Viola la CEDU conservare in un database informazioni relative a soggetti i cui procedimenti penali non abbiano trovato sviluppo

percorso scandito dall’interpretazione evolutiva del testo convenzionale. La natura “casistica” della giurisprudenza convenzionale sul rispetto della vita privata e familiare è stata, del resto, efficacemente definita dalla dottrina come un “abbecedario”⁽²⁾. Alla ricerca della definizione di cosa debba intendersi per vita privata e vita familiare, possono essere anzitutto di aiuto i lavori preparatori alla Convenzione, in quali rivelano che, nella sua versione definitiva, il testo dell’art. 8 così recitava: «Nessuno sarà oggetto di immissioni arbitrarie nella sua vita privata, nella sua famiglia, nel suo domicilio, nella sua corrispondenza». La disposizione traeva diretta ispirazione dal testo dell’art. 12 della Dichiarazione universale dei diritti dell’uomo, che prevede: «Nessuno sarà oggetto di immissioni arbitrarie nella sua vita privata, nella sua famiglia, nel suo domicilio o nella sua corrispondenza, né di violazioni del suo onore e della sua reputazione». Secondo la dottrina, nell’intenzione dei redattori del testo del 1950 la “vita privata” era destinata a coprire la sfera intima della persona, volendo proteggerla dalle ingerenze arbitrarie dei poteri pubblici⁽³⁾. La dottrina riconosce, tuttavia, che una svolta nella nozione di vita privata si sia avuta con la sentenza Niemietz c. Germania del 16 dicembre 1992, a proposito della perquisizione dell’ufficio di un avvocato. Riprendendo una formula costante, la Corte affermò di non ritenere «né possibile né necessario cercare di definire in maniera esaustiva la nozione di “vita privata”», per poi però immediatamente aggiungere: «Sarebbe tuttavia troppo restrittivo limitarla ad un “cerchio intimo” in cui ciascuno può condurre la sua vita personale nel modo che preferisce e tenere totalmente separato il mondo esterno da questo cerchio. Il rispetto della vita privata deve anche comprendere, in una certa misura, il diritto per l’individuo di nutrire e sviluppare relazioni con i suoi simili»⁽⁴⁾. La sentenza Niemietz ha determinato, secondo la dottrina, un salto qualitativo nella definizione di vita privata, affiancando alla protezione della sfera personale la tutela della proiezione dell’individuo nella sfera sociale⁽⁵⁾. Ne è derivata l’applicazione dell’art. 8 della Convenzione a fattispecie che involgono la dimensione delle relazioni umane e che chiamano in causa, per esempio, il diritto al nome, il diritto all’immagine o, ancora, il diritto di esercitare una professione. Si è determinato, per l’effetto, un progressivo ampliamento della tutela di cui all’art. 8 della Convenzione dalla sfera propria delle scelte personali alla dimensione economica e lavorativa della vita della persona. La Corte e.d.u. si è, poi, occupata di descrivere e meglio dettagliare la nozione di “vita familiare”. Non è però questa la sede per analizzare l’evoluzione della giurisprudenza convenzionale della Corte su tale nozione⁽⁶⁾. In relazione agli obbiettivi del presente contributo, infatti, è giocoforza necessario soffermarsi ad analizzare uno dei diritti “derivati” da quello al rispetto della vita privata, ossia al diritto alla riservatezza inteso come diritto alla protezione dei dati personali.

Il diritto alla vita privata come tutela della protezione dei dati personali nell’U.E.

