|
|
 |
|
Studio Legale
NewsLetter |
CONCLUSIONI
DELL'AVVOCATO GENERALE ANTONIO TIZZANO
presentate il 19 settembre 2002 (1)
Causa C-101/01
(vedi la relativa
sentenza del 6/11/03)
Bodil Lindqvist
contro
Åklagarkammaren i Jönköping
(domanda di pronuncia pregiudiziale, proposta dal Göta Hovrätt)
«Direttiva 95/46/CE - Campo di applicazione»
1.
Con ordinanza del 23 febbraio 2001 l'Hovrätt di Götaland (Svezia) ha sottoposto
alla Corte sette quesiti pregiudiziali sull'interpretazione della direttiva del
Parlamento europeo e del Consiglio, 95/46/CE del 24 ottobre 1995, relativa alla
tutela delle persone fisiche con riguardo al trattamento dei dati personali,
nonché alla libera circolazione di tali dati (nel prosieguo, la «direttiva
95/46» o semplicemente la «direttiva») (2). Tali quesiti riguardano in
particolare il campo di applicazione della direttiva, il trasferimento di dati a
carattere personale verso paesi terzi, la compatibilità della direttiva con i
principi generali in materia di libertà di espressione e la possibilità di
prevedere in sede nazionale una disciplina più restrittiva di quella
comunitaria.
Quadro normativo
La Convenzione europea per la salvaguardia dei diritti dell'uomo e delle libertà
fondamentali
2.
Per ricostruire il quadro giuridico rilevante ai fini della presente causa,
vanno anzitutto ricordati gli artt. 8 e 10 della Convenzione europea per la
salvaguardia dei diritti dell'uomo e delle libertà fondamentali.
3.
Il primo dispone in particolare:
«1. Ogni persona ha diritto al rispetto della sua vita privata e familiare, del
suo domicilio e della sua corrispondenza.
2. Non può esservi ingerenza di una autorità pubblica nell'esercizio di tale
diritto a meno che tale ingerenza sia prevista dalla legge e costituisca una
misura che, in una società democratica, è necessaria per la sicurezza nazionale,
per la pubblica sicurezza, per il benessere economico del paese, per la difesa
dell'ordine e per la prevenzione dei reati, per la protezione della salute o
della morale, o per la protezione dei diritti e delle libertà altrui».
4.
Il secondo dispone invece:
«1. Ogni persona ha diritto alla libertà d'espressione. Tale diritto include la
libertà d'opinione e la libertà di ricevere o di comunicare informazioni o idee
senza che vi possa essere ingerenza da parte delle autorità pubbliche e senza
considerazione di frontiera. Il presente articolo non impedisce agli Stati di
sottoporre a un regime di autorizzazione le imprese di radiodiffusione, di
cinema o di televisione.
2. L'esercizio di queste libertà, poiché comporta doveri e responsabilità, può
essere sottoposto alle formalità, condizioni, restrizioni o sanzioni che sono
previste dalla legge e che costituiscono misure necessarie, in una società
democratica, per lasicurezza nazionale, per l'integrità territoriale o per la
pubblica sicurezza, per la difesa dell'ordine e per la prevenzione dei reati,
per la protezione della salute o della morale, per la protezione della
reputazione o dei diritti altrui, per impedire la divulgazione di informazioni
riservate o per garantire l'autorità e l'imparzialità del potere giudiziario».
La direttiva 95/46
5.
Sul piano comunitario viene in rilievo la direttiva 95/46, adottata sulla base
dell'art. 100 A del Trattato CE (divenuto art. 95 CE) per favorire la libera
circolazione dei dati personali attraverso l'armonizzazione delle disposizioni
legislative, regolamentari ed amministrative degli Stati membri sulla tutela
delle persone fisiche rispetto al trattamento di tali dati.
6.
Alla base della direttiva vi è l'idea «che il divario nei livelli di tutela dei
diritti e delle libertà personali, in particolare della vita privata, garantiti
negli Stati membri relativamente al trattamento di dati personali può impedire
la trasmissione dei dati stessi fra territori degli Stati membri e che tale
divario può pertanto costituire un ostacolo all'esercizio di una serie di
attività economiche su scala comunitaria, falsare la concorrenza e ostacolare,
nell'adempimento dei loro compiti, le amministrazioni che intervengono
nell'applicazione del diritto comunitario» (settimo 'considerando'). Il
legislatore comunitario ha dunque ritenuto «che, per eliminare gli ostacoli alla
circolazione dei dati personali, il livello di tutela dei diritti e delle
libertà delle persone relativamente al trattamento di tali dati [dovesse] essere
equivalente in tutti gli Stati membri». Per far ciò, era a suo giudizio
necessaria una misura di armonizzazione a livello comunitario, in quanto
l'obiettivo della libera circolazione dei dati personali, «fondamentale per il
mercato interno, non [poteva] essere conseguito esclusivamente attraverso
l'azione degli Stati membri, tenuto conto in particolare dell'ampia divergenza
esistente (...) tra le normative nazionali in materia e della necessità di
coordinarle affinché il flusso transfrontaliero di dati personali [fosse]
disciplinato in maniera coerente e conforme all'obiettivo del mercato interno ai
sensi dell'articolo 7 A del trattato» (ottavo 'considerando'). In seguito
all'adozione di una misura di armonizzazione, invece, «data la protezione
equivalente derivante dal ravvicinamento delle legislazioni nazionali, gli Stati
membri non [avrebbero potuto] più ostacolare la libera circolazione tra loro di
dati personali per ragioni inerenti alla tutela dei diritti e delle libertà
delle persone fisiche, segnatamente del diritto alla vita privata» (nono 'considerando').
