|
I dati personali su siti Web non
comportano automaticamente trasferimento di dati all'estero
07/11/03
La Corte di Giustizia UE è intervenuta, con la
sentenza del 6
novembre 2003, nel procedimento C-101/01, per definire la nozione di
trasferimento di dati personali verso paesi terzi, con riferimento alla
pubblicazione degli stessi su siti Internet.
Su richiesta di un giudice di appello svedese, la Corte ha precisato che qualora
l'art. 25 della direttiva 95/46 venisse interpretato nel senso che si configura
un "trasferimento verso un paese terzo di dati personali" ogni volta che dati
personali vengono caricati in una pagina Internet, tale trasferimento sarebbe
necessariamente un trasferimento verso tutti i paesi terzi in cui esistono i
mezzi tecnici necessari per accedere ad Internet. Il regime speciale previsto
dal capo IV della suddetta direttiva diverrebbe quindi necessariamente, per
quanto riguarda le operazioni su Internet, un regime di applicazione generale.
Infatti, non appena la Commissione constatasse, ai sensi dell'art. 25, n. 4,
della direttiva 95/46, che un solo paese terzo non garantisce un livello di
protezione adeguato, gli Stati membri sarebbero tenuti ad impedire qualsiasi
immissione in Internet di dati personali.
La Corte ha quindi disposto che non si configura un «trasferimento
verso un paese terzo di dati» ai sensi dell'art. 25 della direttiva 95/46
allorché una persona che si trovi in uno Stato membro inserisce in una pagina
Internet - caricata presso il suo fornitore di servizi di ospitalità («web
hosting provider»), stabilito nello Stato stesso o in un altro Stato membro -
dati personali, rendendoli così accessibili a chiunque si colleghi ad Internet,
compresi coloro che si trovano in paesi terzi.
Questa interpretazione della Corte riteniamo debba applicarsi strettamente a
quei casi di pubblicazione su Internet di dati in contesti "normali". Non si
deve cioè pensare che basti pubblicare, ad es., una banca dati su un sito Web,
al fine di farla scaricare da un soggetto determinato, per svincolarsi così dai
limiti e dagli adempimenti necessari per il trasferimento di dati verso paesi
extracomunitari. Un tal comportamento sarebbe semplicemente elusivo della norma
e, a nostro parere, sanzionabile.
Il
retroscena e le altre interpretazioni relative alla direttiva europea sulla
privacy
La questione è sorta in Svezia, dove una signora era stata accusata, in un
procedimento penale, di aver violato la normativa svedese relativa alla privacy,
pubblicando nel suo sito Internet dati personali riguardanti un certo numero di
persone che lavorano, come lei, in qualità di volontari in una parrocchia della
Chiesa protestante di Svezia. La signora aveva creato a casa sua e con un
personal computer, alcune pagine Internet allo scopo di consentire ai
parrocchiani di ottenere informazioni.
Le pagine in questione contenevano informazioni sulla signora stessa e sui 18
suoi colleghi della parrocchia (nome e cognome, o solo nome). Per alcuni
colleghi erano descritte anche le mansioni e le abitudini nel tempo libero,
oltre alla situazione familiare, ai recapiti telefonici ed ad altre
informazioni. Per una collega in particolare era stato segnalato che si trovava
in congedo parziale per malattia, in quanto si era ferita ad un piede.
Dell'esistenza delle pagine la signora non aveva informato i colleghi, né aveva
chiesto loro il consenso, né aveva dichiarato di averle realizzate alla
Datainspektion (l'Autorità competente in Svezia).
La signora,
condannata in primo grado, ha proposto appello, ed in questa fase il giudice
svedese ha chiesto l'intervento interpretativo della Corte UE, in merito a
diverse questioni, che ha così risposto:
- nella nozione
di "dati personali" rientra certamente il nome di una persona accostato al suo
recapito o ad informazioni relative alla sua situazione lavorativa o ai suoi
passatempi;
- va
considerata "trattamento interamente o parzialmente automatizzato" l'operazione
consistente nel far comparire in una pagina Internet dati personali;
- non può
considerarsi trattamento svolto esclusivamente per attività private personali
(es. agenda privata - escluso dall'applicazione della normativa in questione) il
trattamento comportante la pubblicazione di dati su Internet;
- l'indicazione
del fatto che una persona si è ferita ad un piede e si trova in congedo parziale
per malattia costituisce un dato personale relativo alla salute (quindi dato
sensibile);
- non si
configura un trasferimento di dati verso un paese terzo (ai sensi dell'art. 25
dir. 95/46) allorché una persona che si trovi in uno Stato membro inserisca in
una pagina Internet - caricata presso il suo fornitore web hosting, stabilito
nello Stato stesso o in un altro Stato membro - dati personali, rendendoli così
accessibili a chiunque si colleghi ad Internet, compresi coloro che si trovano
in Paesi terzi.
CR
Documenti:
- Sentenza 6 novembre
2003 della Corte di Giustizia UE
-
Conclusioni dell'avvocato generale del 19 settembre 2002
|