo indipendente a livello nazionale (i c.d. Garanti nazionali) ed a
livello di Unione europea fu costituito il c.d. Gruppo di lavoro articolo 29 (Working Party
article 29 o WP29). La denominazione WP29 fu scelta proprio perché la sua istituzione
8
era stata prevista dall'art. 29 della direttiva. Il WP29 – che nel 2016 è stato sostituito dal
Comitato europeo per la protezione dei dati CEPD (acronimo inglese EDPB European
Data Protection Board) – aveva lo status di organismo dell’UE, era dotato di personalità
giuridica ed aveva ampi poteri in materia di risoluzione di controversie tra le singole au-
torità, di consulenza e orientamento. Il WP29, come il suo successore CEPD, era compo-
sto dai rappresentanti delle autorità dei singoli Stati membri.
I Garanti nazionali, a loro volta, hanno il compito di vigilare la corretta applicazione della
direttiva da parte dei singoli Stati, essi mantengono il controllo sulla conformità del trat-
tamento dei dati rispetto al quadro normativo, collaborano con le altre autorità nazionali,
hanno potere consultivo, disaminano reclami, curano l’informazione al pubblico e predi-
spongono relazioni annuali
10
.
Come anticipato, la Direttiva Madre in Italia è stata recepita con legge 31 dicembre 1996,
n. 675, alla quale si sono succeduti nove decreti legislativi per intervenire in settori che
non risultavano disciplinati in modo soddisfacente. Con il d.lgs. 3 giugno 2003, n. 196,
denominato Codice in materia di protezione dei dati personali o Codice Privacy le nume-
rose normative susseguitesi vennero razionalizzate.
Il Codice Privacy oltre a riconoscere la c.d. Privacy come diritto soggettivo, all’art. 2
affermò il diritto del rispetto della dignità delle persone, della riservatezza, dell’identità
personale e della protezione dei dati personali. L’art. 4 fornì, da una parte la definizione
di dato personale, con il quale si intende qualsiasi informazione che consenta, anche in-
direttamente, l’identificazione di un soggetto, dall’altra trattò dei dati sensibili, supersen-
sibili
11
e giudiziari. Infine chiarì la valenza dei termini trattamento, comunicazione e dif-
fusione del dato.
Gli artt. 28 - 30 istituirono e definirono le figure di titolare del trattamento, responsabile
e incaricato. L’art. 11 era dedicato alla modalità del trattamento, ai principi di finalità,
liceità, correttezza, pertinenza e non eccedenza e ai requisiti dei dati, che devono essere
esatti, aggiornati, completi e pertinenti, pena la loro inutilizzabilità.
10
https://www.garanteprivacy.it/web/guest/home/autorita/compiti
11
Il termine supersensibile è stato coniato dalla Suprema Corte, Sezione VI Civile, con sentenza n.
222/2016 dell’11 gennaio 2016
9
Le regole e i principi generali per il trattamento dei dati da parte dei soggetti pubblici, dei
soggetti privati e le disposizioni relative a settori specifici venivano forniti dagli artt. 18
– 22 e 24 – 27. Il principio del consenso, che doveva essere libero e non viziato da vio-
lenza, nonché esplicito e specifico, veniva disciplinato dall’art. 23.
I diritti dell’interessato e gli strumenti di tutela, particolarmente rilevanti, furono discipli-
nati dagli artt. 7 – 9 e riguardavano il diritto di accesso, di aggiornamento, rettifica, inte-
grazione, cancellazione e trasformazione in forma anonima dei dati, nonché l’opposizione
al trattamento stesso. Le modalità di esercizio dei diritti, quali l’interpello preventivo al
titolare e la tutela in sede amministrativa innanzi al Garante, furono regolamentati dagli
artt. 141 – 151.
