|
SENTENZA DELLA
CORTE DI GIUSTIZIA DELLE COMUNITA' EUROPEE
6 novembre 2003
«Direttiva 95/46/CE - Ambito di applicazione -Pubblicazione dei dati personali
su Internet - Luogo della pubblicazione - Nozione di trasferimento di dati
personali verso paesi terzi - Libertà d'espressione - Compatibilità con la
direttiva 95/46 di una protezione più ampia dei dati personali da parte della
normativa di uno Stato membro»
Nel procedimento C-101/01,
avente ad oggetto la domanda di pronuncia pregiudiziale proposta alla Corte, a
norma dell'art. 234 CE, dalla Göta Hovrätt (Svezia), nel procedimento penale
dinanzi ad essa pendente contro
Bodil Lindqvist,
domanda vertente, in particolare, sull'interpretazione della direttiva del
Parlamento europeo e del Consiglio 24 ottobre 1995, 95/46/CE, relativa alla
tutela delle persone fisiche con riguardo al trattamento dei dati personali,
nonché alla libera circolazione di tali dati (GU L 281, pag. 31),
LA CORTE,
composta dal sig. P. Jann, presidente della Prima Sezione, facente funzione di
presidente, dai sigg. C.W.A. Timmermans, C. Gulmann, J.N. Cunha Rodrigues e A.
Rosas, presidenti di sezione, D.A.O. Edward (relatore), J.-P. Puissochet, dalla
sig.ra F. Macken, e dal sig. S. von Bahr, giudici,
avvocato generale: sig. A. Tizzano
cancelliere: sig. H. von Holstein, cancelliere aggiunto
viste le osservazioni scritte presentate:
- per la sig.ra Lindqvist, dal sig. S. Larsson, advokat;
- per il governo svedese, dal sig. A. Kruse, in qualità di agente;
- per il governo dei Paesi Bassi, dalla sig.ra H.G. Sevenster, in qualità di
agente;
- per il governo del Regno Unito, dalla sig.ra G. Amodeo, in qualità di agente,
assistita dalla sig.ra J. Stratford, barrister;
- per la Commissione delle Comunità europee, dalla sig.ra L. Ström e dal sig. X.
Lewis, in qualità di agenti,
vista la relazione d'udienza,
sentite le osservazioni orali della sig.ra Lindqvist, rappresentata dal sig. S.
Larsson, del governo svedese, rappresentato dal sig. A. Kruse e dalla sig.ra B.
Hernqvist, in qualità di agente, del governo olandese, rappresentato dalla
sig.ra J. van Bakel, in qualità di agente, del governo del Regno Unito,
rappresentato dalla sig.ra J. Stratford, della Commissione, rappresentata dalla
sig.ra L. Ström e dal sig. X. Lewis, e dell'Autorità di vigilanza AELS,
rappresentata dalla sig.ra D. Sif Tynes, in qualità di agente, all'udienza del
30 aprile 2003,
sentite le conclusioni dell'avvocato generale, presentate all'udienza del 19
settembre 2002,
ha pronunciato la seguente
Sentenza
1.
Con ordinanza 23 febbraio 2001, pervenuta in cancelleria il 1° marzo successivo,
la Göta Hovrätt (Corte d'appello della regione del Götaland) ha sottoposto alla
Corte, ai sensi dell'art. 234 CE, sette questioni pregiudiziali vertenti, in
particolare, sull'interpretazione della direttiva del Parlamento europeo e del
Consiglio 24 ottobre 1995, 95/46/CE, relativa alla tutela delle persone fisiche
con riguardo al trattamento dei dati personali, nonché alla libera circolazione
di tali dati (GU L 281, pag. 31).
2.
Tali questioni sono state sollevate nell'ambito di un procedimento penale
svoltosi dinanzi al suddetto giudice contro la sig.ra Lindqvist, imputata di
aver violato la normativa svedese relativa alla protezione dei dati personali
pubblicando nel suo sito Internet dati personali riguardanti un certo numero di
persone che lavorano, come lei, in qualità di volontari in una parrocchia della
Chiesa protestante di Svezia.
Contesto normativo
La normativa comunitaria
3.
La direttiva 95/46 riguarda, come risulta dall'art. 1, n. 1, la tutela dei
diritti e delle libertà fondamentali delle persone fisiche e particolarmente del
diritto alla vita privata, con riguardo al trattamento dei dati personali.
4.
L'art. 3 della direttiva 95/46, relativa al suo campo di applicazione, così
dispone:
«1. Le disposizioni della presente direttiva si applicano al trattamento di dati
personali interamente o parzialmente automatizzato nonché al trattamento non
automatizzato di dati personali contenuti o destinati a figurare negli archivi.
2. Le disposizioni della presente direttiva non si applicano ai trattamenti di
dati personali:
- effettuati per l'esercizio di attività che non rientrano nel campo di
applicazione del diritto comunitario, come quelle previste dai titoli V e VI del
trattato sull'Unione europea e comunque ai trattamenti aventi come oggetto la
pubblica sicurezza, la difesa, la sicurezza dello Stato (compreso il benessere
economico dello Stato, laddove tali trattamenti siano connessi a questioni di
sicurezza dello Stato) e le attività dello Stato in materia di diritto penale;
- effettuati da una persona fisica per l'esercizio di attività a carattere
esclusivamente personale o domestico».
5.
L'art. 8 della direttiva 95/46, dal titolo «Trattamenti riguardanti categorie
particolari di dati», così recita:
«1. Gli Stati membri vietano il trattamento di dati personali che rivelano
l'origine razziale o etnica, le opinioni politiche, le convinzioni religiose o
filosofiche, l'appartenenza sindacale, nonché il trattamento di dati relativi
alla salute e alla vita sessuale.
2. Il paragrafo 1 non si applica qualora:
a) la persona interessata abbia dato il proprio consenso esplicito a tale
trattamento, salvo nei casi in cui la legislazione dello Stato membro preveda
che il consenso della persona interessata non sia sufficiente per derogare al
divieto di cui al paragrafo 1, oppure
b) il trattamento sia necessario, per assolvere gli obblighi e i diritti
specifici del responsabile del trattamento in materia di diritto del lavoro,
nella misura in cui il trattamento stesso sia autorizzato da norme nazionali che
prevedono adeguate garanzie, oppure
c) il trattamento sia necessario per salvaguardare un interesse vitale della
persona interessata o di un terzo nel caso in cui la persona interessata è
nell'incapacità fisica o giuridica di dare il proprio consenso; o
d) il trattamento sia effettuato, con garanzie adeguate, da una fondazione,
un'associazione o qualsiasi altro organismo che non persegua scopi di lucro e
rivesta carattere politico, filosofico, religioso o sindacale, nell'ambito del
suo scopo lecito e a condizione che riguardi unicamente i suoi membri o le
persone che abbiano contatti regolari con la fondazione, l'associazione o
l'organismo a motivo del suo oggetto e che i dati non vengano comunicati a terzi
senza il consenso delle persone interessate; o
e) il trattamento riguardi dati resi manifestamente pubblici dalla persona
interessata o sia necessario per costituire, esercitare o difendere un diritto
per via giudiziaria.
3. Il paragrafo 1 non si applica quando il trattamento dei dati è necessario
alla prevenzione o alla diagnostica medica, alla somministrazione di cure o alla
gestione di centri di cura e quando il trattamento dei medesimi dati viene
effettuato da un professionista in campo sanitario soggetto al segreto
professionale sancito dalla legislazione nazionale, comprese le norme stabilite
dagli organi nazionali competenti, o da un'altra persona ugualmente soggetta a
un obbligo di segreto equivalente.
4. Purché siano previste le opportune garanzie, gli Stati membri possono, per
motivi di interesse pubblico rilevante, stabilire ulteriori deroghe oltre a
quelle previste dal paragrafo 2 sulla base della legislazione nazionale o di una
decisione dell'autorità di controllo.
