Euro

The european project Training Activities to Implement the Data Protection Reform (TAtoDPR) has received funding from the European Union’s Rights, Equality and Citizenship (REC) Programme of the European Union under Grant Agreement No. 769191

The contents of this Journal represent the views of the author only and are his/her sole responsibility. The European Commission does not accept any responsibility for use that may be made of the information it contains.

Home / ISSUES / Issue / La valutazione della proporzionalità delle misure che limitano i diritti fondamentali della ..

back print content read pdf content


La valutazione della proporzionalità delle misure che limitano i diritti fondamentali della privacy nelle nuove linee guida del garante europeo della protezione dei dati

Sergio Guida e Danilo Tozzi

Il Garante europeo della protezione dei dati (sin d’ora «GEDP») ha avuto modo di osservare attentamente la dimensione che la protezione dei dati personali sta acquisendo negli ultimi anni nello spazio economico europeo, riconoscendo una ormai crescente attenzione operata dal legislatore in tutti gli stati membri ed in tutti i settori politici e in quasi tutte le iniziative condotte dalla Commissione Europea. Tale attenzione non è dovuta solo ad una maggiore consapevolezza dell'opinione pubblica, ma al fatto che la grande capacità di elaborazione dei dati permessa dalla tecnologia, impatta in modo considerevole sulla vita di ogni singolo cittadino. In questo quadro, in linea con lo sviluppo del Necessity Toolkit del 2017, che aveva delimitato l’ambito di operatività del concetto di necessità delle limitazioni ai diritti fondamentali, il GEPD ha adottato a dicembre 2019 le «Linee guida sulla proporzionalità», che definiscono ulteriormente il contenuto e lo scopo dei diritti garantiti dalla Carta fondamentale e dal Regolamento generale sulla protezione dei dati (sin d’ora «GDPR»), sviluppando un'analisi legale atta alla realizzazione di un vero e proprio test di proporzionalità da applicare al trattamento dei dati personali, con la realizzazione di una lista di controllo pratica per valutare la proporzionalità delle nuove misure legislative.

Summary: Introduzione. – 1. Lo scopo delle Linee guida e come usarle – 2. Il test di proporzionalità applicato ai diritti alla privacy e alla protezione dei dati personali – 2.1. Il test di proporzionalità nella valutazione della legalità di qualsiasi misura proposta che implichi il trattamento di dati personali - 2.2. Chiarimenti sul rapporto tra proporzionalità e necessità – 2.3. Proporzionalità nella legislazione sulla protezione dei dati. Un concetto "basato sui fatti" che richiede una valutazione caso per caso da parte del legislatore dell'UE – 3. Lista di controllo per la valutazione della proporzionalità di nuove misure legislative – 3.1. Descrizione generale del flusso di lavoro – 4. Guida operativa – 5. Procedere alla valutazione del saldo equo della misura – Conclusioni.

The European Data Protection Supervisor (EDPS) has been carefully observing the dimension that personal data protection has acquired in recent years in the European economic area, recognizing a growing attention paid by the legislator in all states members, all political sectors and in almost all the initiatives conducted by the European Commission.

This attention is not only due to a greater awareness of public opinion, but to the fact that the huge data processing capacity allowed by technology causes a significant impact on each individual citizen's life. In this context, in line with the development of the 2017 Necessity Toolkit, which had delimited the scope of the concept of the need for limitations to fundamental rights, the EDPS adopted in December 2019 new «Proportionality guidelines».

These rules further define the content and purpose of the rights guaranteed by the Basic Charter and by the GDPR, developing a deep legal analysis aimed at creating a real proportionality test and practical tools to help assess the compliance of proposed EU measures that would impact the fundamental rights to privacy and the protection of personal data.

Summary:

Introduzione - 1. Lo scopo delle Linee guida e come usarle - 2. Il test di proporzionalità applicato alla privacy e alla protezione dei dati personali - 3. Lista di controllo per la valutazione della proporzionalità di nuove misure legislative - 4. Guida operativa - 5. Procedere alla valutazione del saldo equo della misura - Conclusioni - Note


Introduzione

Le nuove linee guida del Garante europeo della protezione dei dati (GEPD)[1] sulla valutazione della proporzionalità «mirano a fornire ai responsabili politici, degli strumenti pratici di valutazione della conformità delle misure UE proposte che potrebbero avere un impatto sui diritti fondamentali della privacy e sulla protezione dei dati personali come delineata dalla Carta dei diritti fondamentali dell’Unione europea»[2].