7.
Ciò posto, il legislatore comunitario ha ritenuto che nel determinare un livello
di tutela «equivalente in tutti gli Stati membri» non si potesse prescindere
dall'esigenza di salvaguardare «i diritti fondamentali della persona» (terzo 'considerando').
In tal senso, esso ha in particolare considerato «che le legislazioni nazionali
relative al trattamento dei dati personali hanno lo scopo di garantire il
rispetto dei diritti e delle libertà fondamentali, in particolare del diritto
alla vita privata, riconosciuto anche dall'articolo 8 della Convenzione europea
per lasalvaguardia dei diritti dell'uomo e delle libertà fondamentali e dai
principi generali del diritto comunitario». Su questa base ha ritenuto che «il
ravvicinamento di dette legislazioni non [dovesse] avere per effetto un
indebolimento della tutela da esse assicurata ma [dovesse] anzi mirare a
garantire un elevato grado di tutela nella Comunità» (decimo 'considerando').
8.
Alla luce di tali premesse e motivazioni va dunque letto l'art. 1 della
direttiva, che ne definisce in tal modo l'oggetto:
«1. Gli Stati membri garantiscono, conformemente alle disposizioni della
presente direttiva, la tutela dei diritti e delle libertà fondamentali delle
persone fisiche e particolarmente del diritto alla vita privata, con riguardo al
trattamento dei dati personali.
2. Gli Stati membri non possono restringere o vietare la libera circolazione dei
dati personali tra Stati membri, per motivi connessi alla tutela garantita a
norma del paragrafo 1».
9.
Quanto alle principali definizioni indicate dall'art. 2 della direttiva, ai
presenti fini occorre ricordare che:
a) per «dati personali» si intende «qualsiasi informazione concernente una
persona fisica identificata o identificabile (persona interessata); si considera
identificabile la persona che può essere identificata, direttamente o
indirettamente, in particolare mediante riferimento ad un numero di
identificazione o ad uno o più elementi specifici caratteristici della sua
identità fisica, fisiologica, psichica, economica, culturale o sociale»;
b) per «trattamento di dati personali» si intende «qualsiasi operazione o
insieme di operazioni compiute con o senza l'ausilio di processi automatizzati e
applicate a dati personali, come la raccolta, la registrazione,
l'organizzazione, la conservazione, l'elaborazione o la modifica, l'estrazione,
la consultazione, l'impiego, la comunicazione mediante trasmissione, diffusione
o qualsiasi altra forma di messa a disposizione, il raffronto o
l'interconnessione, nonché il congelamento, la cancellazione o la distruzione»;
c) per «archivio di dati personali» si intende «qualsiasi insieme strutturato di
dati personali accessibili, secondo criteri determinati, indipendentemente dal
fatto che tale insieme sia centralizzato, decentralizzato o ripartito in modo
funzionale o geografico»;
d) per «responsabile del trattamento» si intende «la persona fisica o giuridica,
l'autorità pubblica, il servizio o qualsiasi altro organismo che, da solo o
insieme ad altri, determina le finalità e gli strumenti del trattamento di dati
personali».
10.
L'art. 3 definisce il campo di applicazione della direttiva, precisando, al n.
1, che le sue disposizioni «si applicano al trattamento di dati personali
interamente o parzialmente automatizzato nonché al trattamento non automatizzato
di dati personali contenuti o destinati a figurare negli archivi». Ai sensi del
n. 2, sono tuttavia esclusi dal campo di applicazione della direttiva i
trattamenti di dati personali:
- «effettuati per l'esercizio di attività che non rientrano nel campo di
applicazione del diritto comunitario, come quelle previste dai titoli V e VI del
trattato sull'Unione europea e comunque [i] trattamenti aventi come oggetto la
pubblica sicurezza, la difesa, la sicurezza dello Stato (compreso il benessere
economico dello Stato, laddove tali trattamenti siano connessi a questioni di
sicurezza dello Stato) e le attività dello Stato in materia di diritto penale»;
- ovvero «effettuati da una persona fisica per l'esercizio di attività a
carattere esclusivamente personale o domestico» (3).