Alla Direttiva Madre successe la Direttiva ePrivacy (Direttiva 2002/58/CE del Parla-
mento Europeo e del Consiglio del 12 luglio 2002 relativa alla vita privata e alle comuni-
cazioni elettroniche)
12
, successivamente modificata dalla Direttiva 2006/24/CE del Par-
lamento Europeo e del Consiglio del 15 marzo 2006 riguardante la conservazione di dati
generati o trattati nell’ambito della fornitura di servizi di comunicazione elettronica ac-
cessibili al pubblico o di reti pubbliche di comunicazione (Data Retention Directive)
13
e
dalla Direttiva 2009/136 CE del Parlamento Europeo e del Consiglio del 25 novembre
2009
14
.
La Direttiva ePrivacy del 2002, tuttora in vigore, è principalmente rivolta ai fornitori di
servizi di telecomunicazione elettronica, contiene disposizioni in merito alla conserva-
zione dei dati a fini di sorveglianza di polizia, impone il consenso dell’utente prima di
ricevere comunicazioni indesiderate (spam), disciplina l’utilizzo di marcatori (cookies -
informazioni memorizzate nel browser dell’utente durante una transazione HTTP) e im-
pone che, in caso di violazione dei dati, l’autorità nazionale venga informata entro 24 ore.
Lo stesso obbligo di informazione sussiste nei confronti degli utenti, qualora i loro dati
personali o la loro vita privata rischiano di essere danneggiati o compromessi.
12
https://eur-lex.europa.eu/LexUriServ/LexUriServ.do?uri=OJ:L:2002:201:0037:0047:it:PDF
13
https://eur-lex.europa.eu/legal-content/IT/TXT/?uri=celex%3A32006L0024
14
https://eur-lex.europa.eu/LexUriServ/LexUriServ.do?uri=OJ:L:2009:337:0011:0036:it:PDF
10
Le modifiche apportate con la Direttiva 24 del 2006 concernono le comunicazioni elet-
troniche accessibili al pubblico o di reti pubbliche e prevede che i dati sulle telecomuni-
cazioni devono essere conservati per un minimo di sei mesi a un massimo di ventiquattro
e che l’autorizzazione all’accesso a tali informazioni spetta ai tribunali.
La Direttiva ePrivacy e la Direttiva 2006/24/CE erano integrative alla Direttiva Madre e
colmavano la mancanza di norme in materia di telecomunicazioni e comunicazioni elet-
troniche. A differenza della Direttiva Madre, la Direttiva ePrivacy è tuttora in vigore, ma
dovrebbe essere riesaminata per assicurare la coerenza con il Regolamento (UE)
2016/679 del Parlamento europeo e del Consiglio del 27 aprile 2016 (GDPR)
15
, come
esplicato dal Considerando 173 in esso contenuto
16
.
2. Lacune e inadeguatezza della Direttiva Madre
Si possono annoverare varie lacune e inadeguatezze della Direttiva Madre. Innanzitutto
si può rilevare che a causa della libertà di manovra lasciata agli Stati membri nel recepire
la direttiva, l’attuazione non è avvenuta in modo armonizzato e non si riuscì ad assicurare
l’omogeneità desiderata.
In secondo luogo va sottolineato che con l’evoluzione delle nuove tecnologie, l’avvento
di Web 2.0
17
e Web 3.0
18
e l’automazione del trattamento dei dati, l’impianto normativo
divenne ben presto inadeguato. Per questo si rese necessario, in primis l’intervento di tipo
amministrativo, dottrinario e giurisprudenziale, che successivamente confluì in una pro-
fonda revisione al fine di adattare il quadro giuridico alla realtà mutuata.
15
https://eur-lex.europa.eu/legal-content/IT/TXT/?uri=celex:32016R0679
16
Una nuova proposta di regolamento relativa al rispetto della vita privata e alla tutela dei dati personali
nelle comunicazioni elettroniche, che abrogherà la direttiva 2002/58/CE è attualmente in consultazione. Il
testo della proposta è scaricabile all’URL https://eur-lex.europa.eu/legal-content/EN/TXT/?uri=CE-
LEX:52017PC0010, ultima consultazione 19 ottobre 2019
17
Cfr. nota n. 7
18
Cfr. nota n. 8
11
Un’altra fra le lacune principali era costituita dal fatto, che le disposizioni contenute nella
Direttiva Madre non prevedevano la possibilità per le persone fisiche di chiedere la can-
cellazione dei propri dati in possesso di terzi e non operava una distinzione riguardo al
trattamento dei dati di maggiorenni e di persone minori di età, meritevoli di una partico-
lare protezione riguardo ai loro dati personali, come sottolineato in varie occasioni dal
WP29
19
e dalla Commissione Europea
20
.