Come si legge nella Press Release, «Wojciech Wiewiórowski, GEPD, ha dichiarato che: “Qualsiasi proposta di limitazione del diritto alla protezione dei dati personali deve essere conforme al diritto dell'UE. Ciò significa garantire che tale limitazione sia necessaria e proporzionale. Le nostre Linee guida sulla proporzionalità, combinate con il Necessity Toolkit pubblicato nel 2017 (“Necessity toolkit on assessing the necessity of measures that limit the fundamental right to the protection of personal data”[3], NdA), mirano a rendere la valutazione della necessità e della proporzionalità più rapida e semplice per i responsabili politici, aiutandoli a garantire che tutte le nuove proposte dell'UE rispettino il diritto fondamentale alla protezione dei dati personali»[4].

Il GDPR «si basa sull'articolo 8[5] della Carta dei diritti fondamentali dell'Unione europea e sull'articolo 16[6] del Trattato sul funzionamento dell'Unione europea, in base ai quali tutte le persone hanno il diritto alla protezione dei propri dati personali: l'UE deve pertanto emanare una legislazione conforme in tal senso e qualsiasi provvedimento in restrizione di tali diritti deve rispettare determinati criteri (i) deve essere previsto dalla legge; (ii) deve rispettare l'essenza del diritto fondamentale in questione e (iii) deve essere sia necessario che proporzionale, tenendo conto non solo degli obiettivi della misura stessa, ma anche della necessità di proteggere i diritti e le libertà in generale»[7].

Basandosi sulla giurisprudenza pertinente e sui recenti pareri legislativi del GEPD e sui commenti formali, le linee guida sulla proporzionalità del GEPD e il Necessity Toolkit «forniscono orientamenti pratici per aiutare ad affrontare queste dimensioni chiave sin dall'inizio del processo legislativo»[8] [...] «per assicurare che i diritti fondamentali siano sempre adeguatamente tutelati»[9].


1. Lo scopo delle Linee guida e come usarle

I diritti fondamentali, sanciti dalla Carta dei diritti fondamentali dell'Unione europea (di seguito «la Carta»), fanno parte dei valori fondamentali dell'Unione europea, che sono anche stabiliti nel Trattato sull'Unione europea (di seguito «TUE»): tra questi vi sono i diritti fondamentali alla privacy e alla protezione dei dati personali sanciti dagli articoli 7 e 8 della Carta che devono essere rispettati dalle istituzioni e dagli organi dell'UE anche quando elaborano e attuano nuove politiche o adottano nuove misure legislative. Anche altre norme sui diritti fondamentali svolgono un ruolo influente nell'ordinamento giuridico dell'UE, in particolare, quelle stabilite nella Convenzione europea per la protezione dei diritti dell'uomo e delle libertà fondamentali. Le condizioni per eventuali limitazioni all'esercizio dei diritti fondamentali sono tra le caratteristiche più importanti della Carta perché determinano la misura in cui i diritti possono essere effettivamente goduti.

La necessità e la proporzionalità[10] di una misura legislativa che comporta una limitazione dei diritti fondamentali alla privacy e alla protezione dei dati personali sono un duplice requisito essenziale a cui devono conformarsi tutte le misure proposte che comportano il trattamento di dati personali. Tuttavia, garantire che la protezione dei dati diventi parte integrante del processo decisionale dell'UE richiede non solo una comprensione dei principi espressi nel quadro giuridico e nella giurisprudenza pertinente, ma anche la messa in campo di un'attenzione pratica e creativa volta alla soluzione di problemi complessi.

