Lo scorso 27 febbraio il Gruppo di Lavoro Articolo 29 ha pubblicato un parere sui principi applicabili, sia a livello nazionale che europeo, in sede di regolamentazione del settore AFSJ, Area of Freedom, Security and Justice.
Si tratta di una materia che lambisce, ma non investe pienamente la competenza del WP29.
Ed allora perché questo parere?
Perché vi è ormai un’impellente necessità di trovare il modo per tutelare privacy e data protection dei cittadini europei al di là del limitato ambito di intervento delle Direttive privacy, le quali, essendo atti normativi pre-Lisbona, non sono applicabili all’AFSJ.
Come dimostrato dallo scandalo Datagate, ma anche dalle numerose (ed altalenanti) pronunce giurisprudenziali in tema di utilizzo a fini di indagine delle nuove tecnologie (metadati di traffico telefonico e telematico, GPS tracking, DNA fingerprinting), le aggressioni alla vita privata poste in essere da Governi, autorità giudiziarie, di polizia e sin anche dalle autorità amministrative (si veda la recente legge francese che autorizza il CNIL a fare ispezioni online) sono sempre più frequenti e pervasive.
A livello europeo, l’unico atto (la decisione quadro 2008/977/GAI si applica solo al trattamento transfrontaliero dei dati) che si prefigge di disciplinare la materia è la proposta di direttiva 2012/0010 (COD) concernente la tutela delle persone fisiche con riguardo al trattamento di dati personali da parte delle autorità competenti a fini di prevenzione indagine, accertamento e perseguimento di reati o all’esecuzione di sanzioni penali e alla libera circolazione di tali dati, ma si tratta di un provvedimento che viaggia a braccetto con la proposta di Regolamento privacy ed è stata approvata (con modifiche) dal Parlamento europeo in data 12 marzo 2014 solo in prima lettura.
Ecco allora che il WP29 tenta, con una interpretazione estensiva delle norme in tema di protezione dei dati personali, di dettare i principi base per la regolamentazione dell’AFSJ al fine di proteggere privacy e dati personali dei cittadini europei.
Questo l’iter logico seguito dal Gruppo di lavoro europeo.
Problema: l’area AFSJ non è coperta dalle Direttive in materia di tutela dei dati personali, eppure oggigiorno è difficile immaginare un provvedimento in ambito AFSJ invasivo a livello privacy che non comporti anche un trattamento di dati personali. Occorre quindi stabilire quali principi applicare quando si modifica, implementa o regolamenta ex novo una materia che rientra nell’AFSJ.
Tesi: sebbene la protezione dei dati personali sia un concetto distinto rispetto alla tutela della vita privata a cui fa riferimento l’art.8 CEDU e sia riconosciuta come un diritto fondamentale autonomo e distinto dall’art.8 della Carta dei diritti fondamentali UE, privacy e data protection sono spesso strettamente correlati e quindi i principi espressi dalla giurisprudenza della Corte EDU (tra cui i principi di necessità e proporzionalità) si possono estendere anche alla data protection.
Antitesi: l’art.52(3) della Carta stabilisce che: “Laddove la presente Carta contenga diritti corrispondenti a quelli garantiti dalla convenzione europea per la salvaguardia dei diritti dell’uomo e delle libertà fondamentali, il significato e la portata degli stessi sono uguali a quelli conferiti dalla suddetta convenzione”.
Formalmente questa disposizione fa riferimento solo all’art.7 della Carta che prevede, esattamente come l’art.8 CEDU, il diritto di ogni individuo al rispetto della propria vita privata e familiare, del proprio domicilio e delle sue comunicazioni e non alla data protection.
Tuttavia, il WP29 rileva che:
a) la data protection è un diritto fondamentale tanto quanto l’art.8 CEDU (art. 7 della Carta);
b) anche se le Direttive privacy non coprono l’AFSJ i loro principi discendono dalla Convenzione di Strasburgo n.108/1981 che ha una portata generale;
c) l’art.52(1) della Carta prevede che: “Eventuali limitazioni all’esercizio dei diritti e delle libertà riconosciuti dalla presente Carta devono essere previste dalla legge e rispettare il contenuto essenziale di detti diritti e libertà. Nel rispetto del principio di proporzionalità, possono essere apportate limitazioni solo laddove siano necessarie e rispondano effettivamente a finalità di interesse generale riconosciute dall’Unione o all’esigenza di proteggere i diritti e le libertà altrui”
Sintesi: dunque, l’interpretazione giurisprudenziale dei principi di proporzionalità e necessità elaborati dalla Corte EDU in relazione all’art.8 CEDU si applicano anche ai provvedimenti legislativi che disciplinano il trattamento di dati personali nell’ambito AFSJ.
Più che un argomentare basato sulla ferrea logica aristotelica, sembra un paradosso di Zenone!
Pur con tutta la stima che nutro per l’autorevole WP29, il nobile intento sotteso a questa opinion si rivela drammaticamente inadeguato e testimonia in tutta la sua pienezza la dura realtà venuta a galla con lo scandalo Datagate, ovverosia che manca una valida base normativa che tuteli i cittadini europei dalle aggressioni alla loro vita privata poste in essere da soggetti pubblici.
L’Europa, patria e portabandiera della data protection, dopo aver riconosciuto nella Carta il diritto alla protezione dei dati personali come autonomo diritto fondamentale, si sta accorgendo che tale diritto non è, di fatto, attuato (e non solo nel settore AFSJ atteso che le Direttive privacy, basate sul consenso informato, non reggono più neanche nell’area del mercato unico) e che l’unico modo per proteggere i suoi cittadini è recuperare la giurisprudenza della Corte EDU sull’art.8 CEDU e la Convezione 108/1981.
Come tentare di cavar sangue dalle rape.