Peraltro la finalità principe della direttiva non era tanto la tutela della riservatezza dei dati
personali, quanto garantire la loro circolazione all’interno dello Spazio Economico Euro-
peo (SEE) funzionale alle esigenze del mercato unico e al raggiungimento degli obiettivi
della Convenzione di Schengen. Fu proprio in questa ottica che la protezione dei dati
veniva classificata come relazione statica tra il titolare e il soggetto persona fisica, che ne
consentiva il trattamento tramite informativa e consenso.
Queste limitazioni furono superate grazie alla proclamazione della c.d. Carta di Nizza del
7 dicembre 2000
21
e il successivo conferimento di efficacia vincolante da parte del Trat-
tato di Lisbona del 13 dicembre 2007
22
, con la quale l’Unione eresse il diritto alla prote-
zione dei dati personali a diritto fondamentale dei cittadini. Gli artt. 7 e 8 della Carta dei
diritti fondamentali dell’Unione europea - CEDFU (anche nota come Carta di Nizza),
dedicati alle libertà, disciplinarono la tutela del diritto alla vita privata ed alla vita fami-
liare e la tutela alla protezione dei dati di carattere personale.
19
A tale riguardo si rinvia a https://www.garanteprivacy.it/docu-
ments/10160/10704/1610749.pdf/b7d35e7e-35b8-466f-83a3-7f0bb83f8611?version=1.0, https://www.ga-
ranteprivacy.it/documents/10160/10704/1619292.pdf/1ab4d295-c2b9-405f-a2df-1e0f7ec9cfd1?ver-
sion=1.0,
https://www.garanteprivacy.it/web/guest/home/docweb/-/docweb-display/docweb/1620315, ultima
consultazione 14 agosto 2019
20
Commissione Europea, Strategia europea per un'internet migliore per i ragazzi" (COM(2012)0196)
e la relazione della COMMISSIONE, del 6 giugno 2016, dal titolo "Valutazione finale del programma plu-
riennale dell'UE per la protezione dei bambini che usano internet e altre tecnologie di comunicazione
(programma Safer Internet)" (COM(2016)0364)
21
https://www.europarl.europa.eu/charter/pdf/text_it.pdf
22
https://eur-lex.europa.eu/resource.html?uri=cellar:2bf140bf-a3f8-4ab2-b506-fd71826e6d
a6.0017.02/ DOC_1&format=PDF
12
Inoltre il Trattato sul funzionamento dell’Unione europea - TFUE, come modificato dal
Trattato di Lisbona, elevò la protezione dei dati personali a rango di diritto fondamentale
autonomo dell’uomo, svincolandosi definitivamente dal condizionamento economico-
mercantilistico che aveva influenzato il quadro normativo.
Furono questi i motivi, per i quali una revisione della Direttiva Madre si era resa neces-
saria ed indilazionabile. Attraverso consultazioni ed innumerevoli pareri dei Garanti na-
zionali e del WP 29, tramite le sentenze dei tribunali nazionali e le decisioni della Corte
di Giustizia Europea vennero colmate alcune lacune e venne coniato il c.d. diritto
all’oblio. Tuttavia si dovette attendere il Regolamento (UE) 2016/679, noto anche come
GDPR, che ha efficacia dal 25 maggio 2018 ed abroga la Direttiva Madre, per avere una
definitiva armonizzazione della regolamentazione in materia di protezione dei dati e per
passare da una visione proprietaria del dato ad una visione di controllo del dato, un raf-
forzamento dei diritti e una autodeterminazione informativa del soggetto interessato.
Ricevi informazioni sui nostri servizi, sulle offerte e non perdere news e consigli su università e lavoro.