5. I trattamenti riguardanti i dati relativi alle infrazioni, alle condanne
penali o alle misure di sicurezza possono essere effettuati solo sotto controllo
dell'autorità pubblica, o se vengono fornite opportune garanzie specifiche,
sulla base del diritto nazionale, fatte salve le deroghe che possono essere
fissate dallo Stato membro in base ad una disposizione nazionale che preveda
garanzie appropriate e specifiche. Tuttavia un registro completo delle condanne
penali può essere tenuto solo sotto il controllo dell'autorità pubblica.
Gli Stati membri possono prevedere che i trattamenti di dati riguardanti
sanzioni amministrative o procedimenti civili siano ugualmente effettuati sotto
controllo dell'autorità pubblica.
6. Le deroghe al paragrafo 1 di cui ai paragrafi 4 e 5 sono notificate alla
Commissione.
7. Gli Stati membri determinano a quali condizioni un numero nazionale di
identificazione o qualsiasi altro mezzo identificativo di portata generale può
essere oggetto di trattamento».
6.
L'art. 9 della direttiva 95/46, dal titolo «Trattamenti di dati personali e
libertà d'espressione», dispone quanto segue:
«Gli Stati membri prevedono, per il trattamento di dati personali effettuato
esclusivamente a scopi giornalistici o di espressione artistica o letteraria, le
esenzioni o le deroghe alle disposizioni del presente capo e dei capi IV e VI
solo qualora si rivelino necessarie per conciliare il diritto alla vita privata
con le norme sulla libertà d'espressione».
7.
L'art. 13 della direttiva 95/46, dal titolo «Deroghe e restrizioni», dispone che
gli Stati membri possono adottare restrizioni a taluni obblighi posti dalla
direttiva a carico del responsabile del trattamento dei dati, in particolare
quanto all'informazione delle persone interessate, qualora le suddette
restrizioni siano necessarie alla salvaguardia, ad esempio, della sicurezza
dello Stato, della difesa, della pubblica sicurezza, di un rilevante interesse
economico o finanziario di uno Stato membro o dell'Unione europea, nonché
all'accertamento e al perseguimento di infrazioni penali o di violazioni della
deontologia di professioni regolamentate.
8.
L'art. 25 della direttiva 95/46, che figura nel capo IV, intitolato
«Trasferimenti di dati personali verso paesi terzi», è formulato come segue:
«1. Gli Stati membri dispongono che il trasferimento verso un paese terzo di
dati personali oggetto di un trattamento o destinati a essere oggetto di un
trattamento dopo il trasferimento può aver luogo soltanto se il paese terzo di
cui trattasi garantisce un livello di protezione adeguato, fatte salve le misure
nazionali di attuazione delle altre disposizioni della presente direttiva.
2. L'adeguatezza del livello di protezione garantito da un paese terzo è
valutata con riguardo a tutte le circostanze relative ad un trasferimento o ad
una categoria di trasferimenti di dati; in particolare sono presi in
considerazione la natura dei dati, le finalità del o dei trattamenti previsti,
il paese d'origine e il paese di destinazione finale, le norme di diritto,
generali o settoriali, vigenti nel paese terzo di cui trattasi, nonché le regole
professionali e le misure di sicurezza ivi osservate.
3. Gli Stati membri e la Commissione si comunicano a vicenda i casi in cui, a
loro parere, un paese terzo non garantisce un livello di protezione adeguato ai
sensi del paragrafo 2.
4. Qualora la Commissione constati, secondo la procedura dell'articolo 31,
paragrafo 2, che un paese terzo non garantisce un livello di protezione adeguato
ai sensi del paragrafo 2 del presente articolo, gli Stati membri adottano le
misure necessarie per impedire ogni trasferimento di dati della stessa natura
verso il paese terzo in questione.
5. La Commissione avvia, al momento opportuno, negoziati per porre rimedio alla
situazione risultante dalla constatazione di cui al paragrafo 4.
6. La Commissione può constatare, secondo la procedura di cui all'articolo 31,
paragrafo 2, che un paese terzo garantisce un livello di protezione adeguato ai
sensi del paragrafo 2 del presente articolo, in considerazione della sua
legislazione nazionale o dei suoi impegni internazionali, in particolare di
quelli assunti in seguito ai negoziati di cui al paragrafo 5, ai fini della
tutela della vita privata o delle libertà e dei diritti fondamentali della
persona.
Gli Stati membri adottano le misure necessarie per conformarsi alla decisione
della Commissione».
9.
Al momento dell'adozione della direttiva 95/46, il Regno di Svezia ha
rilasciato, a proposito dell'art. 9 di questa, una dichiarazione iscritta nel
verbale del Consiglio (documento del Consiglio 2 febbraio 1995, n. 4649/95), che
recita:
«Il Regno di Svezia ritiene che la nozione di espressione artistica e letteraria
si riferisca ai mezzi d'espressione anziché al contenuto della comunicazione o
alla sua qualità».
10.
La Convenzione europea per la salvaguardia dei diritti dell'uomo e delle libertà
fondamentali, firmata a Roma il 4 novembre 1950 (in prosieguo: la «CEDU»),
prevede, all'art. 8, il diritto al rispetto della vita privata e familiare e
contiene, nell'art. 10, disposizioni relative alla libertà di espressione.
La normativa nazionale
11.
La direttiva 95/46 è stata recepita nell'ordinamento svedese con la
Personunppgiftslag, SFS 1998, n. 204 (legge svedese sui dati personali, in
prosieguo: la «PUL»).
Causa principale e questioni pregiudiziali
12.
La sig.ra Lindqvist, oltre ad occupare un posto di lavoro subordinato come
agente per la manutenzione, esercitava la funzione di formatrice di comunicandi
nella parrocchia di Alseda (Svezia). Ella ha seguito un corso di informatica
nell'ambito del quale doveva in particolare creare una pagina iniziale in
Internet («home page»). Alla fine del 1998, la sig.ra Lindqvist ha creato, a
casa sua e con un personal computer, alcune pagine Internet allo scopo di
consentire ai parrocchiani che si preparavano alla cresima di ottenere
facilmente le informazioni di cui avevano bisogno. A sua richiesta,
l'amministratore del sito della Chiesa di Svezia ha creato un collegamento
ipertestuale («link») fra tali pagine e il suddetto sito.
13.
Le pagine in questione contenevano informazioni sulla sig.ra Lindqvist e su 18
suoi colleghi della parrocchia, compreso il loro nome e cognome o, talvolta,
soltanto il loro nome. La sig.ra Lindqvist ha inoltre descritto, in termini
leggermente scherzosi, le mansioni dei colleghi e le loro abitudini nel tempo
libero. In molti casi, era inoltre descritta la loro situazione familiare ed
erano indicati i recapiti telefonici nonché altre informazioni. Peraltro, era in
particolare riferito il fatto che una collega, essendosi ferita ad un piede, era
in congedo parziale per malattia.
14.
Dell'esistenza di tali pagine la sig.ra Lindqvist non aveva informato i suoi
colleghi, né aveva chiesto il loro consenso, né aveva dichiarato di averle
realizzate alla Datainspektion (ente pubblico per la tutela dei dati trasmessi
per via informatica). Ella ha eliminato le pagine in questione non appena è
venuta a conoscenza del fatto che queste non erano apprezzate da taluni suoi
colleghi.
15.
Il Pubblico ministero ha promosso un procedimento penale nei confronti della
sig.ra Lindqvist per violazione della PUL ed ha concluso per la sua condanna, in
quanto ella aveva:
- sottoposto a trattamento automatizzato taluni dati senza prima informarne per
iscritto la Datainspektion (art. 36 della PUL);
- trattato senza autorizzazione dati personali sensibili, e cioè quelli relativi
ad una ferita al piede e ad un congedo parziale per malattia (art. 13 della PUL);
- trasferito verso paesi terzi dati personali sottoposti ad un trattamento non
autorizzato (art. 33 della PUL).