La Corte di giustizia dell'Unione europea (di seguito «CGUE») ha riconosciuto che la legislazione dell'UE deve spesso raggiungere diversi obiettivi di interesse pubblico, i quali a volte possono essere contraddittori, rendendo necessaria la messa a punto di un giusto equilibrio da raggiungere con i diritti fondamentali tutelati dall'ordinamento giuridico dell'UE. Tali diritti e interessi, come sancito dalla Carta, possono comprendere: il diritto alla vita (articolo 2) e all'integrità della persona (articolo 3); il diritto alla libertà e alla sicurezza (articolo 6); libertà di espressione (articolo 11); libertà di condurre un'impresa (articolo 16); il diritto di proprietà, compresa la proprietà intellettuale (articolo 17); il diritto di accesso ai documenti (articolo 42).[11]

Le Linee guida sono state sviluppate per coadiuvare i legislatori dell'UE[12], una volta individuate le misure che incidono sulla protezione dei dati e le priorità e gli obiettivi alla base di tali misure, nel trovare soluzioni che minimizzino il conflitto tra le varie priorità e che possano definirsi armonizzate secondo un principio di proporzionalità.[13] Esse offrono una metodologia pratica e dettagliata per valutare la proporzionalità delle nuove misure legislative, fornendo spiegazioni ed esempi concreti.

Il GEPD osserva che, negli ultimi anni, la protezione dei dati personali è sempre più riconosciuta come una dimensione che deve essere considerata dal legislatore in tutti i settori politici e per quasi tutte le iniziative condotte dalla Commissione. Ciò non è dovuto solo a una maggiore consapevolezza dell'opinione pubblica, ma alla grande capacità di elaborazione dei dati e al notevole impatto sulla vita di ogni singolo cittadino.

È essenziale sottolineare che la necessità e la proporzionalità, sebbene strettamente collegate tra loro (entrambe le condizioni devono essere soddisfatte dalla legislazione), comportano due prove diverse. Ciò è reso evidente nella sezione III delle Linee guida dove viene elaborata la lista di controllo pratica per la proporzionalità, in base alla quale viene fornita la prima visione olistica del flusso di lavoro complessivo cui i legislatori sono chiamati. Le Linee guida consistono in un'introduzione, che ne definisce il contenuto e lo scopo, un'analisi legale del test di proporzionalità applicato al trattamento dei dati personali e in una lista di controllo pratica per valutare la proporzionalità delle nuove misure legislative. La checklist è il nucleo delle Linee guida e può essere utilizzata autonomamente.

Gli orientamenti si basano sulla giurisprudenza della CGUE, sulla Corte europea dei diritti dell'uomo (di seguito, «CEDU»), sui pareri del GEPD e del gruppo di lavoro «Articolo 29» (di seguito, «WP29») nonché su linee guida dell'European Data Protection Board (di seguito, «EDPB»).

Insieme al Necessity Toolkit, le Linee Guida forniscono un approccio comune alla valutazione della necessità e della proporzionalità delle misure legislative in relazione al diritto alla privacy e alla protezione dei dati personali.[14]


2. Il test di proporzionalità applicato alla privacy e alla protezione dei dati personali

2.1. Il test di proporzionalità nella valutazione della legalità di qualsiasi misura proposta che implichi il trattamento di dati personali

L'articolo 8 della Carta sancisce il diritto fondamentale alla protezione dei dati personali. Il diritto non è assoluto e può essere limitato, a condizione che le limitazioni siano conformi ai requisiti di cui all'articolo 52, paragrafo 1, della Carta. La stessa analisi si applica al diritto al rispetto della vita privata sancito dall'articolo 7 della Carta.[15]

Per essere lecita, qualsiasi limitazione all'esercizio dei diritti fondamentali tutelati dalla Carta deve quindi rispettare i seguenti criteri:

  • deve essere prevista dalla legge;
  • deve rispettare l'essenza dei diritti;
  • deve conseguire obiettivi di interesse generale riconosciuti dall'Unione o la necessità di proteggere i diritti e le libertà altrui;
  • deve essere necessaria – sulla scorta del focus disciplinato dal Necessity Toolkit;
  • deve essere proporzionata: il fulcro di queste Linee guida.