La dottrina europea ha cominciato a ricostruire il diritto alla riservatezza soprattutto come diritto al controllo sui dati personali, focalizzando, in particolare, l’attenzione sull’aspetto della protezione dei dati personali legato alla gestione automatizzata dei dati. La gestione automatizzata dei dati ha, infatti, aumentato la quantità di informazioni disponibili e la privacy si è trasformata, in primo luogo, in un problema di tutela dei dati personali che si rilasciano e che finiscono in archivi informatici. Questa tendenza ha trovato piena espressione nella Convenzione di Strasburgo n. 108 del 1981 “Sulla protezione delle persone rispetto al trattamento automatizzato di dati personali”, promossa dal Consiglio di Europa ed avente il carattere e l’obbligatorietà di un accordo internazionale⁽⁷⁾. Tale Convenzione rimane ancor oggi uno strumento giuridico fondamentale in materia, anche in considerazione del fatto che, diversamente dalle altre convenzioni del Consiglio d’Europa, questa è aperta a qualsiasi altro Stato, anche non membro del Consiglio d’Europa, dietro invito di adesione del Comitato dei Ministri. Nel Preambolo della Convenzione è sancito il principio secondo cui la libera circolazione delle informazioni tra i popoli non può prescindere dalla tutela dei diritti e delle libertà fondamentali di ciascuno e in particolare dal diritto al rispetto della vita privata. La finalità della Convenzione è invece indicata all’art. 1 ed è appunto quella di garantire la tutela degli individui, a prescindere dalla loro cittadinanza o residenza, rispetto all’elaborazione automatica dei dati che li riguardano. Sebbene tale importante Convenzione sia dedicata così approfonditamente alla protezione dei dati personali, è solo molto tempo dopo che la Comunità europea si occupa direttamente della materia. È solo con la Direttiva del Parlamento europeo e del Consiglio n. 95/46/CE che la Comunità europea ha introdotto un complesso sistema di regole che devono governare i trattamenti, anche non automatizzati, di dati personali⁽⁸⁾. La Direttiva 95/46/CE viene anche definita “Direttiva madre”, proprio in quanto costituisce il testo di riferimento – a livello europeo – in materia di protezione dei dati personali. A tal fine, la direttiva fissa limiti precisi per la raccolta e l’utilizzazione dei dati personali e chiede a ciascuno Stato membro di istituire un organismo nazionale indipendente incaricato della protezione di tali dati, il che ha condotto poi alla nascita delle Autorità nazionali di protezione dati. L’art. 29 della Direttiva 95/46 istituisce, inoltre, uno specifico Gruppo per la tutela delle persone (c.d. Working Party: art. 29) che è composto da un rappresentante della Autorità di controllo designate da ciascuno Stato membro e da un rappresentante della Commissione. Il Gruppo, che si riunisce a Bruxelles ogni bimestre, ha un carattere consultivo nei confronti di tutti gli atti adottati a livello comunitario che possono incidere sulla protezione dei dati. Obiettivo della Direttiva è essenzialmente quello di contemperare la tutela delle libertà delle persone fisiche con l’esigenza della libera circolazione dei dati tra Stati membri, strumentale a sua volta all’esercizio delle libertà di circolazione delle persone, beni e servizi all’interno del mercato e quindi al suo buon funzionamento. Il contesto di riferimento della Direttiva è, comunque, la tutela dei dati personali nell’ambito del c.d. Primo pilastro dell’Unione. L’obiettivo della Direttiva è infatti quello di creare una disciplina armonica di tutela dei dati personali per evitare la formazione di un eccessivo scarto nei livelli di tutela dei diritti e delle libertà fondamentali, che può ostacolare non solo la salvaguardia delle posizioni soggettive, ma anche l’esercizio di una serie di attività economiche su scala comunitaria. Tuttavia le disposizioni normative contenute nella direttiva 95/46/CE sono tali da vincolare gli Stati membri a conformarsi ad esse, lasciando, comunque, ai legislatori nazionali significativi margini di adattamento, specie per quanto riguarda la disciplina delle deroghe in specifici settori. La direttiva 95/46 è considerata il punto di riferimento per tutte le politiche e le azioni che abbiano un impatto sul trattamento di dati personali sia da parte delle istituzioni comunitarie sia da parte dei Paesi che fanno parte dell’Unione. È una Direttiva di armonizzazione finalizzata a fissare i principi comuni in materia di protezione dei dati per garantire una normativa uniforme all’interno dell’Unione Europea, principi che gli Stati membri devono recepire all’interno delle normative nazionali. La direttiva ha introdotto il concetto che un elevato livello di protezione delle persone nel trattamento dei dati personali che li riguardano è condizione essenziale per consentire la libera circolazione di tali dati all’interno dei Paesi dell’Unione, ed ha disciplinato i vari aspetti: le condizioni di liceità del trattamento, il regime di alcune categorie di informazioni (come ad esempio i dati sensibili), le regole di sicurezza, le condizioni per la trasmissione di dati all’esterno dell’UE. La regolamentazione del trattamento dei dati personali è il frutto, dunque, dell’idea che la protezione dei dati non debba consistere unicamente in un complesso di regole atte a favorire il superamento delle barriere che dividono l’Europa, ma possa divenire un vero e proprio elemento costitutivo della cittadinanza in tempi di costante esposizione dell’individuo all’osservazione di innumerevoli soggetti. Occorre, tuttavia, rilevare che la direttiva 95/46/CE è nata in un ambiente tecnologico, politico ed economico molto diverso da quello attuale. Per questo motivo, è in corso in seno alla Commissione una fase di revisione della Direttiva 95/46 (che sta coinvolgendo tutte le Autorità di protezione dei dati e lo stesso WP: art. 29) al fine di adattarla alla realtà attuale per essere in grado che le norme possano fronteggiare, soprattutto, l’enorme ed inaspettato sviluppo delle nuove tecnologie. Il riconoscimento definitivo della protezione dei dati come diritto fondamentale si ha, infine, con la Carta dei diritti fondamentali dell’Unione europea, proclamata a Nizza il 7 dicembre 2000 dal Parlamento europeo, dal Consiglio e dalla Commissione⁽⁹⁾. Si precisa che la Carta, non andando ad integrare i trattati istitutivi dell’Unione, mancava di una efficacia vincolante (quadro che si è modificato, con il Trattato di Lisbona). All’interno del secondo Capo della Carta, dedicato alle libertà, si colloca, la tutela del diritto alla vita privata ed alla vita familiare (previsto dall’art. 7)⁽¹⁰⁾, e la tutela alla protezione dei dati di carattere personale (previsto dall’art. 8)⁽¹¹⁾. Nonostante la divisione della tutela in due specifici articoli rispetto all’art. 8 Convenzione e.d.u., queste disposizioni normative hanno recepito un patrimonio di pluridecennale giurisprudenza della Corte europea dei diritti dell’uomo, che ha interpretato il testo scritto nel lontano 1950 adattandolo ad una società in evoluzione sotto il profilo sociale, economico e culturale. A livello europeo, inoltre, si avverte ormai da tempo l’esigenza di provvedere ad un’opera di maggiore coordinamento e collaborazione tra tutti i soggetti chiamati a garantire una tutela efficace della protezione dei dati. E questo si rinviene sia nelle materie afferenti al c.d. ex I Pilastro sia a fronte dell’estendersi della cooperazione europea nelle materie di libertà, sicurezza e giustizia (ex III Pilastro). Occorre, però, rilevare che mentre nel c.d. ex I pilastro un quadro armonico di disciplina in tema di protezione dati è contenuto nella Direttiva n.95/46 che, come detto, prevede l’istituzione di Autorità nazionali indipendenti, nonché di un gruppo di lavoro che riunisce a livello comunitario tutte le Autorità il c.d. WP art.29, nel c.d. ex III pilastro manca, invece, un quadro normativo specifico. In questo settore si opera con strumenti di cooperazione intergovernativa. La protezione dei dati trattati per finalità di sicurezza, polizia e giustizia è disciplinata attraverso norme settoriali, in particolare Convenzioni o Trattati, che prevedono la istituzione di diverse Autorità comuni di controllo (c.d. ACC). Si fa riferimento, in particolare, alle Convenzioni Schengen, Europol ed Eurodac e Vis. Tali convenzioni prevedono l’attribuzione di competenze in materia di protezione dei dati personali ad Autorità nazionali di controllo ed allo stesso tempo individuano un’Autorità comune cui sono affidati compiti di controllo su determinati archivi. In tal modo il principio di protezione dei dati è penetrato anche nell’ambito di quello che è tuttora noto – nonostante l’abolizione dei tre pilastri con l’entrata in vigore del Trattato di Lisbona nel 2009 – come il c.d. ex Terzo Pilastro dell’Unione, cioè nelle attività connesse appunto alla sicurezza interna. Negli ultimi anni, il crescente bisogno di sicurezza legato alla minaccia terroristica ha spinto verso l’adozione di sempre nuove strategie di lotta al terrorismo che hanno visto il rafforzamento delle modalità di collaborazione tra le strutture di sicurezza e di contrasto alla criminalità e la crescente estensione della raccolta, conservazione ed elaborazione di dati personali a fini di sicurezza, di polizia e di giustizia. Tutto questo ha reso sempre più evidente la necessità di predisporre ulteriori, appositi e specifici strumenti di protezione dei dati trattati per queste finalità che – operando a pieno titolo nell’ambito del c.d. ex Terzo Pilastro – siano in grado di garantire un livello di protezione più elevato di quanto oggi non avvenga. Si tratta in sostanza di andare oltre la situazione attuale che vede la protezione dei dati trattati per finalità di sicurezza, polizia e giustizia disciplinata in normative settoriali (e – laddove tali normative prevedono l’istituzione di sistemi di informazione comune – affidata a gruppi dedicati di Autorità operanti all’interno delle citate strutture Schengen, Europol, Eurodac) per giungere invece a un unico e generale sistema di protezione dei dati trattati per le finalità proprie del c.d. ex Terzo Pilastro. Oggi l’ex III Pilastro è il settore principale in cui deve misurarsi la protezione dei dati personali. Nel novembre 2008, il Consiglio ha infatti adottato la decisione quadro 2008/977/CEE (il Parlamento ha svolto soltanto una funzione consultiva), che ha appunto introdotto principi e regole comuni in materia di protezione dei dati personali trattati nell’ambito della cooperazione giudiziaria e di polizia in materia penale e quindi si applica ai dati raccolti o trattati da autorità competenti ai fini della prevenzione, dell’indagine, dell’accertamento o del perseguimento dei reati o dell’esecuzione delle sanzioni penali. Con la decisione si intende dettare una disciplina che in qualche modo “completi” quella introdotta dalla direttiva 95/46/CE che, in ragione della base giuridica scelta e della divisione in pilastri dell’ordinamento europeo, al momento (essendo il quadro mutato con l’entrata in vigore del Trattato di Lisbona) è applicabile solo ai settori coperti dal diritto comunitario (ex I Pilastro), con esclusione quindi dei trattamenti di dati svolti nei settori della cooperazione di polizia e giustizia ed in quelli della cooperazione in materia di politica estera e di sicurezza degli Stati. È importante segnalare che la decisione si applica solo alla trasmissione dei dati da un Paese membro ad un altro ed ai successivi trasferimenti. I principi non sono quindi dettati – direttamente – al legislatore nazionale per disciplinare i trattamenti di dati “nazionali”, ma devono essere applicati quando i dati vengono trasmessi alle polizie ed ai magistrati di un altro Paese UE, sulla base del c.d. principio di disponibilità.