16.
La sig.ra Lindqvist ha confermato i fatti, ma ha contestato la loro rilevanza
penale. Condannata dall'Eksjö tingsrätt (Tribunale di primo grado di Eksjö,
Svezia) al pagamento di una ammenda, ella ha impugnato tale decisione dinanzi al
giudice a quo.
17.
L'ammenda ammontava a SEK 4 000, tenuto conto dell'applicazione alla somma di
SEK 100, calcolata in base alla situazione finanziaria della sig.ra Lindqvist,
di un moltiplicatore 40 che rappresenta la severità della pena. La sig.ra
Lindqvist è stata inoltre condannata a versare SEK 300 a un fondo svedese
destinato ad aiutare le vittime di reati.
18.
Nutrendo dubbi sull'interpretazione del diritto comunitario applicabile in
materia, in particolare della direttiva 95/46, la Göta Hovrätt ha deciso di
sospendere il procedimento e di sottoporre alla Corte le seguenti questioni
pregiudiziali:
«1) Se l'indicazione di una persona - con il nome o con il nome e il numero di
telefono - in una pagina iniziale su Internet costituisca un comportamento che
rientra nell'ambito di applicazione della direttiva [95/46]. Se il realizzare
personalmente una pagina iniziale su Internet e l'inserirvi il nome di un certo
numero di persone unitamente a dichiarazioni e affermazioni riguardanti, tra
l'altro, la situazione lavorativa di queste ultime e gli interessi da esse
coltivati nel tempo libero costituisca un trattamento di dati personali
interamente o parzialmente automatizzato.
2) Ove la questione precedente venga risolta negativamente, se il redigere,
all'interno di una pagina iniziale su Internet, pagine che riguardano
specificamente una quindicina di persone e il collegare tali pagine tra di esse
in modo da consentire la ricerca nominativa possa essere considerato un
trattamento non automatizzato di dati personali contenuti o destinati a figurare
negli archivi ai sensi dell'art. 3, n. 1, della direttiva.
Per il caso in cui una delle questioni precedenti venga risolta positivamente,
la Hovrätt pone anche le questioni seguenti:
3) Se il pubblicare, in una pagina iniziale privata ma accessibile a chiunque ne
conosca l'indirizzo, dati del tipo indicato relativi a colleghi di lavoro possa
essere considerato un comportamento che non rientra nell'ambito di applicazione
della direttiva [95/46] in forza di una delle eccezioni di cui all'art. 3, n. 2,
della stessa.
4) Se l'informazione, in una pagina iniziale, secondo la quale un collega di
lavoro, di cui viene specificato il nome, si è ferito ad un piede e si trova in
congedo parziale per malattia costituisca un dato personale relativo alla salute
che, a norma dell'art. 8, n. 1, della direttiva, non può essere trattato.
5) Considerato che in certi casi la direttiva [95/46] vieta il trasferimento di
dati personali verso paesi terzi, se una persona che si trova in Svezia e che,
servendosi di un computer, pubblica dati personali in una pagina iniziale
caricata su un server in Svezia - di modo che tali dati divengono accessibili ai
cittadini di paesi terzi - trasferisca dati verso paesi terzi ai sensi della
direttiva 95/46. Se la soluzione di tale questione rimanga la stessa anche nel
caso in cui, per quanto si sappia, nessuna persona di un paese terzo abbia di
fatto preso conoscenza dei dati o nel caso in cui il server di cui trattasi si
trovi fisicamente in un paese terzo.
6) Se in un caso come quello di specie si possa ritenere che le disposizioni
della direttiva [95/46] pongano limiti incompatibili con i principi generali in
materia di libertà di espressione, o con altre libertà e diritti, vigenti
all'interno dell'Unione europea e che trovano corrispondenza, tra l'altro,
nell'art. 10 della Convenzione europea per la salvaguardia dei diritti dell'uomo
e delle libertà fondamentali.
La Hovrätt desidera infine porre la seguente questione:
7) Se uno Stato membro possa, nelle circostanze indicate nelle questioni
precedenti, prevedere una tutela più ampia dei dati personali o ampliare
l'ambito di applicazione della direttiva [95/46], anche ove non ricorra nessuna
delle condizioni di cui all'art. 13 della medesima».
Sulla prima questione
19.
Con la prima questione, il giudice del rinvio chiede se l'operazione consistente
nel far riferimento, in una pagina Internet, a diverse persone e
nell'identificarle vuoi con il loro nome, vuoi con altri mezzi, ad esempio con
il loro numero telefonico, o fornendo informazioni riguardanti la loro
situazione lavorativa e gli interessi da esse coltivati nel tempo libero
costituisca un «trattamento di dati personali interamente o parzialmente
automatizzato» ai sensi dell'art. 3, n. 1, della direttiva 95/46.
Osservazioni presentate alla Corte
20.
Secondo la sig.ra Lindqvist, non è ragionevole ritenere che la semplice menzione
del nome di una persona o di dati personali in un testo contenuto in una pagina
Internet costituisca un trattamento automatizzato di dati. Per contro,
l'indicazione di siffatti dati in una parola chiave dei marcatori («meta tags»)
di una pagina Internet, che consente di procedere ad un'indicizzazione e di
trovare tale pagina mediante un motore di ricerca, potrebbe costituire un
trattamento del genere.
21.
Il governo svedese sostiene che la nozione di «trattamento di dati personali
interamente o parzialmente automatizzato», come contemplato dall'art. 3, n. 1,
della direttiva 95/46, comprende qualsiasi trattamento informatico, cioè in
formato binario. Di conseguenza, ove un dato personale venga trattato mediante
computer, indipendentemente dal fatto che ciò avvenga, ad esempio, mediante un
programma di trattamento di testo o al fine di inserirlo in una pagina Internet,
esso costituirebbe oggetto di un trattamento rientrante nell'ambito della
direttiva 95/46.
22.
Il governo dei Paesi Bassi fa valere che l'inserimento di dati personali in una
pagina Internet si effettua con l'ausilio di un computer e di un server, il che
costituirebbe una caratteristica rilevante dell'automatizzazione, di guisa che
si dovrebbe ritenere che tali dati costituiscano oggetto di un trattamento
automatizzato.
23.
La Commissione sostiene che la direttiva 95/46 si applica a qualsiasi
trattamento di dati personali riconducibile all'art. 3 della stessa,
indipendentemente dai mezzi tecnici utilizzati. La messa a disposizione di dati
personali su Internet costituirebbe di conseguenza un trattamento automatizzato,
in tutto o in parte, a condizione che non esistano limitazioni tecniche che
riducano il trattamento ad una operazione esclusivamente manuale. Una pagina
Internet rientrerebbe quindi, per sua stessa natura, nell'ambito di applicazione
della direttiva 95/46.
Soluzione della Corte
24.
La nozione di «dati personali» accolta nell'art. 3, n. 1, della direttiva 95/46
comprende, conformemente alla definizione che figura nell'art. 2, lett. a), di
questa, «qualsiasi informazione concernente una persona fisica identificata o
identificabile». Tale nozione ricomprende certamente il nome di una persona
accostato al suo recapito telefonico o ad informazioni relative alla sua
situazione lavorativa o ai suoi passatempo.
25.
Quanto alla nozione di «trattamento» di siffatti dati, accolta dall'art. 3, n.
1, della direttiva 95/46, essa comprende, in conformità alla definizione che
figura nell'art. 2, lett. b), di questa, «qualsiasi operazione o insieme di
operazioni compiute con o senza l'ausilio di processi automatizzati e applicate
a dati personali». Quest'ultima disposizione indica diversi esempi di operazioni
del genere, tra i quali figurano la comunicazione mediante trasmissione, la
diffusione o qualsiasi altra forma di messa a disposizione di dati. Ne consegue
che l'operazione consistente nel far comparire in una pagina Internet dati
personali va considerata come un trattamento del genere.