Pertanto, la proporzionalità in senso lato (come indicato dalla CGUE) comprende sia la necessità che l'adeguatezza (proporzionalità in senso stretto) di una misura, vale a dire la misura in cui esiste un legame logico tra la misura e il (legittimo) obiettivo perseguito.[16]

Affinché una misura rispetti il principio di proporzionalità, i vantaggi derivanti dalla misura non dovrebbero essere compensati dagli svantaggi che la misura comporta rispetto all'esercizio dei diritti fondamentali. Pertanto tale criterio «limita le autorità nell'esercizio dei loro poteri richiedendo di raggiungere un equilibrio tra i mezzi utilizzati e l'obiettivo previsto (o il risultato raggiunto)»[17]. Quest'ultimo elemento (l'equilibrio da raggiungere) descrive la proporzionalità in senso stretto in termini di adeguatezza e costituisce il test di proporzionalità che è l'oggetto delle Linee guida e che dovrebbe essere chiaramente distinto dalla necessità sia dal punto di vista concettuale che pratico.

 

2.2. Chiarimenti sul rapporto tra proporzionalità e necessità

Come specificato nel Necessity Toolkit, «la necessità implica una valutazione combinata e basata sui fatti dell'efficacia della misura per l'obiettivo perseguito e se sia meno invasiva rispetto ad altre opzioni per raggiungere lo stesso obiettivo»[18]. Il test di necessità dovrebbe essere considerato come il primo passo a cui deve conformarsi una misura proposta che comporta il trattamento di dati personali, sicché una misura che non si è dimostrata necessaria non dovrebbe essere proposta a meno che e finché non sia stata modificata per soddisfare il requisito della necessità: in altre parole, la necessità è una condizione preliminare per la proporzionalità.

Quindi, una volta che una misura legislativa è ritenuta necessaria, dovrebbe essere esaminata in base alla sua proporzionalità. Un test di proporzionalità generalmente implica la valutazione di quali «salvaguardie» dovrebbero accompagnare una misura al fine di ridurre i rischi, posti dalla misura prevista per i diritti e le libertà fondamentali delle persone interessate, a un livello accettabile/proporzionato.

Un altro fattore da considerare nella valutazione della proporzionalità di una misura proposta è l'efficacia delle misure esistenti oltre a quella proposta. Se esistono già misure per uno scopo simile o uguale, la loro efficacia dovrebbe essere sistematicamente valutata nell'ambito della valutazione della proporzionalità. Senza una tale valutazione circa l’efficacia delle misure esistenti che perseguono uno scopo simile o uguale, il test di proporzionalità per una nuova misura non può essere considerato debitamente eseguito.

 

2.3. Conclusione: proporzionalità nella legislazione sulla protezione dei dati. Un concetto "basato sui fatti" che richiede una valutazione caso per caso da parte del legislatore dell'UE

La comparsa di un requisito di proporzionalità è stata considerata uno degli sviluppi più sorprendenti dell'ultimo decennio nella legislazione europea sulla protezione dei dati: il trattamento dei dati deve essere proporzionato rispetto allo scopo legittimo perseguito e deve riflettere in tutte le fasi del trattamento un giusto equilibrio tra tutti gli interessi in gioco.

Al centro della nozione di proporzionalità si trova l’esercizio di una attività di bilanciamento[19]che richiede la ponderazione dell'intensità dell'interferenza rispetto all' importanza dell'obiettivo raggiunto nel contesto dato. Pertanto, la chiarezza della misura che limita i diritti fondamentali alla privacy e/o alla protezione dei dati è un prerequisito per l'identificazione dell'interferenza della norma in esame. Il peso dell’interferenza, a sua volta, è necessario per verificare se l'impatto su questi diritti fondamentali è proporzionato all'obiettivo perseguito. Come affermato dalla CGUE, quella di proporzionalità è una valutazione concreta, condotta caso per caso, un’analisi da condurre sempre contestualmente alla progettazione di una norma e che non può aver luogo senza aver prima identificato il contesto della misura in esame.

L’apparato delle Linee guida mira ad aiutare il legislatore a porsi la giusta serie di domande, tenendo conto delle questioni più pertinenti e ricorrenti in materia di protezione dei dati[20]. La seguente lista di controllo mira anche a stimolare il cd. pensiero «out of the box», portando a scelte ex ante innovative e aiutando nel monitoraggio e nella valutazione ex post delle misure da adottare.


3. Lista di controllo per la valutazione della proporzionalità di nuove misure legislative

3.1. Descrizione generale del flusso di lavoro

La valutazione generale della necessità e della proporzionalità (visione sinottica) è la seguente:

Test 1. Per quanto riguarda la necessità (test di necessità), i passaggi (“Step”) raccomandati nel Necessity Toolkit sono:

  1. descrizione fattuale della misura da introdurre;
  2. identificazione dei diritti fondamentali e delle libertà limitati dal trattamento dati da porre in essere;
  3. definizione degli obiettivi della misura;
  4. scelta dell’opzione più efficace e meno invasiva.