11.
Ai presenti fini, vanno inoltre ricordate alcune disposizioni del capo II della
direttiva («condizioni generali di liceità dei trattamenti di dati personali»;
artt. 5-21), cominciando dall'art. 7, relativo ai casi in cui «il trattamento di
dati personali può essere effettuato». Al riguardo, si deve in particolare
segnalare che, accanto ad altre ipotesi che non vengono in rilievo nel caso in
esame, alla lett. a) è stabilito che un tale trattamento può essere effettuato
quando «la persona interessata ha manifestato il proprio consenso in maniera
inequivocabile».
12.
All'art. 8 è invece dettato uno speciale regime per determinate categorie di
dati sensibili. In particolare, il n. 1 prevede che in linea di principio gli
«Stati membri vietano il trattamento di dati personali che rivelano l'origine
razziale o etnica, le opinioni politiche, le convinzioni religiose o
filosofiche, l'appartenenza sindacale, nonché il trattamento di dati relativi
alla salute e alla vita sessuale». Accanto ad altre eccezioni che non vengono
qui in rilievo, il n. 2 precisa però che tale disposizione non si applica
qualora «la persona interessata abbia dato il proprio consenso esplicito a tale
trattamento, salvo nei casi in cui la legislazione dello Stato membro preveda
che il consenso della persona interessata non sia sufficiente per derogare al
divieto di cui al paragrafo 1».
13.
Per conciliare le esigenze di tutela rispetto ai trattamenti di dati personali
con il principio della libertà d'espressione, l'art. 9 stabilisce poi che gli
«Stati membri prevedono, per il trattamento di dati personali effettuato
esclusivamente a scopi giornalistici o di espressione artistica o letteraria, le
esenzioni o le deroghe alle disposizioni del presente capo e dei capi IV e VI
solo qualora si rivelinonecessarie per conciliare il diritto alla vita privata
con le norme sulla libertà d'espressione».
14.
Sempre con riferimento alle «condizioni generali di liceità dei trattamenti di
dati personali», ai presenti fini conviene inoltre ricordare che, ai sensi
dell'art. 18, e salvo eccezioni, i trattamenti di dati personali devono essere
preventivamente notificati dai loro responsabili ad apposite autorità di
controllo da istituire negli Stati membri.
15.
Va infine ricordato l'art. 25 della direttiva, secondo cui «il trasferimento
verso un paese terzo di dati personali oggetto di un trattamento o destinati a
essere oggetto di un trattamento dopo il trasferimento può aver luogo soltanto
se il paese terzo di cui trattasi garantisce un livello di protezione adeguato»
(n. 1). L'adeguatezza del livello di protezione «è valutata con riguardo a tutte
le circostanze relative ad un trasferimento o ad una categoria di trasferimenti
di dati; in particolare sono presi in considerazione la natura dei dati, le
finalità del o dei trattamenti previsti, il paese d'origine e il paese di
destinazione finale, le norme di diritto, generali o settoriali, vigenti nel
paese terzo di cui trattasi, nonché le regole professionali e le misure di
sicurezza ivi osservate» (n. 2).
La normativa svedese
16.
La Svezia ha attuato la direttiva 95/46 con la Personuppgiftslag (legge sui dati
personali) (4). Ai presenti fini, occorre in particolare sottolineare che, ai
sensi dell'art. 49, n. 1, lett. b)-d), di tale legge, in Svezia vengono puniti
come reati: l'omessa comunicazione di un trattamento automatizzato di dati
personali alla competente autorità di controllo (la Datainspektion); il
trattamento di dati sensibili, tra i quali quelli relativi alla salute; ed il
trasferimento non autorizzato verso paesi terzi di dati personali sottoposti ad
un trattamento. Va inoltre osservato che dai lavori preparatori della
Personuppgiftslag risulta che tale legge non è destinata ad avere un ambito di
applicazione diverso da quello della direttiva.
Fatti e procedura
17.
Nell'autunno 1998, al di fuori del suo impiego abituale, la signora Bodil
Lindqvist collaborava a titolo gratuito come catechista nella parrocchia di
Alseda in Svezia. Nell'ambito di tale attività, per consentire ai parrocchiani
di ottenere facilmente le informazioni di cui avevano bisogno, la signora
Lindqvist aveva creato una home page in Internet, inserendovi alcuni dati su di
sé, su suo marito e su sedici colleghi della parrocchia, identificati, a seconda
dei casi, con il solo nome od anche con il cognome. Più specificamente, nella
home page erano illustrate, in termini leggermente scherzosi, le mansioni dei
colleghi e le loro abitudini nel tempo libero; in alcuni casi, era inoltre
descritta la loro situazione familiare ed eranoindicati i recapiti telefonici ed
altre informazioni personali. Tra le varie informazioni fornite, per quanto qui
interessa, era in particolare riferito il fatto che una collega si trovava in
congedo parziale per malattia a causa di una ferita ad un piede. A tale home
page si poteva accedere anche attraverso il sito internet della Chiesa svedese,
nel quale, su richiesta della signora Lindqvist, era stato inserito un apposito
link.