Il lungo processo di estensione dei citati principi di protezione dati ha fatto con il Trattato di Lisbona ulteriori e significativi passi avanti. L’unificazione dei tre Pilastri tradizionali in un unico quadro normativo europeo, ispirato a regole e principi comuni e all’applicazione di identiche procedure decisionali, rappresenta uno degli aspetti più rilevanti del Trattato di Lisbona. La consacrazione del diritto alla protezione dei dati personali come diritto individuale della persona è presente in ben due norme del recente Trattato di Lisbona (che si compone del Trattato sul Funzionamento dell’Unione europea e del Trattato sull’Unione europea). In particolare, l’art. 6 del Trattato sull’Unione riconosce i diritti sanciti nella Carta di Nizza del 2000 (a cui è conferito lo stesso valore giuridico dei Trattati)⁽¹²⁾, tra cui quello alla protezione dei dati (art. 8). Si prevede, inoltre, che i diritti garantiti dalla CEDU facciano parte dell’Unione in quanto riconosciuti come principi generali. Il sistema si completa con l’adesione dell’Unione alla Convenzione Europea dei diritti dell’Uomo (CEDU). La protezione dei dati trova un riconoscimento esplicito in ben due norme del Trattato di Lisbona e si prevede, peraltro, che il suo rispetto sia garantito e soggetto al controllo di Autorità indipendenti. In particolare, l’art. 16 del Trattato sul funzionamento dell’Unione europea, in virtù della soppressione dei Pilastri, estende la protezione dei dati anche alla cooperazione giudiziaria e di polizia⁽¹³⁾. Esso prevede che il Parlamento ed il Consiglio, deliberando secondo la procedura legislativa ordinaria, stabiliscono le norme relative alla protezione dei dati nell’ex I e nell’ex III Pilastro. Infine, l’art. 39 del Trattato sull’Unione europea estende la protezione dei dati anche allo specifico settore della Politica estera e sicurezza comune (ex II Pilastro), prevedendo in questo campo la decisione presa dal solo Consiglio⁽¹⁴⁾.

Da ultimo, va qui segnalato che il 25 gennaio 2012, la Commissione europea ha presentato un pacchetto legislativo composto da una proposta di Regolamento⁽¹⁵⁾ e una proposta di Direttiva⁽¹⁶⁾ concernente il trattamento dei dati personali, al fine di modernizzare la normativa attuale che risale al 1995 (Direttiva 95/46/CE). I progressi di Internet e gli incalzanti sviluppi tecnologici hanno trasformato l’economia e le relazioni sociali. Per questo motivo la protezione dei dati personali riveste un’importanza fondamentale per l’Agenda digitale europea e, più in generale, per la strategia Europa 2020⁽¹⁷⁾. Rispetto alla direttiva 95/46/CE, la proposta di regolamento generale sulla protezione dei dati ne riorganizza il contenuto, ampliandolo notevolmente (si passa dai sette capi e 34 articoli della direttiva a 91 articoli suddivisi in undici capi contenuti nella proposta di regolamento. La Commissione europea ha previsto che le nuove norme UE si applichino anche ai dati personali trattati all’estero da imprese che sono attive sul mercato unico e offrono servizi ai cittadini dell’Unione. La proposta di direttiva COM(2012)10 eÌ, per quanto qui di interesse, diretta a disciplinare la materia del trattamento dei dati personali a fini di prevenzione e indagine, accertamento e perseguimento di reati ovvero di esecuzioni e sanzioni penali. I contenuti della proposta di direttiva corrispondono in larga parte a quelli della proposta di regolamento, fatto salvo il minor dettaglio derivante dalla natura dello strumento giuridico prescelto che implica quasi inevitabilmente l’attribuzione a ciascuno Stato membro di un certo margine di discrezionalità per la definizione di alcuni specifici profili. Il c.d. pacchetto “data protection” ha avuto una vita travagliata. Nemmeno il semestre italiano di presidenza U.E. ha consentito infatti di raggiungere l’accordo tra gli Stati membri. In particolare, il 4 dicembre u.s., il Consiglio Giustizia e Affari interni ha raggiunto un orientamento generale parziale su alcuni articoli cruciali per il settore pubblico (articolo 1, l’articolo 6, paragrafo (2) e (3), articolo 21), nonché il capitolo IX (disposizioni relative alle specifiche situazioni di elaborazione dati) e i relativi punti. Il Consiglio ha anche tenuto un dibattito orientativo sul meccanismo dello sportello unico, sulla base di una proposta presentata dalla Presidenza italiana che tiene conto della necessità, espressa anche dal Servizio giuridico del Consiglio, di migliorare la “prossimità” tra gli individui e l’autorità garante, coinvolgendo le autorità di vigilanza locali nel processo decisionale. Il 12 e 13 marzo 2015, si è tenuto a Bruxelles il primo Consiglio Giustizia e Affari Interni sotto Presidenza lettone. Il Consiglio ha raggiunto un accordo parziale sui capitoli VI e VII e i relativi considerando sul meccanismo dello “sportello unico”, e sul capitolo II sui principi generali per la protezione dei dati, e in particolar modo, sull’ottenimento del consenso dell’utente per l’uso dei dati personali. I Ministri europei per la Giustizia hanno deciso di incontrarsi in Lussemburgo a giugno 2015 per il negoziato finale, con l’obiettivo di produrre un testo generale che sarà la base sulla quale verranno avviati i negoziati con il Parlamento europeo. La proposta di un primo incontro negoziale è stata avanzata dalla Germania e accolta con successo dalla Francia, dal Portogallo, dalla Bulgaria e dalla Slovenia⁽¹⁸⁾.

Il diritto alla vita privata come tutela della protezione dei dati personali nella CEDU

Dall’esame di alcune pronunce della Corte europea dei diritti dell’uomo relative all’art. 8 della Convenzione emerge in modo abbastanza chiaro l’intento dei giudici di Strasburgo di fare della norma richiamata uno strumento di “profonda” tutela della vita privata quando essa è sinonimo di intimità. Con il tempo la Corte ha ricompreso nella nozione di privacy anche la protezione dei dati personali ed il potere di controllo sulla circolazione delle proprie informazioni. La tutela della riservatezza e del trattamento dei dati personali inizia ad affermarsi in Europa proprio attraverso la lettura dell’art. 8 della Convenzione e.d.u. ad opera dei giudici di Strasburgo. Ciò nonostante, detta disposizione non abbia un contenuto specificatamente dedicato ai menzionati aspetti. I Giudici di Strasburgo si sono fatti portatori dell’esigenza di effettuare un “controllo successivo” e “di ultima istanza” (il ricorso individuale è, infatti, possibile, ex art. 35 della Convenzione, solo dopo l’esaurimento delle vie di ricorso interno), sul flusso delle informazioni in uscita dalla sfera privata dell’individuo verso l’esterno. Si sono poste così le basi per una positivizzazione del diritto al controllo consapevole su qualsiasi forma di circolazione delle proprie informazioni personali. Gli iniziali interventi giurisprudenziali della Corte di Strasburgo erano sostanzialmente diretti a valutare le misure adottate dagli Stati, chiamati a bilanciare con le loro azioni contemporaneamente l’interesse alla protezione della privacy con quello alla circolazione delle informazioni all’interno di strutture pubbliche. La Corte europea ha applicato a queste fattispecie la norma richiamata. L’attività interpretativa della Corte ha finito così per estendere la nozione tradizionale di privacy a quella di protezione di dati personali.

Rientra, pertanto, nell’ambito della nozione di “vita privata” anche la tutela dei dati personali. La raccolta e la memorizzazione dei più disparati dati o fatti relativi ad una persona possono costituire, infatti, una vera e propria minaccia dei diritti individuali. Dati di per sé neutri possono, se aggregati ed incrociati – oggi anche per mezzo di moderne tecnologie – originare intromissioni illegittime ed indesiderate nella vita altrui. Prima dell’avvento delle tecnologie, infatti, l’interesse degli individui era volto ad impedire la diffusione al pubblico di vicende personali. Oggi, invece, l’interesse di ciascuno è più articolato: comprende sia una dimensione diretta ad evitare la raccolta e la diffusione di informazioni senza il consenso del soggetto titolare, sia volta ad impedire il collegamento di informazioni diverse, anche se fornite dallo stesso interessato, al fine di scongiurare l’aggregazione di informazioni per scopi non voluti. Tale evoluzione rappresenta il passaggio dal diritto alla «riservatezza» al «diritto alla protezione dei dati personali», ossia il diritto di controllare i dati e le informazioni relative alla propria persona considerata non più nel suo isolamento, ma nella sua attitudine ad entrare in relazione con il mondo esterno⁽¹⁹⁾.