26.
Resta da stabilire se tale trattamento sia «automatizzato in tutto o in parte».
In proposito, occorre rilevare che far apparire delle informazioni in un pagina
Internet impone, secondo i procedimenti tecnici e informatici attualmente
applicati, di realizzare un'operazione di caricamento di questa pagina su un
server nonché le operazioni necessarie per rendere questa pagina accessibile a
coloro che si sono collegati ad Internet. Tali operazioni vengono effettuate,
almeno in parte, in modo automatizzato.
27.
La prima questione va quindi risolta nel senso che l'operazione consistente nel
fare riferimento, in una pagina Internet, a diverse persone e nell'identificarle
vuoi mediante il loro nome, vuoi con altri mezzi, ad esempio indicando il loro
numero di telefono o informazioni relative alla loro situazione lavorativa e ai
loro passatempo, costituisce un «trattamento di dati personali interamente o
parzialmente automatizzato», ai sensi dell'art. 3, n. 1, della direttiva 95/46.
Sulla seconda questione
28.
Dato che la prima questione è stata risolta in senso affermativo, non occorre
risolvere la seconda questione, che è stata posta solo per il caso di soluzione
negativa della prima.
Sulla terza questione
29.
Con la terza questione, il giudice a quo chiede in sostanza se un trattamento di
dati personali come quello che è oggetto della prima questione rientri in una
delle eccezioni previste dell'art. 3, n. 2, della direttiva 95/46.
Osservazioni presentate alla Corte
30.
La sig.ra Lindqvist sostiene che un privato il quale, facendo uso della sua
libertà di espressione, crei pagine Internet nell'ambito di un'attività a scopo
non lucrativo o del suo tempo libero non esercita un'attività economica ed esula
quindi dall'applicazione del diritto comunitario. Ove la Corte dovesse
pronunciarsi in senso contrario, si porrebbe allora la questione della validità
della direttiva 95/46, giacché, adottandola, il legislatore comunitario avrebbe
ecceduto le competenze conferitegli dall'art. 100 A del Trattato CE (divenuto,
in seguito a modifica, art. 95 CE). Infatti, il ravvicinamento delle
legislazioni, che avrebbe come scopo l'instaurazione e il funzionamento del
mercato interno, non potrebbe servire come fondamento giuridico per misure
comunitarie che disciplinano il diritto dei privati alla libertà di espressione
su Internet.
31.
Il governo svedese fa valere che, nel trasporre la direttiva 95/46
nell'ordinamento interno, il legislatore svedese ha ritenuto che il trattamento
di dati personali da parte di una persona fisica, consistente nel trasmettere
tali dati ad un numero indeterminato di destinatari, ad esempio via Internet,
non potesse essere qualificato come «attività a carattere esclusivamente
personale o domestico», ai sensi dell'art. 3, n. 2, secondo trattino, della
direttiva 95/46. Per contro, tale governo non esclude che l'eccezione prevista
nel primo trattino di tale paragrafo contempli il caso in cui una persona fisica
pubblichi dati personali in una pagina Internet nel solo ambito dell'esercizio
della propria libertà d'espressione e senza alcun nesso con un'attività
professionale o commerciale.
32.
Secondo il governo dei Paesi Bassi, un trattamento automatizzato di dati come
quello in questione nella causa principale non rientra in alcuna delle eccezioni
di cui all'art. 3, n. 2, della direttiva 95/46. Per quanto riguarda più in
particolare l'eccezione prevista al secondo trattino di tale paragrafo, esso
rileva che il creatore di una pagina Internet porta i dati che vi sono stati
introdotti a conoscenza di un gruppo di persone che è, in linea di principio,
indeterminato.
33.
La Commissione fa valere che una pagina Internet come quella di cui trattasi
nella causa principale non può essere considerata esclusa dall'ambito di
applicazione della direttiva 95/46 in forza dell'art. 3, n. 2, di questa, ma
costituisce, tenuto conto delle finalità di tale pagina Internet nella causa
principale, una creazione artistica o letteraria ai sensi dell'art. 9 della
detta direttiva.
34.
Essa rileva che l'art. 3, n. 2, primo trattino, della direttiva 95/46 si presta
a due interpretazioni diverse. L'una consisterebbe nel limitare la portata di
tale disposizione ai settori citati come esempi, e cioè ad attività che
rientrano sostanzialmente in quelli che si è convenuto di denominare il secondo
e il terzo pilastro. L'altra interpretazione consisterebbe nell'escludere
dall'ambito di applicazione della direttiva 95/46 l'esercizio di qualsiasi
attività che non ricada nell'ambito del diritto comunitario.
35.
La Commissione sostiene che il diritto comunitario non si limita alle sole
attività economiche collegate alle quattro libertà fondamentali. Riferendosi al
fondamento giuridico della direttiva 95/46, al suo obiettivo, all'art. 6 UE,
alla Carta dei diritti fondamentali dell'Unione europea, proclamata a Nizza il
18 dicembre 2000 (GU C 364, pag. 1), e alla Convenzione del Consiglio d'Europa
28 gennaio 1981 sulla protezione delle persone rispetto al trattamento
automatizzato di dati di carattere personale, essa conclude che tale direttiva
mira a disciplinare la libertà di circolazione di dati personali come esercizio
non soltanto di un'attività economica, ma anche di un'attività sociale
nell'ambito dell'integrazione e del funzionamento del mercato interno.
36.
Essa aggiunge che escludere in generale dall'ambito di applicazione della
direttiva 95/46 le pagine Internet che non contengono alcuna connotazione
commerciale o di prestazione di servizi potrebbe comportare gravi problemi di
delimitazione. Un gran numero di pagine Internet contenenti dati personali,
destinate a stigmatizzare talune persone a scopi particolari, potrebbe allora
trovarsi escluso dall'ambito d'applicazione di tale direttiva.
Soluzione della Corte
37.
L'art. 3, n. 2, della direttiva 95/46 prevede due eccezioni all'ambito di
applicazione della stessa.
38.
La prima eccezione riguarda i trattamenti di dati personali effettuati per
l'esercizio di attività che non rientrano nel campo di applicazione del diritto
comunitario, come quelle previste dai titoli V e VI del Trattato sull'Unione
europea e comunque i trattamenti aventi ad oggetto la pubblica sicurezza, la
difesa, la sicurezza dello Stato (compreso il benessere economico dello Stato,
laddove tali trattamenti siano connessi a questioni di sicurezza dello Stato) e
le attività dello Stato in materia di diritto penale.
39.
Essendo le attività della sig.ra Lindqvist di cui trattasi nella causa
principale sostanzialmente non economiche ma a carattere religioso e svolte a
titolo di volontariato, occorre accertare se esse costituiscano trattamenti di
dati personali «effettuati per l'esercizio di attività che non rientrano nel
campo di applicazione del diritto comunitario» ai sensi dell'art. 3, n. 2, primo
trattino, della direttiva 95/46.
40.
La Corte ha già dichiarato, a proposito della direttiva 95/46, fondata sull'art.
100 A del Trattato, che il ricorso a questa base giuridica non presuppone
l'esistenza di un nesso effettivo con la libera circolazione tra Stati membri in
ciascuna delle situazioni previste dall'atto fondato su tale base (v. sentenza
20 maggio 2003, cause riunite C-465/00, C-138/01, e C-139/01, Österreichischer
Rundfunk e a., Racc. pag. I-0000, punto 41 e giurisprudenza ivi cit.).
41.