 

Test 2. Per quanto riguarda poi la proporzionalità (test di proporzionalità), i passaggi indicati nel Proportionality Toolkit sono i seguenti:

  1. valutare l’importanza dell’obiettivo e in che modo la misura possa raggiungerlo;
  2. valutare lo scopo, l’estensione e l’intensità dell’inferenza ingenerata dalla misura;
  3. procedere ad un equo bilanciamento della misura;
  4. se la misura non è proporzionata, identificare ed introdurre le adeguate clausole di salvaguardia.

Qui lo Step 2, ovvero «valutare la portata e l’intensità dell'interferenza in termini di impatto effettivo della misura sui diritti fondamentali della privacy e della protezione dei dati» è l'altra fase chiave del test di proporzionalità.

Ricordando che i diritti e le libertà fondamentali limitati dalla misura sono già stati identificati nella seconda fase del test di necessità (test 1), in questa fase vanno riconsiderati questi diritti e libertà fondamentali al fine di accertare, ancora ex ante, ma in concreto, come sarebbero interessati dalla limitazione. In effetti, la misura non dovrebbe imporre un onere sproporzionato ed eccessivo alle persone colpite dalla limitazione in relazione all'obiettivo perseguito.

È importante notare che l'impatto può essere «minore» per l'individuo in questione, ma comunque significativo o altamente significativo per la società nel suo complesso (impatto sugli individui vs. impatto sulla società nel suo insieme).  Esempi ipotetici potrebbero riguardare:

  • danno al processo elettorale e politico (uso improprio di dati per manipolazione politica[21]);
  • profilazione illegale e discriminazione che causano sfiducia nei confronti delle autorità pubbliche;
  • effetto agghiacciante sulla libertà di espressione a causa di una sorveglianza omnicomprensiva o altri effetti negativi sulla libertà delle persone derivanti da un sistema di profilazione e valutazione pervasivo ed attuato sistematicamente.

Come si vede, l'impatto di questa fase riguarda anche il potenziale effetto dannoso della misura su una base più ampia di quella della protezione della privacy, includendo quindi i rischi per altri diritti fondamentali. Ciò è in linea con l'approccio adottato dal GDPR che si riferisce esplicitamente e in più occasioni ai «rischi per i diritti e le libertà delle persone fisiche», sottolineando così il fatto che un effetto dannoso per il diritto alla privacy è spesso indissolubilmente legato ad altri diritti fondamentali, quali la libertà di espressione e la libera circolazione e ai principi generali del diritto dell'UE come quello di non discriminazione.


4. Guida operativa

L'impatto della norma dovrebbe essere sufficientemente descritto per consentire una chiara comprensione della portata e del livello dell'interferenza sui diritti fondamentali della privacy e della protezione dei dati personali che si viene a creare. È particolarmente importante identificare con precisione:

  • l'impatto della misura: valutando le limitazioni del campo di applicazione della misura stessa, il numero di persone colpite, l’esistenza di intrusioni collaterali, ovvero di interferenze con la privacy di persone diverse dai soggetti direttamente coinvolti dalla misura che si intende porre in essere;
  • l'estensione della misura: in che termini viene limitato il diritto fondamentale, la quantità di informazioni che vengono raccolte, per quanto tempo le informazioni vengono raccolte, in che termini la misura in esame richiede la raccolta e l'elaborazione di categorie speciali di dati;
  • il livello di invadenza della misura: tenendo conto della natura dell'attività soggetta al provvedimento restrittivo, del contesto, se si tratta ovvero della profilazione delle cd. persone interessate o meno, se il trattamento comporta l'uso di un sistema decisionale automatizzato (parzialmente o completamente) con una marginalità più o meno nota di errori;
  • se la misura riguarda persone vulnerabili o meno.

Nei casi in cui gli impatti non possono essere (anche parzialmente) accertati in anticipo, potrebbe essere utile applicare il cosiddetto principio precauzionale. Come esempio di applicabilità di questo principio, si potrebbe suggerire al legislatore, secondo tutte le circostanze rilevanti del caso, di adottare un approccio incrementale, optando per l'uso di uno strumento IT già sperimentato e verificato.