Il caso Brunet c. Francia: analisi

La sentenza qui annotata, come anticipato, afferma che viola il diritto al rispetto della vita privata e familiare la conservazione in banche dati delle autorità inquirenti (nel caso di specie, si trattava del francese STIC) di informazioni relative a soggetti i cui procedimenti penali non abbiano trovato sviluppo. La Corte europea ha sottolineato che, avendo il ricorrente beneficiato, nel procedimento penale, di una positiva conclusione della mediazione penale⁽²⁰⁾ si trattava di una sostanziale archiviazione (classement sans suite) che avrebbe giustificato un trattamento differenziato rispetto a quello ordinariamente riservato a una persona condannata; ciò al fine di evitare una irragionevole e non motivata stigmatizzazione della persona. Nel caso di specie, poi, la violazione della convenzione sotto il profilo della sproporzione della misura (pure valutata nel contesto di una finalità legittima e secondo una espressa previsione di legge) è stata ravvisata in particolare nella omessa previsione del potere, in capo all’autorità giudiziaria, di valutare ragioni che giustifichino la cancellazione dei dati. Dati che, ribadisce la Corte, pur non avendo ad oggetto impronte digitali o profili del DNA, tuttavia devono essere considerati, nel caso specifico, particolarmente sensibili. Al fine di poter meglio comprendere le ragioni della decisione, è utile operare un sintetico inquadramento in fatto della questione. Il caso, deciso il 18 settembre, trae origine da un ricorso (n. 21010/10) contro la Francia, presentato alla Corte europea dei diritti dell’uomo, ai sensi dell’articolo 34 CEDU, da Francois Xavier Brunet, cittadino francese residente a Yerres. Il 10 ottobre 2008 il Brunet, a seguito di un violento litigio con la sua compagna, veniva dalla stessa denunciato alla Procura della Repubblica di Evry. L’uomo veniva preso in custodia dalla polizia. Lo stesso, a sua volta, ha presentato una denuncia contro la sua compagna per aggressione, cui non venne mai dato seguito. Rilasciato dalla polizia, era stato successivamente convocato per addivenire ad una “mediazione penale”. Il 12 ottobre 2008 il Brunet e la sua compagna si erano rivolti al procuratore della Repubblica esprimendo il loro dissenso circa la qualificazione giuridica del reato ascritto al medesimo, come indicato nella convocazione per la mediazione penale. La mediazione, tuttavia, era andata avanti e il procedimento era stato poi interrotto a seguito del ritiro della denuncia da parte della sua compagna. A seguito della denuncia, il Brunet era stato inserito nel database in cui sono registrati i reati denunciati in territorio francese (il sistema “STIC”, ossia il “Système de traitement des infractions constatées”), che contiene informazioni e relazioni di indagine basate su file elaborati da ufficiali della polizia, gendarmeria e dogana. Con una lettera dell’11 aprile 2009, il Brunet aveva chiesto al pubblico ministero la cancellazione dei propri dati dalla banca dati, sostenendo che la loro inclusione era ingiustificata perché la sua compagna aveva ritirato la denuncia. Il pubblico ministero aveva tuttavia respinto la richiesta con la motivazione che il procedimento era stato «interrotto sulla base di una causa diversa: nessun reato… o nessun reato sufficientemente determinato…». Il ricorrente era stato però informato che nessuna impugnazione era stata proposta contro tale decisione. Basandosi sugli artt. 8 (diritto al rispetto della vita privata e familiare) e 13 (diritto ad un efficace rimedio), il Brunet si doleva dell’inserimento dei propri dati nello “STIC”. Ai sensi degli artt. 6 (diritto ad un processo equo) e 17 (divieto di abuso del diritto), si era anche lamentato della misura della custodia di polizia cui era stato sottoposto, unitamente al mancato seguito alla denuncia che egli aveva presentato contro la sua compagna. Il ricorso veniva presentato alla Corte europea dei diritti dell’uomo il 29 marzo 2010. La quinta sezione della Corte di Strasburgo, all’unanimità, ha ritenuto violato il diritto alla privacy del ricorrente. La Corte, con riferimento all’art. 8, ha osservato che l’inserimento nel database STIC dei dati relativi al Brunet aveva costituito una interferenza con il diritto al rispetto della sua vita privata; un’interferenza che era però conforme alla legge, in quanto perseguiva i legittimi obiettivi della prevenzione dei disordini e della criminalità e la tutela dei diritti e delle libertà altrui. La Corte ha, però, esaminato se tale ingerenza era giustificata da un «bisogno sociale imperativo» e, in particolare, se era proporzionata allo scopo legittimo perseguito e se i motivi addotti a giustificazione dalle autorità francesi fossero «pertinenti e sufficienti». La Corte ha osservato che il Brunet aveva lamentato il rischio di interferenze con la sua vita privata e familiare a causa dell’inserimento dei suoi dati nel database, sostenendo che, essendo lui e la sua compagna separati con un ricorso pendente dinanzi al giudice tutelare, la consultazione della banca dati potrebbe condurre al rigetto della domanda per la custodia del loro bambino. Tuttavia, poiché tale giudice non era uno dei funzionari che avevano avuto accesso al database in questione, la Corte ha rilevato che la situazione denunciata dal ricorrente non era probabile che si verificasse. Il Brunet si era anche lamentato del carattere abusivo dell’inserimento dei suoi dati nel database STIC. Sul punto la Corte ha rilevato che le informazioni contenute nella banca dati avevano una natura piuttosto invasiva. Anche se queste informazioni non contenevano le impronte digitali degli individui o il profilo DNA, consistevano però in dettagli sull’identità e sulla personalità e erano memorizzati in un database che doveva essere utilizzato per la ricerca dei criminali. Inoltre, il tempo di custodia dei dati personali, 20 anni, era stato particolarmente lungo, laddove si consideri che il Brunet non era stato riconosciuto colpevole da un tribunale e che il procedimento era stato interrotto a seguito del ritiro della denuncia da parte della sua compagna. La Corte ha poi esaminato se tale tempo di custodia dei dati personali fosse proporzionato, tenendo conto della possibilità per l’individuo in questione di chiederne la cancellazione anticipata. A questo proposito, la Corte ha osservato che la legge, come si presentava all’epoca dei fatti e, come attualmente in vigore, attribuisce al pubblico ministero il potere di ordinare la cancellazione dei dati personali registrati nel database solo in un numero limitato di situazioni e, in caso di cessazione, solo se tale decisione era stata giustificata da prove sufficienti. Nel respingere la domanda del Brunet, la Procura della Repubblica di Evry aveva quindi applicato la legge rigorosamente. Tuttavia i pubblici ministeri non hanno il potere di verificare la pertinenza delle informazioni registrate nel database STIC alla luce del suo scopo, o valutare gli elementi di fatto e legarli alla personalità del soggetto. Di conseguenza, la Corte ha ritenuto che il pubblico ministero non aveva alcun potere discrezionale di valutare l’opportunità di mantenere tali dati, in modo tale che la sua supervisione non poteva essere considerata come efficace. La Corte ha inoltre rilevato che al momento dei fatti nessuna impugnazione era stata proposta contro la decisione del pubblico ministero. Pertanto, anche se il mantenimento delle informazioni nella banca dati STIC era limitata nel tempo, il Brunet non aveva avuto alcuna reale possibilità di chiedere la cancellazione dei dati che lo riguardavano e, in una situazione come la sua, la durata prevista di 20 anni potrebbe in pratica essere assimilata, se non come una custodia degli stessi a tempo indeterminato, ad una regola piuttosto che un limite massimo. In conclusione, la Corte ha ritenuto che la Francia aveva oltrepassato il suo margine di apprezzamento in tali questioni, e che le regole per la conservazione dei dati nel database STIC, applicate al Brunet, non garantivano un giusto equilibrio tra i concorrenti interessi in gioco, pubblici e privati. Di conseguenza, il mantenimento di tali dati poteva essere considerato come un’ingerenza sproporzionata nel diritto del ricorrente al rispetto della sua vita privata e non era necessario in una società democratica. Vi era dunque stata una violazione dell’articolo 8 della Convenzione, dichiarando che la Francia doveva corrispondere al ricorrente la somma di 3.000 euro a titolo di danno non patrimoniale. A seguito della constatazione della violazione dell’articolo 8, la Corte non ha infine ritenuto necessario pronunciarsi sulla denuncia ai sensi dell’articolo 13 e, quanto alla denunciata violazione degli artt. 6 e 17 della Convenzione e.d.u., ha osservato che il ricorrente non aveva sollevato alcun reclamo ai sensi di tali articoli davanti ai giudici francesi, ed ha quindi respinto questa parte del ricorso per il mancato esaurimento delle vie di ricorso interne.