18.
Dell'esistenza della home page la signora Lindqvist non aveva informato i suoi
colleghi, ai quali non era stato quindi neppure chiesto il consenso per un
trattamento dei loro dati. Della creazione della home page non era stata poi
informata neanche la Datainspektion, cui non era stato notificato alcun
trattamento di dati personali. La home page ha tuttavia avuto una vita breve, in
quanto la signora Lindqvist ha prontamente provveduto ad eliminarla non appena
ha saputo che taluni colleghi non apprezzavano la sua iniziativa.
19.
Per la creazione della home page, e nonostante la sua tempestiva soppressione,
nei confronti della signora Lindqvist è stato promosso in Svezia un procedimento
penale ai sensi dell'art. 49, n. 1, lett. b)-d) della Personuppgiftslag.
Nell'ambito di tale procedimento le è stato in particolare contestato: di aver
sottoposto a trattamento automatizzato taluni dati senza prima informarne per
iscritto la Datainspektion; di aver trattato dati sensibili, quali quelli
relativi alla ferita della collega ed al conseguente congedo parziale per
malattia; e di aver trasferito senza autorizzazione verso paesi terzi dati
personali sottoposti ad un trattamento.
20.
La signora Lindqvist ha confermato la veridicità delle circostanze di fatto
dedotte dalla pubblica accusa, ma ne ha contestato la rilevanza penale. I suoi
argomenti sono stati tuttavia respinti dal giudice adito, che l'ha condannata al
pagamento di un'ammenda con una sentenza che è stata successivamente impugnata
dalla signora Lindqvist dinanzi alla Hovrätt.
21.
Considerato che in corso di causa era stata contestata la compatibilità della
normativa svedese con le disposizioni della direttiva ed erano state sollevate
delicate questioni sull'interpretazione di tali disposizioni, la Hovrätt ha
quindi sospeso il giudizio per sottoporre alla Corte di giustizia i seguenti
quesiti pregiudiziali:
«1) Se l'indicazione di una persona - con il nome o con il nome e il numero di
telefono - in una pagina iniziale su Internet costituisca un comportamento che
rientra nell'ambito di applicazione della direttiva. Se il realizzare
personalmente una pagina iniziale su Internet e l'inserirvi il nome di un certo
numero di persone unitamente a dichiarazioni e affermazioni riguardanti, tra
l'altro, la situazione lavorativa di queste ultime e gli interessi da esse
coltivati nel tempo libero costituisca un trattamento di dati personali
interamente o parzialmente automatizzato.
2) Ove la questione precedente venga risolta negativamente, se il redigere,
all'interno di una pagina iniziale su Internet, pagine che riguardano
specificamente una quindicina di persone e il collegare tali pagine tra di esse
in modo da consentire la ricerca nominativa possa essere considerato un
trattamento non automatizzato di dati personali contenuti o destinati a figurare
negli archivi ai sensi dell'art. 3, n. 1, della direttiva.
Per il caso in cui una delle questioni precedenti venga risolta positivamente,
la Hovrätt pone anche le questioni seguenti:
3) Se il pubblicare, in una pagina iniziale privata ma accessibile a chiunque ne
conosca l'indirizzo, dati del tipo indicato relativi a colleghi di lavoro possa
essere considerato un comportamento che non rientra nell'ambito di applicazione
della direttiva in forza di una delle eccezioni di cui all'art. 3, n. 2, della
stessa.
4) Se l'informazione in una pagina iniziale che un collega di lavoro, di cui
viene specificato il nome, si è ferito ad un piede e si trova in congedo
parziale per malattia costituisca un dato personale relativo alla salute che, a
norma dell'art. 8, n. 1, della direttiva, non può essere trattato.
5) Considerato che in certi casi la direttiva vieta il trasferimento di dati
personali verso paesi terzi, se una persona che si trova in Svezia e che,
servendosi di un computer, pubblica dati personali in una pagina iniziale
caricata su un server in Svezia - di modo che tali dati divengono accessibili ai
cittadini di paesi terzi - trasferisca dati verso paesi terzi ai sensi della
direttiva. Se la soluzione di tale questione rimanga la stessa anche nel caso in
cui, per quanto si sappia, nessuna persona di un paese terzo abbia di fatto
preso conoscenza dei dati o nel caso in cui il server di cui trattasi si trovi
fisicamente in un paese terzo.