5. Procedere alla valutazione del saldo equo della misura

Quando il legislatore ha raccolto tutte le informazioni richieste ed eseguito una valutazione circa l'importanza, l'efficacia e l'efficienza della misura e valutato tutte le sue possibili interferenze con la privacy e la protezione dei dati personali, arriva il momento di bilanciare (rectius equilibrare) ulteriormente l’emanando provvedimento con le ragioni della sua emanazione.

In pratica, il principio di proporzionalità richiede di stabilire un equilibrio tra la portata e la natura dell'interferenza e le ragioni dell'interferenza (i bisogni), tradotte in obiettivi effettivamente perseguiti dalla misura. La CGUE ha sottolineato che «sono in discussione numerosi diritti e libertà fondamentali protetti dall'ordinamento dell'Unione europea, la valutazione della possibile natura sproporzionata di una disposizione del diritto dell'Unione europea deve essere effettuata al fine di conciliare i requisiti della protezione di questi diversi diritti e libertà e un giusto equilibrio tra loro».

In altre parole, il principio funge da strumento per bilanciare gli interessi in conflitto secondo uno standard razionale nei casi in cui la precedenza non è data a priori a nessuno di essi. Occorre rispondere ad almeno altre due domande. In primo luogo, occorre verificare se esiste una situazione di asimmetria delle informazioni: sono state raccolte tutte le informazioni pertinenti e sono state eseguite valutazioni sia sui benefici che sui costi della misura?

Poi, è necessario confrontare i vincoli imposti alla privacy e alla protezione dei dati con i benefici (esercizio di bilanciamento): le misure previste per soddisfare l'obiettivo rispondono in modo proporzionato all'esigenza posta alla base della proposta legislativa, in considerazione di tutte le limitazioni che questa comporta alla protezione dei dati e al diritto alla privacy?

Infine, è necessario conservare (registrare ed archiviare) tutta la documentazione pertinente ottenuta o prodotta durante l’esercizio della valutazione di bilanciamento. Tale documentazione dovrebbe essere pertinente e sufficiente a fornire l’adeguata giustificazione per la misura in esame, che è poi l’obiettivo finale della valutazione posta in essere.


Conclusioni

Appare proficuo a questo punto concludere con due esempi pratici tratti dalle Linee guida analizzate.

ESEMPIO 1: Tele2 Sverige AB (CGUE, C-203/15 e C-698/15, ECLI: EU: C: 2016: 970)[22]

Il risultato della valutazione della proporzionalità (definita «necessità rigorosa») in Tele2 è negativo. La Corte sottolinea i fattori che hanno determinato la sua valutazione negativa: in particolare, tali fattori riguardano la mancanza di relazione tra i dati che devono essere conservati e la minaccia per la pubblica sicurezza, in contrasto con l'obiettivo della misura (v. punto 106 della sentenza). Al contrario, la Corte ha anche espressamente stabilito le caratteristiche della misura proporzionata. In particolare, la misura «deve, in primo luogo, stabilire regole chiare e precise che disciplinino la portata e l'applicazione di tali misure di conservazione dei dati e l'imposizione di garanzie minime, in modo che le persone i cui dati sono stati conservati abbiano garanzie sufficienti per un'efficace protezione dei loro dati personali contro il rischio di un loro uso improprio. Tale normativa deve, in particolare, indicare in quali circostanze e in quali condizioni una misura di conservazione dei dati può essere adottata come misura preventiva, garantendo in tal modo che tale misura sia limitata a quanto strettamente necessario. In secondo luogo, [...] la conservazione dei dati deve [...] soddisfare criteri oggettivi, che stabiliscano una connessione tra i dati da conservare e l'obiettivo perseguito. In particolare, si deve dimostrare che tali condizioni sono tali da circoscrivere, in pratica, l'estensione di tale misura e, quindi, il pubblico interessato dalla stessa».