I precedenti di rilievo della Corte e.d.u.

La sentenza della Corte europea dei diritti dell’uomo resa nel caso Brunet c. Francia si inserisce in quel filone giurisprudenziale della Corte di Strasburgo che vieta allo Stato di “custodire” i dati sensibili dei propri cittadini ove non vi siano ragioni effettive di tutela dell’ordine e sicurezza pubblica. Il diritto alla protezione della sfera privata di un individuo contro le ingerenze altrui, soprattutto da parte dello Stato, è tuttavia stato sancito per la prima volta da uno strumento giuridico internazionale nell’art. 12 della Dichiarazione universale dei diritti dell’uomo (UDHR) delle Nazioni Unite (ONU) del 1948 riguardante il rispetto della vita privata e familiare⁽²¹⁾. Tale diritto poi è stato riconosciuto come diritto fondamentale dagli strumenti convenzionali. Ai sensi dell’art. 8 CEDU, il diritto alla protezione dei dati personali relativamente alla raccolta e all’utilizzo degli stessi è, infatti, parte del diritto al rispetto della vita privata e familiare, del domicilio e della corrispondenza. A ciò si aggiunge, come ricordato, la Convenzione n. 108 del Consiglio d’Europa, che costituisce il primo strumento internazionale giuridicamente vincolante che tratta in maniera esplicita della protezione dei dati, mentre il diritto dell’UE ha disciplinato per la prima volta la protezione dei dati attraverso la direttiva sulla protezione dei dati⁽²²⁾. Il diritto dell’UE ha, dunque, riconosciuto la protezione dei dati come un diritto fondamentale.

Secondo giurisprudenza costante della Corte e.d.u., l’archiviazione e la conservazione di dati personali da parte della polizia o delle autorità nazionali di pubblica sicurezza costituiscono un’ingerenza ai sensi dell’art. 8, par. 1, CEDU. Numerose sentenze della Corte EDU riguardano la giustificazione di tali ingerenze⁽²³⁾. Tra i casi più noti ricordiamo, quello oggetto della causa B.B. c. Francia⁽²⁴⁾, in cui la Corte e.d.u. ha statuito che l’inserimento in una banca dati giudiziaria nazionale di una persona condannata per reati sessuali rientrava nell’ambito di applicazione dell’art. 8 Convenzione e.d.u. Tuttavia, poiché erano state attuate garanzie sufficienti per la protezione dei dati, fra cui il diritto dell’interessato di richiedere la cancellazione dei dati, la durata limitata della conservazione dei dati e l’accesso limitato agli stessi, era stato raggiunto un giusto equilibrio fra gli opposti interessi privati e pubblici in questione. La Corte e.d.u. ha concluso che non vi era stata alcuna violazione dell’art. 8 Convenzione e.d.u. Ancora, notissimo è il caso oggetto della causa S. e Marper c. Regno Unito [GC], deciso dalla Grande Camera il 4 dicembre 2008 (n. 30562/04 e 30566/04), in cui la Corte ebbe a constatare la violazione dell’art. 8 CEDU relativo al rispetto della vita privata e familiare⁽²⁵⁾. In tale occasione, in particolare, la Corte di Strasburgo chiarì che la conservazione a tempo indeterminato in una banca dati di impronte digitali, campioni cellulari e profili genetici di persone sospettate di reati ma non condannate, costituisce un’ingerenza sproporzionata nell’esercizio della vita privata e familiare garantito dall’art. 8 CEDU, in quanto non assicura un giusto equilibrio tra contrastanti interessi pubblici e privati (si trattava di fattispecie relativa a conservazione in banca dati di impronte digitali, campioni di cellule e profili del DNA di persone indagate di reati anche dopo che il procedimento penale nei loro confronti si era chiuso rispettivamente con un proscioglimento e una archiviazione; in quel caso la Corte ebbe altresì a disporre l’adozione da parte dello Stato convenuto di misure generali e/o individuali per adempiere all’obbligo di garantire ai ricorrenti ed alle persone nella loro stessa posizione l’esercizio del diritto al rispetto della loro vita privata). Di recente, ancora, nello stesso senso, si segnala il caso Khelili c. Svizzera⁽²⁶⁾ riguardante una cittadina francese inscritta come “prostituta” per cinque anni nel database della polizia, in assenza di alcuna condanna al riguardo. Anche in questo caso, la Corte e.d.u. ritenne violato l’art. 8 Convenzione e.d.u., in considerazione specialmente dell’importanza primaria della presunzione di innocenza in una società democratica, evidenziando come fosse inaccettabile che il mantenimento della parola “prostituta” come professione della donna (che non era mai stata condannata per esercizio illecito della prostituzione ai sensi del codice penale), possa rispondere ad un “bisogno sociale imperativo” ex art. 8 della Convenzione.