6) Se in un caso come quello di specie si possa ritenere che le disposizioni
della direttiva pongano limiti incompatibili con i principi generali in materia
di libertà di espressione, o con altre libertà e diritti, vigenti all'interno
dell'Unione europea e che trovano corrispondenza, tra l'altro, nell'art. 10
della Convenzione europea per la salvaguardia dei diritti dell'uomo e delle
libertà fondamentali.
La Hovrätt desidera infine porre la seguente questione:
7) Se uno Stato membro possa, nelle circostanze indicate nelle questioni
precedenti, prevedere una tutela più ampia dei dati personali o ampliare
l'ambito di applicazione della direttiva, anche ove non ricorra nessuna delle
condizioni di cui all'art. 13 della medesima».
22.
Nel procedimento che si è successivamente instaurato dinanzi alla Corte, oltre
alla signora Lindqvist ed al Regno di Svezia, hanno presentato osservazioni il
Regno dei Paesi Bassi, il Regno Unito e la Commissione.
Analisi giuridica
Premessa
23.
Come si è visto, il giudice a quo sottopone alla Corte numerosi quesiti,
relativi: al campo di applicazione della direttiva; all'interpretazione degli
artt. 8 e 25; alla validità delle sue disposizioni con riferimento a principi
generali del diritto comunitario; ed alla possibilità per gli Stati membri di
assicurare un livello di tutela più elevato di quello garantito dalla direttiva.
24.
Più specificamente con riferimento al campo di applicazione della direttiva, il
giudice non sembra avere dubbi sul fatto che nella specie si sia in presenza di
un «trattamento di dati personali», né del resto alcun dubbio al riguardo è
stato sollevato dalle parti intervenute. E' infatti evidente:
- da un lato, che le informazioni relative ai colleghi della signora Lindqvist
(nome, cognome, numero di telefono, attività lavorativa, hobbies ecc.)
costituiscono «dati personali», rientrando in tale categoria «qualsiasi
informazione concernente una persona fisica identificata o identificabile» [art.
2, lett. a)];
- dall'altro, che il fatto di inserire dette informazioni in una home page del
tipo di quella in esame dà luogo ad un «trattamento» dei dati personali, posto
che anche a tal riguardo la direttiva accoglie una nozione particolarmente
ampia, nella quale fa rientrare «qualsiasi operazione o insieme di operazioni
compiute con o senza l'ausilio di processi automatizzati e applicate a dati
personali, come la raccolta, la registrazione, l'organizzazione, la
conservazione, l'elaborazione o la modifica, l'estrazione, la consultazione,
l'impiego, la comunicazione mediante trasmissione, diffusione o qualsiasi altra
forma di messa a disposizione, il raffronto o l'interconnessione, nonché il
congelamento, la cancellazione o la distruzione» [art. 2, lett. b)].
25.
Non ogni «trattamento di dati personali» rientra però nel campo di applicazione
della direttiva. L'art. 3, n. 1, stabilisce infatti che le disposizioni della
direttiva si applicano solo al trattamento di dati personali «interamente o
parzialmente automatizzato» od al trattamento «non automatizzato di dati
personali contenuti o destinati a figurare negli archivi». In termini più
generali, poi, ai sensi del n. 2 di tale articolo, le disposizioni della
direttiva non si applicano ai trattamenti di dati personali «effettuati per
l'esercizio di attività che non rientrano nel campo di applicazione del diritto
comunitario» (5) (primo trattino) ed a quelli «effettuati da unapersona fisica
per l'esercizio di attività a carattere esclusivamente personale o domestico»
(secondo trattino).
26.
Con riferimento ai limiti posti da tali disposizioni al campo di applicazione
della direttiva, con i primi tre quesiti il giudice a quo vuole dunque sapere:
i) se l'inserimento delle informazioni in questione nella home page costituisca
un trattamento di dati personali «in tutto o in parte automatizzato» (primo
quesito) ovvero un trattamento «non automatizzato di dati personali contenuti o
destinati a figurare negli archivi di dati» (secondo quesito);
ii) se un trattamento di dati personali del tipo di quello in esame sia comunque
escluso dal campo di applicazione della direttiva, in quanto effettuato «per
l'esercizio di attività che non rientrano nel campo di applicazione del diritto
comunitario» ovvero perché effettuato «da una persona fisica per l'esercizio di
attività a carattere esclusivamente personale o domestico» (terzo quesito).
27.
Nonostante il diverso ordine seguito dal giudice a quo, le questioni sollevate
con il terzo quesito devono a mio avviso essere risolte in via preliminare. In
effetti, dato il carattere più generale dell'art. 3, n. 2, mi pare evidente che
anche i trattamenti di dati personali in tutto o in parte automatizzati od i
trattamenti non automatizzati di dati personali contenuti o destinati a figurare
negli archivi di dati esulano dal campo di applicazione della direttiva se sono
effettuati per l'esercizio di attività che non rientrano nel campo di
applicazione del diritto comunitario o sono effettuati da una persona fisica per
l'esercizio di attività a carattere esclusivamente personale o domestico. Ma
così stando le cose, una risposta affermativa al terzo quesito renderebbe allora
superfluo l'esame dei primi due. Comincerò dunque dall'esame di quel quesito.