Un'interpretazione in senso contrario rischierebbe di rendere particolarmente
incerti ed aleatori i limiti del campo di applicazione della detta direttiva, il
che sarebbe contrario al suo obiettivo essenziale, che è quello di ravvicinare
le disposizioni legislative, regolamentari, ed amministrative degli Stati membri
per eliminare gli ostacoli al funzionamento del mercato interno derivanti
proprio dalle disparità esistenti tra le normative nazionali (sentenza
Österreichischer Rundfunk e a., cit. punto 42).
42.
Di conseguenza, non sarebbe appropriato interpretare l'espressione «attività che
non rientrano nel campo di applicazione del diritto comunitario» in modo da
attribuirle una portata tale che sarebbe necessario verificare, caso per caso,
se l'attività specifica in questione incida direttamente sulla libera
circolazione tra gli Stati membri.
43.
Le attività indicate, a mo' di esempio, nell'art. 3, n. 2, primo trattino, della
direttiva 95/46 (e cioè le attività previste nei titoli V e VI del Trattato
sull'Unione europea nonché i trattamenti aventi ad oggetto la pubblica
sicurezza, la difesa, la sicurezza dello Stato e le attività relative a settori
del diritto penale) sono, in tutti i casi, attività proprie degli Stati o delle
autorità statali, ed estranee ai settori di attività dei singoli.
44.
Si deve quindi ritenere che le attività menzionate a titolo esemplificativo
nell'art. 3, n. 2, primo trattino, della direttiva 95/46 siano destinate a
definire la portata dell'eccezione ivi prevista, di guisa che detta eccezione si
applica solo alle attività che vi sono così espressamente menzionate e che
possono essere ascritte alla stessa categoria (eiusdem generis).
45.
Ora, attività a titolo di volontoriato o religioso, come quelle esercitate dalla
sig.ra Lindqvist, non sono equiparabili alle attività indicate nell'art. 3, n.
2, primo trattino, della direttiva 95/46 e non sono quindi comprese in tale
eccezione.
46.
Per quanto riguarda l'eccezione di cui all'art. 3, n. 2, secondo trattino, della
direttiva 95/46, il dodicesimo considerando di questa, relativo a tale
eccezione, menziona, a titolo di esempio di trattamento di dati effettuato da
una persona fisica nell'esercizio di attività a carattere esclusivamente
personale o domestico, la corrispondenza e la compilazione di elenchi di
indirizzi.
47.
Tale eccezione deve quindi interpretarsi nel senso che comprende unicamente le
attività che si inseriscano nell'ambito della vita privata o familiare dei
singoli, il che manifestamente non avviene nel caso del trattamento di dati
personali consistente nella loro pubblicazione su Internet di modo da rendere
tali dati accessibili ad un numero indefinito di persone.
48.
La terza questione va quindi risolta nel senso che un trattamento di dati
personali come quello menzionato nella soluzione della prima questione non
rientra in alcuna delle eccezioni che figurano nell'art. 3, n. 2, della
direttiva 95/46.
Sulla quarta questione
49.
Con la quarta questione, il giudice del rinvio chiede se l'indicazione del fatto
che una persona si è ferita ad un piede e si trova in congedo parziale per
malattia costituisca un dato personale relativo alla salute ai sensi dell'art.
8, n. 1, della direttiva 95/46.
50.
In considerazione dell'oggetto di tale direttiva, occorre dare all'espressione
«dati relativi alla salute» utilizzata nell'art. 8, n. 1, un'interpretazione
ampia di guisa che comprenda informazioni riguardanti tutti gli aspetti, tanto
fisici quanto psichici, della salute di una persona.
51.
La quarta questione va quindi risolta nel senso che l'indicazione del fatto che
una persona si è ferita ad un piede e si trova in congedo parziale per malattia
costituisce un dato personale relativo alla salute ai sensi dell'art. 8, n. 1,
della direttiva 95/46.
Sulla quinta questione
52.
Con la quinta questione, il giudice a quo chiede in sostanza se si configuri un
«trasferimento di dati personali verso paesi terzi» ai sensi dell'art. 25 della
direttiva 95/46 nel caso in cui una persona che si trovi in uno Stato membro
inserisca in una pagina Internet - caricata presso una persona fisica o
giuridica che ospita il sito Internet sul quale la pagina può essere consultata
(in prosieguo: il «fornitore di servizi di ospitalità») («web hosting provider»)
e che risiede nello stesso o in un altro Stato membro - dati personali,
rendendoli così accessibili a chiunque si colleghi ad Internet, compresi coloro
che si trovano in paesi terzi. Il giudice a quo chiede inoltre se la soluzione
di tale questione rimanga la stessa anche nel caso in cui, in realtà, nessuna
persona di un paese terzo abbia di fatto preso conoscenza di tali dati o nel
caso in cui il server in cui la pagina è caricata si trovi, fisicamente, in un
paese terzo.
Osservazioni presentate alla Corte
53.
La Commissione e il governo svedese ritengono che l'inserimento, con l'aiuto di
un computer, di dati personali in una pagina Internet, di guisa che questi
divengano accessibili a cittadini di paesi terzi, costituisca un trasferimento
di dati verso paesi terzi ai sensi della direttiva 95/46. La risposta sarebbe la
stessa se nessun cittadino di un paese terzo prendesse effettivamente conoscenza
dei suddetti dati o se il server in cui essi sono caricati si trovasse,
fisicamente, nel paese terzo.
54.
Il governo olandese ricorda che la nozione di «trasferimento» non è definita
dalla direttiva 95/46. Esso ritiene, da un parte, che tale nozione debba essere
intesa come riferita a un atto inteso deliberatamente a trasferire dati
personali dal territorio di uno Stato membro verso un paese terzo, e,
dall'altra, che non possa essere operata una distinzione tra le diverse forme
nelle quali i dati sono resi accessibili a terzi. Esso ne conclude che
l'introduzione di dati personali in una pagina Internet mediante un computer non
può considerarsi come un trasferimento verso un paese terzo di dati personali ai
sensi dell'art. 25 della direttiva 95/46.
55.
Il governo del Regno Unito afferma che l'art. 25 della direttiva 95/46 riguarda
i trasferimenti di dati verso paesi terzi e non la loro accessibilità a partire
da paesi terzi. La nozione di «trasferimento» implicherebbe la trasmissione di
un dato da una persona che si trova in un luogo preciso ad una terza persona che
si trova in un altro luogo. Sarebbe solo nel caso di un siffatto trasferimento
che l'art. 25 della direttiva 95/46 impone agli Stati membri di provvedere
all'adeguatezza del livello di tutela dei dati personali in un paese terzo.
Soluzione della Corte
56.
La direttiva 95/46 non definisce, né all'art. 25 né in alcun'altra disposizione,
in particolare all'art. 2, la nozione di «trasferimento verso un paese terzo».
57.
Al fine di stabilire se l'inserimento in una pagina Internet di dati personali,
per il solo fatto di rendere tali dati accessibili alle persone che si trovano
in un paese terzo, costituisca un «trasferimento» di dati verso un paese terzo
ai sensi dell'art. 25 della direttiva 95/46, occorre tener conto, da una parte,
della natura tecnica delle operazioni così effettuate e, dall'altra,
dell'obiettivo nonché della sistematica del capo IV della suddetta direttiva, in
cui figura l'art. 25.
58.
Le informazioni che si trovano su Internet possono essere consultate da un
numero indefinito di persone residenti in molteplici luoghi e in qualsiasi
momento. Il carattere ubiquitario di tali informazioni risulta in particolare
dal fatto che i mezzi tecnici usati nell'ambito di Internet sono relativamente
semplici e sempre meno costosi.
59.
Secondo le modalità di uso di Internet, quali sono divenute disponibili a
singoli come la sig.ra Lindqvist negli anni '90, l'autore di una pagina
destinata ad essere pubblicata in Internet trasmette i dati che costituiscono
tale pagina al suo fornitore di servizi di ospitalità («web hosting provider»).