Molte altre sentenze della Corte EDU riguardano la giustificazione dell’interferenza mediante sorveglianza con il diritto alla protezione dei dati. Ad esempio, nella causa Allan c. Regno Unito⁽²⁷⁾ le conversazioni private di un detenuto con un amico nella sala visite del carcere e con un codetenuto in una cella erano state registrate in segreto dalle autorità. La Corte e.d.u. ha statuito che l’uso di dispositivi di audioregistrazione e videoregistrazione nella cella del ricorrente, nella sala visite del carcere e su un codetenuto costituisse violazione del diritto del ricorrente alla vita privata. Poiché nel momento in cui si erano verificati i fatti non esisteva un sistema legale per regolamentare l’uso di dispositivi di registrazione in segreto da parte della polizia, detta ingerenza non era conforme alla legge. La Corte e.d.u. ha concluso asserendo l’esistenza di una violazione dell’art. 8 Convenzione e.d.u. Ancora, nella causa Klass e altri c. Germania⁽²⁸⁾, i ricorrenti sostenevano che diversi atti legislativi tedeschi che autorizzavano la sorveglianza in segreto della posta, della corrispondenza e delle telecomunicazioni violassero l’art. 8 Convenzione e.d.u., in particolare perché la persona interessata non era stata informata delle misure di sorveglianza e, al termine di tali misure, non poteva adire i tribunali. La Corte e.d.u. ha statuito che il rischio di sorveglianza interferiva necessariamente con la libertà di comunicazione fra gli utenti di servizi postali e di telecomunicazione. Tuttavia, ha anche constatato che erano state attuate garanzie sufficienti contro eventuali abusi. La legislazione tedesca era giustificata nel ritenere che tali misure sono necessarie in una società democratica nell’interesse della sicurezza nazionale e ai fini della prevenzione di disordini o di reati. La Corte e.d.u. ha concluso che non vi era stata alcuna violazione dell’art. 8 Convenzione e.d.u. Si noti, peraltro, che poiché il trattamento di dati personali da parte delle autorità di polizia può avere conseguenze rilevanti per gli interessati, sono particolarmente necessarie norme dettagliate sulla protezione dei dati ai fini della tenuta di banche dati in questo settore. La raccomandazione del Consiglio d’Europa sull’uso dei dati personali in ambito di pubblica sicurezza ha cercato di affrontare la questione fornendo orientamenti sulle modalità di raccolta dei dati per le attività di polizia; sulle modalità di tenuta degli archivi di dati in questo settore e sulle persone che dovrebbero essere autorizzate ad accedere a tali archivi, comprese le condizioni per il trasferimento dei dati ad autorità di polizia straniere; sulle modalità di esercizio dei diritti alla protezione dei dati da parte degli interessati; infine, sulle modalità di attuazione del controllo da parte di autorità indipendenti. Anche l’obbligo di garantire un’adeguata sicurezza dei dati è stato considerato. La raccomandazione non consente una raccolta illimitata e indiscriminata di dati da parte delle autorità di polizia, ma limita la raccolta di dati personali da parte di dette autorità a quanto necessario per la prevenzione di un pericolo concreto o per la repressione di un reato specifico. Ogni ulteriore raccolta di dati dovrebbe basarsi su una legislazione nazionale specifica. Il trattamento di dati sensibili dovrebbe essere limitato a quanto assolutamente necessario nel contesto di una particolare indagine. Quando i dati personali sono raccolti all’insaputa dell’interessato, quest’ultimo dovrebbe esserne informato non appena la divulgazione dei dati non arrechi più pregiudizio alle indagini. Anche la raccolta di dati attraverso dispositivi tecnici di sorveglianza o altri mezzi automatizzati dovrebbe essere basata su disposizioni giuridiche specifiche. Ad esempio, nella causa Vetter c. Francia⁽²⁹⁾ alcuni testimoni anonimi avevano accusato il ricorrente di omicidio. Poiché il ricorrente si recava regolarmente a casa di un amico, la polizia aveva installato in quest’abitazione dei dispositivi di ascolto dietro autorizzazione del giudice inquirente. Sulla base delle conversazioni registrate, il ricorrente veniva arrestato e processato per omicidio. Lo stesso richiedeva quindi che la registrazione fosse dichiarata inammissibile come prova, sostenendo in particolare che non era prevista dalla legge. Per la Corte e.d.u., il punto in questione consisteva nel chiarire se l’uso di dispositivi di ascolto fosse “conforme alla legge” o meno. Le intercettazioni in luoghi privati non rientravano manifestamente nell’ambito di applicazione degli artt. 100 ss. c.p.p., poiché tali disposizioni riguardavano l’intercettazione di linee telefoniche. L’art. 81 del codice non indicava con ragionevole chiarezza la portata o le modalità di esercizio della discrezionalità da parte delle autorità nell’autorizzare il controllo di conversazioni private. Di conseguenza, il ricorrente non aveva goduto del livello minimo di protezione spettante ai cittadini nell’ambito dello Stato di diritto in una società democratica. La Corte ha concluso asserendo che vi era stata una violazione dell’art. 8 Convenzione e.d.u.

Considerazioni conclusive

L’art. 6, § 1, lett. e), della direttiva sulla protezione dei dati personali e analogamente l’articolo 5, lettera e), della Convenzione n. 108 impongono agli Stati membri di garantire che i dati personali siano “conservati in modo da consentire l’identificazione” degli interessati “per un arco di tempo non superiore a quello necessario al conseguimento delle finalità per le quali sono rilevati o sono successivamente trattati”. Pertanto, i dati devono essere cancellati quando tali finalità sono state soddisfatte. Nella causa S. e Marper, la Corte EDU ha concluso che i principi fondamentali degli strumenti pertinenti del Consiglio d’Europa nonché il diritto e la prassi in vigore presso le altre parti contraenti richiedevano che la conservazione dei dati fosse proporzionata allo scopo per il quale essi sono raccolti e limitata nel tempo, in particolare nell’ambito della pubblica sicurezza⁽³⁰⁾. I limiti di tempo per la conservazione dei dati personali si applicano, tuttavia, solo ai dati conservati in una forma che consenta l’identificazione degli interessati. La conservazione legittima dei dati che non sono più necessari potrebbe essere dunque ottenuta attraverso l’anonimizzazione dei dati. Il mantenimento dei dati per un futuro utilizzo scientifico, storico o statistico ha luogo in deroga esplicita al principio dalla conservazione di dati per un periodo di tempo limitato di cui alla direttiva sulla protezione dei dati personali⁽³¹⁾. La conservazione e l’utilizzo continui dei dati personali devono essere tuttavia legittimati da garanzie speciali ai sensi del diritto nazionale. Con propria giurisprudenza, la Corte e.d.u. ha affrontato il tema della protezione dei dati in piùÌ casi, non ultimi quelli riguardanti l’intercettazione delle comunicazioni⁽³²⁾, le varie forme di sorveglianza⁽³³⁾ nonché le garanzie rispetto alla conservazione dei dati personali da parte delle autorità pubbliche⁽³⁴⁾. La Corte ha chiarito che l’articolo 8 della CEDU non solo obbliga gli Stati ad astenersi da qualsiasi azione che possa violare questo diritto previsto dalla Convenzione, ma impone anche loro, in talune circostanze, l’obbligo di garantire attivamente l’effettivo rispetto della vita privata e familiare⁽³⁵⁾. La raccomandazione sull’uso dei dati personali nell’ambito della pubblica sicurezza, adottata dal CDE nel 1987, contiene raccomandazioni alle parti contraenti sull’applicazione dei principi della Convenzione n. 108 nel contesto del trattamento di dati personali da parte delle autorità di polizia⁽³⁶⁾. La raccomandazione non consente una raccolta illimitata e indiscriminata di dati da parte delle autoritàÌ di polizia, ma limita la raccolta di dati personali da parte di dette autoritàÌ a quanto necessario per la prevenzione di un pericolo concreto o per la repressione di un reato specifico. Ogni ulteriore raccolta di dati dovrebbe basarsi su una legislazione nazionale specifica. Il trattamento di dati sensibili dovrebbe essere limitato a quanto assolutamente necessario nel contesto di una particolare indagine. Quando i dati personali sono raccolti all’insaputa dell’interessato, quest’ultimo dovrebbe esserne informato non appena la divulgazione dei dati non arrechi più pregiudizio alle indagini. Anche la raccolta di dati attraverso dispositivi tecnici di sorveglianza o altri mezzi automatizzati dovrebbe essere basata su disposizioni giuridiche specifiche. La raccomandazione conclude affermando che, all’atto di conservare dati personali, bisognerebbe operare una chiara distinzione fra i dati amministrativi e i dati di polizia; fra le diverse categorie di interessati, quali sospettati, detenuti, vittime e testimoni; e fra i dati basati su fatti reali e quelli basati su sospetti o deduzioni. Espressione della prudenza delle Corti (U.E. e C.E.D.U.) è, del resto, la recente decisione di annullamento della C.G.U.E. della direttiva sulla conservazione dei dati personali⁽³⁷⁾. La Corte di giustizia dell’Unione europea ha dichiarato invalida la direttiva sulla conservazione dei dati⁽³⁸⁾ in quanto comportava un’ingerenza di vasta portata e di particolare gravitaÌ nei diritti fondamentali al rispetto della vita privata e alla protezione dei dati di carattere personale, non limitata allo stretto necessario.

In tale contesto normativo e giurisprudenziale, dunque, la decisione Brunet c. Francia ribadisce l’importanza attribuita dalla Corte di Strasburgo al tema, e vale, ancora una volta, da monito per gli Stati Membri che, disinvoltamente, procedono ad un trattamento di dati personali senza reali ed effettive esigenze pubblicistiche, se non quello di accrescere a dismisura i controlli dello Stato sulla collettività, così finendo per ingerirsi indebitamente nel diritto alla riservatezza, inteso come diritto al rispetto della vita privata.