ESEMPIO 7: Linee guida per la videosorveglianza del GEPD[23]

«Lo stesso approccio, consistente nel trovare l'ottimizzazione dell'interferenza sul diritto alla privacy e alla protezione dei dati personali con l'obiettivo perseguito dalla misura (ad esempio, la sicurezza dei locali), è applicato nelle Linee guida del GEPD sulla video-sorveglianza: utilizzando un approccio pragmatico basato sui principi gemelli di selettività e proporzionalità, i sistemi di videosorveglianza possono soddisfare le esigenze di sicurezza rispettando al contempo la nostra privacy. Le telecamere possono e devono essere utilizzate in modo intelligente e devono solo indirizzare i problemi di sicurezza specificamente identificati, riducendo così al minimo la raccolta di filmati non pertinenti. Ciò non solo riduce al minimo le intrusioni nella privacy, ma aiuta anche a garantire un uso più mirato e, in definitiva, più efficiente, della videosorveglianza».

In tale ottica, appare altamente esemplificativa di tutto il complesso processo retrostante l’affermazione dell’EBDP secondo cui «la videosorveglianza non è di default una necessità quando esistono altri mezzi per raggiungere lo scopo sottostante. Altrimenti rischiamo un cambiamento nelle norme culturali che porta all'accettazione della mancanza di privacy come principio generale»[24].

In sintesi entrambi gli esempi ci ricordano come «le scelte progettuali in ambito tecnologico non dovrebbero imporre le nostre interazioni sociali e la struttura delle nostre comunità, ma piuttosto sostenere i nostri valori e diritti fondamentali»[25].


Note

[1]  Le norme per la protezione dei dati nelle istituzioni dell'UE, nonché i compiti del Garante europeo della protezione dei dati (GEPD), sono stabiliti nel nuovo Regolamento (UE) 2018/1725. Queste norme sostituiscono quelle stabilite dal Regolamento (CE) n. 45/2001. Il GEPD è un'autorità di controllo indipendente sempre più influente con la precipua responsabilità di monitorare il trattamento dei dati personali da parte delle istituzioni e degli organi dell'UE, fornire consulenza sulle politiche e sulla legislazione che impattano sulla privacy e cooperare con autorità simili per garantire una protezione coerente dei dati. Le Linee guida sono state pubblicate il 19/12/2019.

[2] Cfr. EDPS, Press Release «EDPS publishes new Proportionality Guidelines aimed at making privacy-friendly policymaking easier», 18/12/2019, in https://edps.europa.eu/press-publications/press-news/press-releases/2019/edps-publishes-new-proportionality-guidelines_en.

[3]  Il Toolkit, pubblicato in data 11.04.2017 risponde alle richieste, da parte delle istituzioni UE, di orientamento in merito requisiti derivanti dall'articolo 52, paragrafo 1, della Carta, in cui si afferma che ferma qualsiasi limitazione, deve sempre essere esercitato il diritto alla protezione dei dati personali (articolo 8 della Carta), diritto «necessario» per un obiettivo di interesse generale o per proteggere i diritti e le libertà altrui.

[4] Cfr. EDPS, Press Release «EDPS publishes new Proportionality Guidelines aimed at making privacy-friendly policymaking easier», 18/12/2019, cit.

[5] R. Bifulco, M. Cartabia, A. Celotto (a cura di), L’Europa dei diritti. Commento alla Carta dei diritti fondamentali dell’Unione europea, Il Mulino - Bologna, 2001.

[6]  P. Costanzo, Testi normativi per lo studio del diritto costituzionale italiano ed europeo. Vol.1, Giappichelli – Torino, 2017.

[7]  Cfr. EDPS, Press Release «EDPS publishes new Proportionality Guidelines aimed at making privacy-friendly policymaking easier», 18/12/2019, cit.

[8]  Ibidem.

[9]  Ibidem.

[10]  AA.VV., FRA Handbook, Applying the Charter of Fundamental Rights of the European Union in law and policymaking at national level, Guidance, May 2018.

[11]  L’operazione che nelle nostre coordinate ordinamentali si traduce nel bilanciamento operato dal legislatore e sul cd. meta-bilanciamento della Consulta, v. G. Zagrebelsky, Il diritto mite. Leggi diritti giustizia, Einaudi, Torino, 1992, e R. Bin, Diritti e argomenti: il bilanciamento degli interessi nella giurisprudenza costituzionale, Giuffrè, 1992; v. anche F. Modugno, I nuovi diritti nella giurisprudenza costituzionale, Giappichelli, 1995, pp. 94-103.