Quest'ultimo gestisce l'infrastruttura informatica necessaria per garantire il
caricamento di tali dati e la connessione del server che ospita il sito
Internet. Ciò consente la successiva trasmissione di tali dati a chiunque sia
collegato ad Internet e chieda di ottenerli. I computer che costituiscono questa
infrastruttura informatica possono essere situati, e spesso lo sono, in uno o
più paesi diversi da quello del luogo in cui ha sede il fornitore di servizi di
ospitalità, senza che la clientela di questo ne abbia o possa ragionevolmente
prenderne conoscenza.
60.
Dagli atti di causa risulta che, per ottenere le informazioni che figurano sulle
pagine Internet nelle quali la sig.ra Lindqvist aveva inserito dati relativi ai
suoi colleghi, un utente di Internet doveva non soltanto collegarsi a questo ma
anche effettuare, con un procedimento personale, le azioni necessarie per
consultare le suddette pagine. In altri termini, le pagine Internet della sig.ra
Lindqvist non contenevano i meccanismi tecnici che avrebbero consentito l'invio
automatico di tali informazioni a persone che non avessero deliberatamente
cercato di accedere a dette pagine.
61.
Ne consegue che, in circostanze come quelle del caso di specie, i dati personali
che giungono al computer di una persona che si trova in un paese terzo,
provenienti da una persona che li ha caricati su un sito Internet, non sono
stati trasferiti direttamente tra queste due persone ma attraverso
l'infrastruttura informatica del fornitore di servizi di ospitalità in cui la
pagina è caricata.
62.
E' in tale contesto che occorre accertare se il legislatore comunitario avesse
l'intenzione, ai fini dell'applicazione del capo IV della direttiva 95/46, di
ricomprendere nella nozione di «trasferimento verso un paese terzo di dati
personali», ai sensi dell'art. 25 della stessa direttiva, operazioni come quelle
effettuate dalla sig.ra Lindqvist. Va rilevato che la quinta questione posta dal
giudice a quo riguarda solo tali operazioni, restando escluse quelle effettuate
dai fornitori di servizi di ospitalità.
63.
Il capo IV della direttiva 95/46, nel quale figura l'art. 25, predispone un
regime speciale, implicante norme specifiche, che mira a garantire un controllo
da parte degli Stati membri sui trasferimenti di dati personali verso i paesi
terzi. Tale capitolo istituisce un regime complementare al regime generale
attuato dal capo II della suddetta direttiva, riguardante la liceità di
trattamenti di dati personali.
64.
L'obiettivo del capo IV viene definito nei considerando da cinquantasei a
sessanta della direttiva 95/46, i quali dispongono in particolare che, se la
tutela delle persone garantita nella Comunità da questa direttiva non osta al
trasferimento di dati personali verso paesi terzi che garantiscano un livello di
protezione adeguato, l'adeguatezza deve essere valutata in funzione di tutte le
circostanze relative ad un trasferimento o ad una categoria di trasferimenti.
Quando un paese terzo non offre un livello di protezione adeguato, il
trasferimento di dati personali verso tale paese dev'essere vietato.
65.
L'art. 25 della direttiva 95/46 impone, da parte sua, agli Stati membri ed alla
Commissione vari obblighi di controllo sui trasferimenti di dati personali verso
i paesi terzi, tenuto conto del livello di protezione concesso a siffatti dati
in ciascuno di tali paesi.
66.
In particolare, l'art. 25, n. 4, della direttiva 95/46 prevede che, qualora la
Commissione constati che un paese terzo non garantisce un livello di protezione
adeguato, gli Stati membri adottano le misure necessarie per impedire ogni
trasferimento di dati personali verso il paese terzo in questione.
67.
Il capo IV della direttiva 95/46 non contiene alcuna disposizione riguardante
l'uso di Internet. Esso non precisa in particolare i criteri che consentono di
determinare se, per quanto riguarda le operazioni effettuate mediante fornitori
di servizi di ospitalità, occorra basarsi sul luogo di stabilimento del
fornitore o sul suo domicilio professionale ovvero sul o sui luoghi in cui sono
situati i computer che costituiscono l'infrastruttura informatica del fornitore.
68.
Tenuto conto, da una parte, dello stato dello sviluppo di Internet all'epoca
dell'elaborazione della direttiva 95/46 e, dall'altra, della mancanza, nel suo
capo IV, di criteri applicabili all'uso di Internet, non si può presumere che il
legislatore comunitario avesse l'intenzione di includere prospettivamente nella
nozione di «trasferimenti verso un paese terzo di dati personali» l'inserimento,
da parte di una persona che si trovi nella situazione della sig.ra Lindqvist, di
dati in una pagina Internet, anche se questi sono così resi accessibili alle
persone di paesi terzi in possesso dei mezzi tecnici per consultarli.
69.
Qualora l'art. 25 della direttiva 95/46 venisse interpretato nel senso che si
configura un «trasferimento verso un paese terzo di dati personali» ogni volta
che dati personali vengono caricati in una pagina Internet, tale trasferimento
sarebbe necessariamente un trasferimento verso tutti i paesi terzi in cui
esistono i mezzi tecnici necessari per accedere ad Internet. Il regime speciale
previsto dal capo IV della suddetta direttiva diverrebbe quindi necessariamente,
per quanto riguarda le operazioni su Internet, un regime di applicazione
generale. Infatti, non appena la Commissione constatasse, ai sensi dell'art. 25,
n. 4, della direttiva 95/46, che un solo paese terzo non garantisce un livello
di protezione adeguato, gli Stati membri sarebbero tenuti ad impedire qualsiasi
immissione in Internet di dati personali.
70.
Di conseguenza, occorre concludere che l'art. 25 della direttiva 95/46 dev'essere
interpretato nel senso che operazioni come quelle effettuate dalla sig.ra
Lindqvist non costituiscono di per sé un «trasferimento verso un paese terzo di
dati». Non è quindi necessario accertare se una persona di un paese terzo abbia
avuto accesso alla pagina Internet di cui trattasi o se il server di tale
fornitore si trovi fisicamente in un paese terzo.
71.
La quinta questione va quindi risolta nel senso che non si configura un
«trasferimento verso un paese terzo di dati» ai sensi dell'art. 25 della
direttiva 95/46 allorché una persona che si trovi in uno Stato membro inserisce
in una pagina Internet - caricata presso il suo fornitore di servizi di
ospitalità («web hosting provider»), stabilito nello Stato stesso o in un altro
Stato membro - dati personali, rendendoli così accessibili a chiunque si
colleghi ad Internet, compresi coloro che si trovano in paesi terzi.
Sulla sesta questione
72.
Con la sesta questione, il giudice a quo chiede se si debba ritenere che le
disposizioni della direttiva 95/46 pongano, in un caso come quello della
fattispecie nella causa principale, limiti incompatibili con il principio
generale della libertà d'espressione o con altre libertà e diritti, vigenti
all'interno dell'Unione europea e che trovano corrispondenza, in particolare,
nel diritto sancito dall'art. 10 della CEDU.
Osservazioni presentate alla Corte
73.
La sig.ra Lindqvist, riferendosi in particolare alla sentenza 6 marzo 2001,
causa C-274/99 P, Connolly/Commissione (Racc. pag. I-1611), fa valere che la
direttiva 95/46 e la PUL, in quanto prevedono condizioni di previo consenso e di
previa notifica ad un'autorità di controllo nonché il principio del divieto di
trattamento dei dati personali di natura sensibile, sono contrarie al principio
generale della libertà di espressione riconosciuto nel diritto comunitario. Più
in particolare, sostiene che la definizione di «trattamento di dati personali,
automatizzati in tutto o in parte» non soddisfa i criteri di prevedibilità e di
precisione.
74.