Anche l’Italia, sul punto, è avvisata.

---

(1) Per un primo commento alla disposizione, V. Zeno Zencovich, art. 8, Diritto al rispetto della vita privata e familiare, in S. Bartole, B. Conforti, G. Raimondi, Commentario alla Convenzione europea per la tutela dei diritti dell’uomo e delle libertà fondamentali, Padova, 2001, 307-317; C. Russo, art. 8 § 1, in L-E. Pettiti, E. Decaux, P-H. Imbert, La Convention Européenne des droits de l’homme, Commentaire article par article, Parigi, 1995, 305-321; V. Coussirat-Coustere, art. 8 § 2, ivi, 323-354; F.G. Jacobs-R.C.A. White, The European Convention on Human Rights, Oxford, 2006, IV ed., 241- 298; Van Dijk, G.J.H. Van Hoof (éd), Theory and practise of the European Convention on Human Rights, The Hague, 1998; C. Paravani, art. 8 Diritto al rispetto della vita privata e familiare, in C. Defilippi, D. Bosi, R. Harvey, La Convenzione Europea dei diritti dell’uomo e delle libertà fondamentali, Napoli, 2004, 291-380.

(2) F. Sudre, La «construction» par le juge europeén du droit au respect de la vie privée, in ID (dir), Le droit au respect de la vie privée au sens de la Convention européenne des droits de l’homme, Bruxelles, 2005, 11-33, spec. 12.

(3) Si veda, per i riferimenti ai lavori preparatori, F. Sudre, La «construction» par le juge europeén du droit au respect de la vie privée, in ID (dir), ult. cit., 12-13.

(4) Sentenza Niemietz c. Germania [GC], 16 dicembre 1992 (n. 13710/88), § 29, in www.echr.coe.int.

(5) In questo senso, F. Sudre, La «construction» par le juge europeén du droit au respect de la vie privée, in ID (dir), cit., 15; F. Granet-Lambrechts, Le droit à l’identité, ivi, 191-213, spec.195; D. Roman, La protection sociale, ivi, 231-277, spec. 256 ; J. Mouly, Vie professionnelle et vie privée, de nouvelles rencontres sous l’égide de l’article 8 de la Convention Européenne, ivi, 279-303, spec. 280 e 295; M-T. Meulders -Klein, L’irrésistible ascension de la «vie privée» au sein de droits de l’homme, ivi, 306-332, spec. 309.

(6) Per un inquadramento della nozione di vita familiare nella giurisprudenza della Corte di Strasburgo, S. Tonolo, Le unioni civili nel diritto internazionale privato, Milano, 2007, spec. 38-56; G. Ferrando, Matrimonio e famiglia: la giurisprudenza delle Corte europea dei diritti dell’uomo ed i suoi riflessi sul diritto interno, in G. Iudica, G. Alpa (a cura di), Costituzione europea e interpretazione della Costituzione italiana, Napoli, 2006, 131-154; F. Biondi, L’unità familiare nella giurisprudenza della Corte costituzionale e delle Corti europee (in tema di ricongiungimento familiare e di espulsione degli stranieri extracomunitari), in N. Zanon (a cura di), Le Corti dell’integrazione europea e la Corte costituzionale italiana, Avvicinamenti, dialoghi, dissonanze, Napoli, 2006, 63-98; S. Patti, Famiglia, in S. Panunzio (a cura di), I diritti fondamentali e le Corti in Europa, Napoli, 2005, 493-510.

(7) Convenzione di Strasburgo n. 108/1981, resa esecutiva con L. 21 febbraio 1989, n. 98, recante “Ratifica ed esecuzione della convenzione n. 108 sulla protezione delle persone rispetto al trattamento automatizzato di dati di carattere personale, adottata a Strasburgo il 28 gennaio 1981”. Si fa presente che al momento è in corso in seno al Consiglio d’Europa un processo di revisione della Convenzione 108/1981 per renderla più attuale alla luce, soprattutto, dei cambiamenti tecnologici.

(8) Dir. 24 ottobre 1995 n. 95/46/CE, Direttiva del Parlamento europeo del Consiglio relativa alla tutela delle persone fisiche con riguardo al trattamento dei dati personali, nonché alla libera circolazione di tali dati (in G.U.C.E. 23 novembre 1995, n. L 281). Vedi, in conformità a tale direttiva: a) la decisione 2002/2/CE; b) la decisione 2002/16/CE; c) la decisione 2003/490/CE; d) la decisione 2008/393/CE; e) la decisione 2010/87/UE; f) la decisione 2010/146/UE, la decisione 2010/625/UE; g) la decisione 2011/61/UE; h) la decisione 2012/484/UE; i) la decisione 2013/65/UE.

(9) La Carta dei diritti fondamentali dell’Unione europea, detta anche Carta di Nizza, è stata solennemente proclamata una prima volta il 7 dicembre 2000 a Nizza e una seconda volta, in una versione adattata, il 12 dicembre 2007 a Strasburgo da Parlamento, Consiglio e Commissione. Il testo della Carta è pubblicato sulla G.U.U.E. n. C 364 del 18/12/2000, 1-22.

(10) L’art. 7 «Rispetto della vita privata e della vita familiare», così recita: “Ogni individuo ha diritto al rispetto della propria vita privata e familiare, del proprio domicilio e delle sue comunicazioni”.

(11) L’art. 8 «Protezione dei dati di carattere personale», così recita: “1. Ogni individuo ha diritto alla protezione dei dati di carattere personale che lo riguardano. 2. Tali dati devono essere trattati secondo il principio di lealtà, per finalità determinate e in base al consenso della persona interessata o a un altro fondamento legittimo previsto dalla legge. Ogni individuo ha il diritto di accedere ai dati raccolti che lo riguardano e di ottenerne la rettifica. 3. Il rispetto di tali regole è soggetto al controllo di un’autorità indipendente».

(12) L’art. 6 del Trattato sull’Unione Europea (TUE), così recita: “1. L‘Unione riconosce i diritti, le libertà e i principi sanciti nella Carta dei diritti fondamentali dell’Unione europea del 7 dicembre 2000, adattata il 12 dicembre 2007 a Strasburgo, che ha lo stesso valore giuridico dei trattati. Le disposizioni della Carta non estendono in alcun modo le competenze dell’Unione definite nei trattati. I diritti, le libertà e i principi della Carta sono interpretati in conformità delle disposizioni generali del titolo VII della Carta che disciplinano la sua interpretazione e applicazione e tenendo in debito conto le spiegazioni cui si fa riferimento nella Carta, che indicano le fonti di tali disposizioni. 2. L‘Unione aderisce alla Convenzione europea per la salvaguardia dei diritti dell’uomo e delle libertà fondamentali. Tale adesione non modifica le competenze dell’Unione definite nei trattati. 3. I diritti fondamentali, garantiti dalla Convenzione europea per la salvaguardia dei diritti dell’uomo e delle libertà fondamentali e risultanti dalle tradizioni costituzionali comuni agli Stati membri, fanno parte del diritto dell’Unione in quanto principi generali”.

(13) L’art. 16 del Trattato sul Funzionamento dell’Unione Europea (TFUE), così recita: “1. Ogni persona ha diritto alla protezione dei dati di carattere personale che la riguardano.
2. Il Parlamento europeo e il Consiglio, deliberando secondo la procedura legislativa ordinaria, stabiliscono le norme relative alla protezione delle persone fisiche con riguardo al trattamento dei dati di carattere personale da parte delle istituzioni, degli organi e degli organismi dell’Unione, nonché da parte degli Stati membri nell’esercizio di attività che rientrano nel campo di applicazione del diritto dell’Unione, e le norme relative alla libera circolazione di tali dati. Il rispetto di tali norme è soggetto al controllo di autorità indipendenti. Le norme adottate sulla base del presente articolo fanno salve le norme specifiche di cui all’articolo 39 del trattato sull’Unione europea”.