[12]  Cfr. «Le Linee guida del GEPD, che rientrano nella cosiddetta "soft law", non avendo natura di regolamento vincolante, hanno il solo scopo di aiutare le istituzioni e i legislatori dell'UE a valutare la conformità delle nuove misure con la protezione dei dati personali, garantita dalla Carta dei diritti fondamentali, articoli 7 e 8 e dal GDPR» in  A Iannotti della Valle, The EDPS publishes the new Guidelines on assessing the proportionality of measures that limit the fundamental rights to privacy and to the protection of personal data, European Journal of Privacy Law & Technologies, 15/01/2020, in www.ejplt.tatodpr.eu/Tool/Evidenza/Single/view_html?id_evidenza=36

[13]  Sull’ampio panorama delle linee guida v. anche B. Pastore, Soft law, gradi di normatività, teoria delle fonti in Lavoro e diritto 17.1 (2003): 5-16.

[14]  CGUE, Joined cases C-92/09 and C-93/09, Volker und Markus Schecke GbR and Hartmut Eifert v. Land Hessen [GC], 9 November 2010, paras. 89 und 86.

[15]  M. Panebianco, Repertorio della Carta dei diritti fondamentali dell’Unione europea: annotato con i lavori preparatori e la giurisprudenza delle alte Corti europee e della Corte costituzionale italiana, Milano, 2001.

[16]  Scivoloso ma necessario il confronto con il concetto di proporzionalità quale categoria amministrativistica, su cui v. A. Sandulli, La proporzionalità dell’azione amministrativa. Cedam (Wolters Kluwer Italia), 1998; sul fronte costituzionalistico v. anche M. Cartabia, I principi di ragionevolezza e proporzionalità nella giurisprudenza costituzionale italiana. Conferenza trilaterale delle Corte costituzionali italiana, portoghese e spagnola. Roma: Palazzo della Consulta. 2013, o G. Scaccia, "Il principio di proporzionalità" in S. Mangiameli (a cura di), L'ordinamento europeo. II. L'esercizio delle competenze , Milano, Giuffre 2006 : 225-274.

[17]  European Court of Human Rights-ECHR, Case of Szabo and Vissy  v. Hungary, paragraph 73.

[18]  Riprendendo molti degli argomenti trattati dal WP29, Advice paper on essential elements of a definition and a provision on profiling within the EU General Data Protection Regulation, 13/5/2013.

[19]  Ancora sul punto v. G. Pino, Conflitto e bilanciamento tra diritti fondamentali. Una mappa dei problemi, Ethics & Politics, vol.1, Palermo, 2006.

[20]  Cfr. «Fornendo una procedura pratica “step by step” per soddisfare la "proporzionalità" delle misure, possiamo fare riferimento a queste Linee guida del 2019 come a un "Proportionality Toolkit" » in A. Iannotti della Valle, The EDPS publishes the new Guidelines on assessing the proportionality of measures that limit the fundamental rights to privacy and to the protection of personal data, European Journal of Privacy Law & Technologies, 15/01/2020, in www.ejplt.tatodpr.eu/Tool/Evidenza/Single/view_html?id_evidenza=36, cit.. 

[21]  Celebre lo scandalo Facebook/Cambridge Analytica. Su cui C. Cadwalladr, E. Graham-Harrison Revealed: 50 million Facebook profiles harvested for Cambridge Analytica in major data breach, in The Guardian 17/3/2018; J. Isaak, MJ. Hanna, User Data Privacy: Facebook, Cambridge Analytica, and Privacy Protection, Computer 51.8 (2018): 56-59.

[22]  Cfr. EDPS, Guidelines on assessing the proportionality of measures that limit the fundamental rights to privacy and to the protection of personal data, cit., 33-34.

[23]  Cfr. EDPS, Guidelines on assessing the proportionality of measures that limit the fundamental rights to privacy and to the protection of personal data, cit., 31.

[24]  Cfr. EDPB, Guidelines 3/2019 on processing of personal data through video devices, Adopted on 10 July 2019, 5.

[25]  Cfr. EDPS, Verso una nuova etica digitale Dati, dignità e tecnologia, 11/9/2015, 12.


  • Giappichelli Social