Inoltre, a suo avviso, il semplice fatto di citare per nome una persona fisica,
di rivelare il suo recapito telefonico e le sue condizioni di lavoro nonché di
dare informazioni sul suo stato di salute e sugli interessi coltivati nel tempo
libero, informazioni che sarebbero pubbliche, notorie o banali, non è
costitutivo di una violazione sostanziale del diritto al rispetto della vita
privata. La sig.ra Lindqvist ritiene che, comunque, gli obblighi imposti dalla
direttiva 95/46 siano sproporzionati rispetto all'obiettivo perseguito di
proteggere la reputazione e la vita privata altrui.
75.
Il governo svedese considera che la direttiva 95/46 consente di soppesare gli
interessi in questione e, quindi, di salvaguardare la libertà di espressione e
la protezione della vita privata. Esso aggiunge che solo il giudice nazionale
può, tenuto conto delle circostanze di ciascun singolo caso, valutare la
proporzionalità della restrizione all'esercizio del diritto alla libertà di
espressione che l'applicazione delle norme dirette alla tutela dei diritti
altrui comporta.
76.
Il governo olandese ricorda che tanto la libertà di espressione quanto il
diritto al rispetto della vita privata fanno parte dei principi generali del
diritto di cui la Corte garantisce il rispetto e che la CEDU non stabilisce
alcuna gerarchia tra i diversi diritti fondamentali. Esso ritiene quindi che il
giudice nazionale debba sforzarsi di conciliare i diversi diritti fondamentali
in questione prendendo in considerazione le circostanze del caso di specie.
77.
Il governo del Regno Unito rileva che la sua proposta di soluzione della quinta
questione, esposta al punto 55 della presente sentenza, si concilia
perfettamente con i diritti fondamentali e consente di evitare di recare
pregiudizio in modo sproporzionato alla libertà di espressione. Esso aggiunge
che un'interpretazione che abbia l'effetto di assoggettare la pubblicazione di
dati personali in una forma particolare, vale a dire in una pagina Internet, a
restrizioni molto più severe di quelle applicabili alle pubblicazioni realizzate
in altre forme, come quelle su carta, sarebbe difficile da giustificare.
78.
La Commissione sostiene anch'essa che la direttiva 95/46 non implica una
restrizione contraria al principio generale della libertà di espressione o ad
altri diritti e libertà applicabili nell'Unione europea, corrispondenti in
particolare al diritto sancito dall'art. 10 della CEDU.
Soluzione della Corte
79.
Dal settimo considerando della direttiva 95/46 risulta che l'instaurazione e il
funzionamento del mercato interno possono essere gravemente perturbati dal
divario esistente tra i regimi nazionali applicabili al trattamento dei dati
personali. Secondo il terzo considerando della stessa direttiva,
l'armonizzazione di tali regimi nazionali deve avere come obiettivi non solo la
libera circolazione di tali dati tra Stati membri ma anche la salvaguardia dei
diritti fondamentali dalla persona. Tali obiettivi possono evidentemente essere
confliggenti.
80.
Da una parte, l'integrazione economica e sociale derivante dall'instaurazione e
dal funzionamento del mercato interno comporterà necessariamente un sensibile un
aumento dei flussi di dati personali tra tutti i soggetti della vita economica e
sociale degli Stati membri, siano essi imprese o amministrazioni degli Stati
membri. I suddetti soggetti hanno, in una certa misura, bisogno di disporre di
dati personali per effettuare le loro transazioni o per assolvere i loro compiti
nell'ambito dello spazio senza frontiere costituito dal mercato interno.
81.
D'altra parte, le persone interessate dal trattamento di dati personali chiedono
giustamente che tali dati siano protetti in modo efficace.
82.
I meccanismi che consentono di conciliare questi diversi diritti e interessi
sono contenuti, in primo luogo, nella stessa direttiva 95/46, in quanto essa
prevede norme che determinano in quali situazioni ed in qual misura il
trattamento dei dati personali è lecito e quali salvaguardie devono essere
previste. In secondo luogo, essi risultano dall'adozione, da parte degli Stati
membri, di disposizioni nazionali che garantiscono la trasposizione di tale
direttiva e dall'eventuale applicazione di queste da parte delle autorità
nazionali.
83.
Quanto alla stessa direttiva 95/46, le sue disposizioni sono per forza di cose
relativamente generiche, visto ch'essa deve applicarsi a un gran numero di
situazioni molto diverse. Pertanto, contrariamente a quanto assume la sig.ra
Lindqvist, giustamente tale direttiva contiene norme caratterizzate da una certa
elasticità e lascia in numerosi casi agli Stati membri il compito di decidere
dei dettagli o di scegliere tra più opzioni.
84.
E' vero che gli Stati membri dispongono sotto molti aspetti di un margine di
manovra al fine di trasporre la direttiva 95/46. Tuttavia, niente consente di
ritenere che il regime che questa contempla manchi di prevedibilità o che le sue
disposizioni siano, in quanto tali, in contrasto con i principi generali del
diritto comunitario e, in particolare, con i diritti fondamentali tutelati
dall'ordinamento giuridico comunitario.
85.
E' quindi, piuttosto, nella fase dell'attuazione sul piano nazionale della
normativa che traspone la direttiva 95/46 in singoli casi di specie che dev'esser
trovato un giusto equilibrio tra i diritti e gli interessi di cui trattasi.
86.
In tale contesto, i diritti fondamentali assumono una particolare rilevanza,
come dimostra la causa principale, in cui in sostanza è necessario soppesare, da
una parte, la libertà di espressione della sig.ra Lindqvist nell'ambito del suo
lavoro come formatrice di comunicandi nonché la libertà di esercitare attività
che contribuiscono alla vita religiosa, e, dall'altra, la tutela della vita
privata delle persone a proposito delle quali la sig.ra Lindqvist ha inserito
dati sul suo sito Internet.
87.
Di conseguenza, incombe alle autorità e ai giudici degli Stati membri non solo
interpretare il loro diritto nazionale in modo conforme alla direttiva 95/46, ma
anche provvedere a non fondarsi su un'interpretazione di quest'ultima che entri
in conflitto con i diritti fondamentali tutelati dall'ordinamento giuridico
comunitario o con gli altri principi generali del diritto comunitario, come, ad
esempio, il principio di proporzionalità.
88.
Anche se la tutela della vita privata richiede l'applicazione di sanzioni
efficaci nei confronti di coloro che trattano dati personali in modo non
conforme della direttiva 95/46, siffatte sanzioni devono pur sempre osservare il
principio di proporzionalità. Ciò vale a maggior ragione in quanto l'ambito
dell'applicazione della direttiva 95/46 appare molto ampio e gli obblighi delle
persone che procedono a trattamenti di dati personali sono numerosi e ingenti.
89.
In applicazione del principio di proporzionalità, incombe al giudice a quo
prendere in considerazione tutte le circostanze della causa di cui è adito, in
particolare la durata della violazione delle norme che attuano la direttiva
95/46 nonché la rilevanza, per gli interessati, della tutela dei dati divulgati.
90.
La sesta questione va quindi risolta nel senso che le disposizioni della
direttiva 95/46 non pongono, di per sé, una restrizione incompatibile con il
principio generale di libertà di espressione o con altri diritti e libertà,
vigenti dall'Unione europea e che trovano corrispondenza, tra l'altro, nell'art.
10 della CEDU. Spetta alle autorità e ai giudici nazionali incaricati di
applicare la normativa nazionale che traspone la direttiva 95/46 garantire il
giusto equilibrio tra i diritti e gli interessi in gioco, ivi compresi i diritti
fondamentali tutelati dall'ordinamento giuridico comunitario.
Sulla settima questione
91.
Con la settima questione il giudice del rinvio chiede, in sostanza, se gli Stati
membri possano prevedere una tutela più ampia dei dati personali o ampliare
l'ambito in applicazione della direttiva 95/46.