Sul terzo quesito
Argomenti delle parti
28.
Su tale quesito hanno presentato osservazioni tutte le parti intervenute ad
eccezione del Regno Unito, che si è limitato ad esaminare il quinto ed il sesto
quesito.
29.
La signora Lindqvist ritiene che solo i trattamenti di dati personali effettuati
nel quadro di attività economiche rientrino nel campo di applicazione della
direttiva, la quale non coprirebbe dunque un trattamento (come quello in esame)
effettuato senza alcuna remunerazione e al di fuori di qualsiasi attività di
carattere economico. In caso contrario, secondo la signora Lindqvist, si
porrebbe un problema di validità della direttiva, in quanto l'art. 95 CE (sulla
base del quale la direttiva è stata adottata) non consentirebbe di disciplinare
a livello comunitario attività che non hanno alcuna attinenza con l'obiettivo
della realizzazione delmercato interno. Regolare tali attività con una direttiva
di armonizzazione adottata sulla base di tale articolo implicherebbe invero una
violazione del principio sancito all'art. 5 CE, secondo cui la «Comunità agisce
nei limiti delle competenze che le sono conferite e degli obiettivi che le sono
assegnati dal presente trattato».
30.
Pur se con qualche dubbio, anche il governo svedese sembra ritenere che la
pubblicazione di dati personali su una home page creata da una persona fisica
nell'esercizio della propria libertà d'espressione e senza alcun nesso con
qualsivoglia attività professionale o commerciale non rientri nel campo di
applicazione del diritto comunitario. Quanto invece alla portata del secondo
trattino dell'art. 3, n. 2, tale governo ritiene che la diffusione di dati
personali per mezzo di Internet non possa essere qualificata come «attività a
carattere esclusivamente personale o domestico», in quanto comporta la
trasmissione di questi a un numero indeterminato di persone.
31.
Il governo olandese, da parte sua, non ritiene che il trattamento in esame esuli
dal campo di applicazione della direttiva in forza dei limiti posti dalle due
disposizioni di cui all'art. 3, n. 2. In particolare, anch'esso esclude che
l'attività in questione sia di natura puramente personale o domestica, in quanto
implica la diffusione di dati personali ad un numero di persone indeterminabile
ed illimitato.
32.
Secondo la Commissione, infine, il campo di applicazione della direttiva
andrebbe interpretato estensivamente, in modo da farvi rientrare un trattamento
del tipo di quello in esame. Con riferimento al primo trattino dell'art. 3, n.
2, la Commissione sottolinea in particolare che il diritto comunitario non si
limita a disciplinare attività di carattere economico ed osserva, tra l'altro,
che l'art. 6 del Trattato UE impone il rispetto dei diritti fondamentali in
quanto principi generali dell'ordinamento comunitario. Essa osserva poi che,
come risulta dai suoi 'considerando', la direttiva mira anche a contribuire al
progresso sociale ed al benessere degli individui, non potendosi del resto
escludere che essa intenda regolamentare la libera circolazione dei dati
personali anche come esercizio di un'attività sociale compiuta nel quadro
dell'integrazione e del funzionamento del mercato interno. Secondo la
Commissione, inoltre, l'attività in esame ricadrebbe nell'ambito di applicazione
del diritto comunitario anche perché, ai sensi dell'art. 49 CE, la signora
Lindqvist sarebbe «destinataria di servizi» (6) connessi all'utilizzo di
Internet (in particolare di servizi di telecomunicazioni). La Commissione
osserva infine che nel caso in esame non si sarebbe in presenza di «attività a
carattere esclusivamente personale o domestico»: in primo luogo, perché una home
page sarebbe accessibile da parte di chiunque utilizzi un motore di ricerca, e
non solo da chi già ne conosce l'indirizzo; in secondo luogo, perché
taliattività sarebbero per definizione soltanto quelle concernenti la vita
privata di chi tratta i dati.
Valutazione
33.
Come più volte sottolineato, si deve qui valutare se un trattamento di dati
personali del tipo di quello in esame sia sottratto al campo di applicazione
della direttiva ai sensi dell'art. 3, n. 2, in quanto effettuato «per
l'esercizio di attività che non rientrano nel campo di applicazione del diritto
comunitario» ovvero perché effettuato «da una persona fisica per l'esercizio di
attività a carattere esclusivamente personale o domestico».
34.