(14) L’art. 39 del Trattato sull’Unione Europea (TUE), così recita: “Conformemente all’articolo 16 del trattato sul funzionamento dell’Unione europea e in deroga al paragrafo 2 di detto articolo, il Consiglio adotta una decisione che stabilisce le norme relative alla protezione delle persone fisiche con riguardo al trattamento dei dati di carattere personale da parte degli Stati membri nell’esercizio di attività che rientrano nel campo di applicazione del presente capo, e le norme relative alla libera circolazione di tali dati. Il rispetto di tali norme è soggetto al controllo di autorità indipendenti”.

(15) Si tratta della Proposta di Regolamento del Parlamento Europeo e del Consiglio concernente la tutela delle persone fisiche con riguardo al trattamento dei dati personali e la libera circolazione di tali dati (Regolamento generale sulla protezione dei dati), 2012/0011 (COD), v. per il testo integrale al seguente link: http://eur-lex.europa.eu/LexUriServ/LexUriServ.do?uri=COM:2012:0011:FIN:IT:PDF.

(16) Si tratta della Proposta di Direttiva del Parlamento Europeo e del Consiglio concernente la tutela delle persone fisiche con riguardo al trattamento dei dati personali da parte delle autorità competenti a fini di prevenzione, indagine, accertamento e perseguimento di reati o esecuzione di sanzioni penali, e la libera circolazione di tali dati, 2012/0010 (COD), v. per il testo integrale al seguente link: http://eur-lex.europa.eu/LexUriServ/LexUriServ.do?uri=COM:2012:0010:FIN:IT:PDF.

(17) In seno al Parlamento europeo, la commissione competente è la commissione per le Libertà civili, giustizia e affari sociali (LIBE). Il relatore per la proposta di Regolamento è l’On. Jan Philipp Albrecht (Gruppo Verdi, Germania), per la proposta di Direttiva è l’On. Droutsas (S&D, Grecia).

(18) Il Commissario UE alla Giustizia Vera Jourova ha aggiunto che ci sarà un altro incontro a fine aprile 2015, per preparare l’incontro di giugno e rispettare l’obiettivo di adottare il Regolamento generale sulla protezione dei dati entro il 2015.

(19) Per un inquadramento dottrinario della questione, v. G. Tiberi, Riservatezza e protezione dei dati personali, in I diritti in azione. Universalità e pluralismo dei diritti fondamentali delle Corti europee, M. Cartabia (a cura di), Bologna, 2007, 351 e ss.; U. De Siervo, La privacy, in S.P. Panunzio (a cura di), I diritti fondamentali e le Corti in Europa, Napoli, 2005, 356; M. Spatti, Diritto alla riservatezza e trattamento dei dati personali, in N. Parisi, D. Ronoldi, (a cura di), Profili di diritto europeo dell’informazione e della comunicazione, Napoli, 2004, 165; R. Pardolesi, Dalla riservatezza alla protezione dei dati personali: una storia di evoluzione e discontinuità, in Id. (a cura di), Diritto alla riservatezza e circolazione dei dati personali, 1, Milano, 2003, 10; G. Arena, La tutela della riservatezza nella società dell’informatica, in Studi in onore di P. Virga, Milano, 1994, vol. I, 35 e ss.; V. Colcelli, Riservatezza e trattamento dei dati personali nella normativa dell’Unione Europea, in A. Palazzo, A. Sassi (a cura di), Diritto Privato del Mercato, Perugia, 2007, 457-493.

(20) Per il nostro ordinamento, ad esempio, il caso può essere assimilato alla conclusione del procedimento per positivo esito della “messa alla prova”.

(21) Dichiarazione universale dei diritti dell’uomo (UDHR), 10 dicembre 1948. V. anche l’art. 17 del Patto internazionale dei diritti civili e politici del 1966.

(22) V. la già cit. Direttiva 95/46/CE relativa alla tutela delle persone fisiche con riguardo al trattamento dei dati personali, nonché alla libera circolazione di tali dati (in G.U.U.E. L 281 del 23 novembre 1995).

(23) V. ad esempio: Corte e.d.u., Leander c. Svezia, n. 9248/81, 26 marzo 1987; Corte e.d.u., M.M. c. Regno Unito, n. 24029/07, 13 novembre 2012; Corte e.d.u., M.K. c. Francia, n. 19522/09, 18 aprile 2013, tutte in http://www.echr.coe.int; v., in dottrina, per una rassegna sull’argomento, A. Scarcella, Conservazione delle impronte digitali degli “assolti” e violazione dell’art. 8 Conv. e.d.u., in questa Rivista 2013, 809 ss.

(24) Corte e.d.u., B.B. c. Francia, n. 5335/06, 17 dicembre 2009, in http://www.echr.coe.int.

(25) V., per un commento F. Casasole, La conservazione di campioni biologici e di profili del DNA nella legge italiana, alla luce del dibattito europeo, in Cass. pen.2009, 4435 ss.

(26) Corte e.d.u., 18 ottobre 2011, n. 16188/07, in http://www.echr.coe.int.

(27) Corte e.d.u., Allan c. Regno Unito, n. 48539/99, 5 novembre 2002, in http://www.echr.coe.int.

(28) Corte e.d.u., Klass e a. c. Germania, n. 5029/71, 6 settembre 1978, in http://www.echr.coe.int.

(29) Corte e.d.u., Vetter c. Francia, n. 59842/00, 31 maggio 2005, in http://www.echr.coe.int.

(30) Cfr. anche, per esempio, Corte e.d.u., M.M. c. Regno Unito, n. 24029/07, 13 novembre 2012, in http://www.echr.coe.int.

(31) Direttiva sulla protezione dei dati, art. 6, § 1, lett. e).

(32) Cfr., per esempio, Corte e.d.u., Malone c. Regno Unito, n. 8691/79, 2 agosto 1984; Corte e.d.u., Copland c. Regno Unito, n. 62617/00, 3 aprile 2007, ambedue reperibili in http://www.echr.coe.int.

(33) Cfr., per esempio, Corte e.d.u., Klass e a. c. Germania, n. 5029/71, 6 settembre 1978; Corte e.d.u., Uzun c. Germania, n. 35623/05, 2 settembre 2010, ambedue reperibili in http://www.echr.coe.int.

(34) Cfr., per esempio, Corte e.d.u., Leander c. Svezia, n. 9248/81, 11 luglio 1985, oltre la già cit. Corte e.d.u., S. e Marper c. Regno Unito, n. 30562/04, 4 dicembre 2008, ambedue reperibili in http://www.echr.coe.int.

(35) Cfr., per esempio, Corte e.d.u., I. c. Finlandia, n. 20511/03, 17 luglio 2008; Corte e.d.u., K.U. c. Finlandia, n. 2872/02, 2 dicembre 2008, ambedue reperibili in http://www.echr.coe.int.

(36) CDE, Comitato dei ministri (1987), Raccomandazione N. R (87) 15 agli Stati membri che disciplina l’uso di dati personali nell’ambito della pubblica sicurezza, 17 settembre 1987.

(37) Corte di Giustizia U.E., sentenza 13 maggio 2014, cause riunite C-293/12 e C-594/12, in http://curia.europa.eu.

(38) Direttiva 2006/24/CE del Parlamento europeo e del Consiglio, del 15 marzo 2006, riguardante la conservazione di dati generati o trattati nell’ambito della fornitura di servizi di comunicazione elettronica accessibili al pubblico o di reti pubbliche di comunicazione e che modifica la direttiva 2002/58/CE.