Osservazioni presentate alla Corte
92.
Il governo svedese sostiene che la direttiva 95/46 non si limita a fissare
condizioni minime di protezione dei dati personali. Gli Stati membri sarebbero,
nell'ambito della trasposizione di tale direttiva, tenuti a realizzare il
livello di protezione stabilito da questa e non sarebbero legittimati a
prevedere una tutela più ampia o meno ampia. Tuttavia, occorrerebbe tener conto
del margine di discrezionalità di cui dispongono gli Stati membri al momento
della suddetta trasposizione, allorché precisano nel loro ordinamento interno le
condizioni generali di liceità del trattamento dei dati personali.
93.
Il governo dei Paesi Bassi assume che la direttiva 95/46 non osta a che gli
Stati membri prevedano una protezione più ampia in taluni settori. Risulterebbe,
ad esempio, dagli artt. 10, 11, n. 1, 14, primo comma, lett. a), 17, n. 3, 18,
n. 5 e 19, n. 1, della suddetta direttiva che gli Stati membri possono prevedere
una tutela più ampia. Inoltre, gli Stati membri sarebbero liberi di applicare il
principi della direttiva 95/46 anche ad attività che non rientrano nell'ambito
di applicazione di questa.
94.
La Commissione sostiene che la direttiva 95/46 è fondata sull'art. 100 A del
Trattato o che, ove uno Stato membro voglia mantenere o istituire una normativa
che deroghi ad una siffatta direttiva di armonizzazione, esso è tenuta a
notificarla alla Commissione ai sensi dell'art. 95 CE, n. 4 o n. 5. La
Commissione afferma quindi che uno Stato membro non può prevedere una protezione
dei dati personali più estesa o un ambito di applicazione più ampio di quelli
che risultano dalla suddetta direttiva.
Soluzione della Corte
95.
La direttiva 95/46 mira, come risulta in particolare dal suo ottavo
considerando, a rendere equivalente in tutti gli Stati membri il livello di
tutela dei diritti e delle libertà delle persone riguardo al trattamento dei
dati personali. Il decimo considerando aggiunge che il ravvicinamento delle
legislazioni nazionali applicabili in materia non deve avere per effetto un
indebolimento della tutela da esse assicurate, ma deve anzi mirare a garantire
un elevato grado di tutela nella Comunità.
96.
L'armonizzazione delle suddette legislazioni nazionali non si limita quindi ad
un'armonizzazione minima, ma sfocia in un'armonizzazione che, in linea di
principio, è completa. In quest'ottica la direttiva 95/46 intende garantire la
libera circolazione dei dati personali, pur garantendo un alto livello di tutela
dei diritti e degli interessi delle persone cui si riferiscono tali dati.
97.
Vero è che la direttiva 95/46 riconosce agli Stati membri un margine di manovra
in taluni settori e che essa li autorizza a mantenere o a istituire regimi
particolari per situazioni specifiche, come dimostrano molte delle sue
disposizioni. Tuttavia, siffatte possibilità devono essere usate nel modo
previsto dalla direttiva 95/46 ed in conformità del suo obiettivo, che consiste
nel mantenere un equilibrio tra la libera circolazione dei dati personali e la
tutela della vita privata.
98.
Per contro, nulla impedisce che uno Stato membro estenda la portata della
normativa nazionale di attuazione della direttiva 95/46 a settori non compresi
nell'ambito di applicazione di quest'ultima, qualora non vi osti alcun'altra
disposizione del diritto comunitario.
99.
Alla luce di queste considerazioni, la settima questione va risolta nel senso
che le misure adottate dagli Stati membri per garantire la protezione dei dati
personali devono essere conformi tanto alle disposizioni della direttiva 95/46
quanto al suo obiettivo, consistente nel mantenere un equilibrio tra la libera
circolazione dei dati personali e la tutela della vita privata. Per contro,
nulla impedisce che uno Stato membro estenda la portata della normativa
nazionale di attuazione della direttiva 95/46 a settori non compresi nell'ambito
di applicazione di quest'ultima, qualora non vi osti alcun'altra disposizione
del diritto comunitario.
Sulle spese
100.
Le spese sostenute dai governi svedese, dei Paesi Bassi e del Regno Unito,
nonché dalla Commissione e dall'Autorità di vigilanza AELS, che hanno presentato
osservazioni alla Corte, non possono dar luogo a rifusione. Nei confronti delle
parti nella causa principale il presente procedimento costituisce un incidente
sollevato dinanzi al giudice nazionale, cui spetta quindi statuire sulle spese.
Per questi motivi,
LA CORTE
pronunciandosi sulle questioni sottopostele dalla Göta Hovrätt con ordinanza 23
febbraio 2001, dichiara:
1) L'operazione consistente nel fare riferimento, in una pagina Internet, a
diverse persone e nell'identificarle vuoi con il loro nome, vuoi con altri
mezzi, ad esempio indicando il loro numero di telefono o informazioni relative
alla loro situazione lavorativa e ai loro passatempo, costituisce un
«trattamento di dati personali interamente o parzialmente automatizzato», ai
sensi dell'art. 3, n. 1, della direttiva del Parlamento europeo e del Consiglio
24 ottobre 1995, 95/46/CE, relativa alla tutela delle persone fisiche con
riguardo al trattamento dei dati personali, nonché alla libera circolazione di
tali dati.
2) Un siffatto trattamento di dati personali non rientra in alcuna delle
eccezioni che figurano nell'art. 3, n. 2, della direttiva 95/46.
3) L'indicazione del fatto che una persona si è ferita ad un piede e si trova in
congedo parziale per malattia costituisce un dato personale relativo alla salute
ai sensi dell'art. 8, n. 1, della direttiva 95/46.
4) Non si configura un «trasferimento verso un paese terzo di dati» ai sensi
dell'art. 25 della direttiva 95/46 allorché una persona che si trovi in uno
Stato membro inserisce in una pagina Internet - caricata presso una persona
fisica o giuridica che ospita («web hosting») il sito Internet nel quale la
pagina può essere consultata e che è stabilita nello Stato stesso o in un altro
Stato membro - dati personali, rendendoli così accessibili a chiunque si
colleghi ad Internet, compresi coloro che si trovano in paesi terzi.
5) Le disposizioni della direttiva 95/46 non pongono, di per sé, una restrizione
incompatibile con il principio generale di libertà di espressione, o con altri
diritti e libertà vigenti all'interno dell'Unione europea e che trovano
corrispondenza, tra l'altro, nell'art. 10 della Convenzione europea per la
salvaguardia dei diritti dell'uomo e delle libertà fondamentali, firmata a Roma
il 4 novembre 1950. Spetta alle autorità e ai giudici nazionali incaricati di
applicare la normativa interna che traspone la direttiva 95/46 garantire il
giusto equilibrio tra i diritti e gli interessi in gioco, ivi compresi i diritti
fondamentali tutelati dall'ordinamento giuridico comunitario.
6) Le misure adottate dagli Stati membri per garantire la protezione dei dati
personali devono essere conformi tanto alle disposizioni della direttiva 95/46
quanto al suo obiettivo, consistente nel mantenere un equilibrio tra la libera
circolazione dei dati personali e la tutela della vita privata. Per contro,
nulla impedisce che uno Stato membro estenda la portata della normativa
nazionale di attuazione della direttiva 95/46 a settori non compresi nell'ambito
di applicazione di quest'ultima, qualora non vi osti alcun'altra disposizione
del diritto comunitario.
Jann
Timmermans
Gulmann
Cunha Rodrigues
Rosas
Edward
Puissochet
Macken
von Bahr
Così deciso e pronunciato a Lussemburgo il 6 novembre 2003.
Il cancelliere
Il presidente
R. Grass
V. Skouris
|