Cominciando dal secondo aspetto, condivido il giudizio della Commissione e dei
governi di Svezia e Paesi Bassi, secondo cui un trattamento come quello in esame
non può ritenersi effettuato per l'esercizio di «attività a carattere
esclusivamente personale o domestico». Ritengo, in effetti, che in tale
categoria rientrino solo attività come «la corrispondenza e la compilazione di
elenchi di indirizzi» (menzionate a titolo di esempio al dodicesimo 'considerando'),
e cioè attività chiaramente private e riservate, destinate a restare confinate
nella sfera personale o domestica degli interessati. Non credo quindi che possa
considerarsi tale un'attività che presenta una forte connotazione sociale, quale
l'attività di catechesi svolta dalla signora Lindqvist in seno alla comunità
parrocchiale. E ciò tanto più se si considera che il trattamento effettuato
dalla signora Lindqvist travalica chiaramente la sua sfera personale e
domestica, comportando addirittura la pubblicazione di dati personali su una
home page accessibile da chiunque, da qualsiasi parte del mondo, anche grazie ad
un apposito link inserito in un sito noto al pubblico (e comunque facilmente
rintracciabile con un motore di ricerca) quale quello della Chiesa svedese.
35.
Sono invece d'accordo con la signora Lindqvist sul fatto che il trattamento di
cui trattasi sia effettuato «per l'esercizio di attività che non rientrano nel
campo di applicazione del diritto comunitario».
36.
In proposito osservo infatti che la home page in questione è stata creata dalla
signora Lindqvist, senza alcun intento di sfruttamento economico, esclusivamente
come supporto per l'attività di catechesi svolta, a titolo gratuito e al di
fuori di qualsiasi rapporto lavorativo, in seno alla comunità parrocchiale. Il
trattamento di dati personali di cui si discute è stato dunque effettuato per
un'attività di carattere non economico, che non presenta nessun legame (o quanto
meno nessun legame diretto) con l'esercizio delle libertà fondamentali garantite
dal Trattato e non forma oggetto di alcuna specifica disciplina a livello
comunitario. Se ne deve pertanto dedurre, a mio avviso, che tale trattamento è
effettuato per l'esercizio di un'attività che non rientra nel campo di
applicazione del diritto comunitario, ai sensi dell'art. 3, n. 2, della
direttiva.
37.
Mi sembra del resto forzata la tesi della Commissione secondo cui l'attività in
questione rientrerebbe nel campo di applicazione del diritto comunitario, perché
nel suo svolgimento la signora Lindqvist sarebbe destinataria di numerosi
servizi connessi all'utilizzo di Internet (in particolare di servizi di
telecomunicazioni) e si avvarrebbe dunque dei diritti conferiti dall'art. 49 CE.
A parte infatti che dall'ordinanza di rinvio e dagli atti di causa non emerge
alcun elemento transfrontaliero che possa giustificare l'applicazione dell'art.
49 nel caso di specie (7), mi pare fin troppo evidente che l'art. 3, n. 2, della
direttiva sarebbe completamente svuotato di significato se si dovessero far
rientrare nel campo di applicazione del diritto comunitario tutte le attività,
anche non economiche, per il cui esercizio ci si avvale di servizi di
telecomunicazioni o di servizi di altro genere. Se si seguisse tale logica, si
dovrebbero allora assoggettare alla direttiva, ogniqualvolta per il loro
svolgimento si ricorra a detti servizi, anche le attività «previste dai titoli V
e VI del trattato sull'Unione europea», che invece sono espressamente menzionate
dall'art. 3, n. 2, quali esempi di «attività che non rientrano nel campo di
applicazione del diritto comunitario».
38.
Ma forzato mi sembra anche il tentativo della Commissione di far rientrare
l'attività della signora Lindqvist nel campo di applicazione della direttiva per
il fatto che questa non si limiterebbe a perseguire fini economici, ma si
porrebbe anche obiettivi connessi ad esigenze di carattere sociale ed alla
tutela dei diritti fondamentali.
39.
Al riguardo, conviene ricordare che la direttiva è stata adottata sulla base
dell'art. 100 A del Trattato per favorire la libera circolazione dei dati
personali attraverso l'armonizzazione delle disposizioni legislative,
regolamentari ed amministrative degli Stati membri sulla tutela delle persone
fisiche rispetto al trattamento di tali dati. Il legislatore comunitario ha in
particolare voluto stabilire un livello di tutela «equivalente in tutti gli
Stati membri», al fine di eliminare gli ostacoli alla circolazione dei dati
personali derivanti dal «divario nei livelli di tutela dei diritti e delle
libertà personali, in particolare della vita privata, garantiti negli Stati
membri» (settimo ed ottavo 'considerando') (8). Ciò in quanto, una volta
adottata la direttiva di armonizzazione, «data la protezione equivalente
derivante dal ravvicinamento delle legislazioni nazionali, gli Stati membri non
[avrebbero potuto] più ostacolare la libera circolazione tra loro di dati
personali per ragioniinerenti alla tutela dei diritti e delle libertà delle
persone fisiche, segnatamente del diritto alla vita privata» (nono 'considerando').
40.
E' ben vero che nel determinare il livello di tutela «equivalente in tutti gli
Stati membri» il legislatore ha tenuto conto dell'esigenza di «promuovere il
progresso economico e sociale» e (soprattutto) di salvaguardare «i diritti
fondamentali della persona» (secondo e terzo 'considerando'), nell'intento di
garantire un «elevato grado» di detta tutela (decimo 'considerando'). Ma tutto
ciò sempre nel quadro e al fine della realizzazione dell'obiettivo principale
della direttiva, e cioè al fine di favorire la libera circolazione dei dati
personali, in quanto ritenuta «fondamentale per il mercato interno» (ottavo 'considerando').
41.
La promozione del progresso economico e sociale e la salvaguardia dei diritti
fondamentali rappresentano dunque importanti valori ed esigenze di cui il
legislatore comunitario ha tenuto conto nel delineare la disciplina armonizzata
necessaria per l'instaurazione ed il funzionamento del mercato interno, ma non
autonomi obiettivi della direttiva. Diversamente, si dovrebbe ritenere che la
direttiva intenda tutelare gli individui rispetto al trattamento dei dati
personali anche a prescindere dall'obiettivo di favorire la libera circolazione
di tali dati, con l'incongrua conseguenza di far rientrare nel suo campo di
applicazione pure trattamenti effettuati per l'esercizio di attività che abbiano
qualche rilevanza sociale ma che non presentino alcun rapporto con
l'instaurazione ed il funzionamento del mercato interno.
42.
D'altra parte, come ha sottolineato la signora Lindqvist, se si attribuissero
alla direttiva, oltre al fine di favorire la libera circolazione dei dati
personali nel mercato interno, anche ulteriori ed autonomi obiettivi connessi ad
esigenze di carattere sociale ed alla tutela dei diritti fondamentali (in
particolare del diritto alla vita privata), si rischierebbe di mettere in causa
la stessa validità della direttiva, dato che la sua base giuridica risulterebbe
in tal caso palesemente inadeguata. L'art. 100 A non potrebbe infatti essere
invocato a fondamento di misure che trascendessero le specifiche finalità
menzionate in tale disposizione, e cioè per misure che non fossero giustificate
dall'obiettivo di favorire «l'instaurazione ed il funzionamento del mercato
interno».
43.
Ricordo a tal proposito che proprio recentemente nella nota sentenza che ha
annullato la direttiva 98/43/CE (9) per difetto di base giuridica, la Corte ha
avuto appunto modo di chiarire che «le misure di cui all'art. 100 A, n. 1, del
Trattato sono destinate a migliorare le condizioni di instaurazione e di
funzionamento del mercato interno. Interpretare tale articolo nel senso che
attribuisca al legislatorecomunitario una competenza generale a disciplinare il
mercato interno non solo sarebbe contrario al tenore stesso delle disposizioni
citate, ma sarebbe altresì incompatibile con il principio sancito all'art. 3 B
del Trattato CE (divenuto art. 5 CE), secondo cui le competenze della Comunità
sono competenze di attribuzione» (10). Con specifico riferimento poi alla tutela
dei diritti fondamentali, ricordo che nel noto parere 2/94, successivo
all'adozione della direttiva, la Corte ha esplicitamente affermato che «nessuna
disposizione del Trattato attribui[va] alle istituzioni comunitarie, in termini
generali, il potere di dettare norme in materia di diritti dell'uomo (11).
44.
Alla luce dell'insieme delle considerazioni che precedono, propongo dunque di
rispondere al presente quesito che, ai sensi dell'art. 3, n. 2, primo trattino,
della direttiva, non rientra nel campo di applicazione della direttiva stessa un
trattamento di dati personali consistente nella creazione, senza alcun intento
di sfruttamento economico, di una home page del tipo di quella in esame, che sia
destinata esclusivamente a supportare l'attività di catechesi svolta, a titolo
gratuito e al di fuori di qualsiasi rapporto lavorativo, in seno alla comunità
parrocchiale.
Sugli altri quesiti
45.
Essendo giunto alla conclusione che un trattamento di dati personali del tipo di
quello in esame non rientra nel campo di applicazione della direttiva, non credo
che debbano essere esaminati gli altri quesiti formulati dal giudice a quo.
Conclusioni
46.
Alla luce delle considerazioni dianzi esposte, propongo dunque di rispondere
all'Hovrätt di Götaland nei seguenti termini:
«Ai sensi dell'art. 3, n. 2, primo trattino, della direttiva 95/46/CE, non
rientra nel campo di applicazione della direttiva stessa un trattamento di dati
personali consistente nella creazione, senza alcun intento di sfruttamento
economico, di una home page del tipo di quella in esame, che sia destinata
esclusivamente a supportare l'attività di catechesi svolta, a titolo gratuito e
al di fuori di qualsiasi rapporto lavorativo, in seno alla comunità
parrocchiale».
