Misure limitative del diritto alla privacy e principio di proporzionalità: le nuove Linee guida del Garante europeo della protezione dati – Parte I
Le nuove Linee Guida del Garante europeo della protezione dei dati (GEPD) sulla valutazione della proporzionalità mirano a fornire ai responsabili politici strumenti pratici per aiutare a valutare la conformità delle misure UE proposte che avrebbero un impatto sui diritti fondamentali alla privacy e sulla protezione dei dati personali con la Carta dei diritti fondamentali.
Wojciech Wiewiórowski, GEPD, ha dichiarato: “Qualsiasi proposta di limitazione del diritto alla protezione dei dati personali deve essere conforme al diritto dell’UE. Ciò significa garantire che tale limitazione sia necessaria che proporzionale. Le nostre Linee guida sulla proporzionalità, combinate con il Necessity Toolkit pubblicato nel 2017 (“Necessity toolkit on assessing the necessity of measures that limit the fundamental right to the protection of personal data”), mirano a rendere la valutazione della necessità e della proporzionalità più rapida e semplice per i responsabili politici, aiutandoli a garantire che tutte le nuove proposte dell’UE rispettino il diritto fondamentale alla protezione dei dati personali”.
Il GDPR si basa sull’art. 8 della Carta dei diritti fondamentali dell’Unione europea e sull’art. 16 del Trattato sul funzionamento dell’Unione europea (TFUE), in base al quale tutte le persone hanno il diritto alla protezione dei propri dati personali; l’UE deve pertanto emanare una legislazione conforme e qualsiasi restrizione di tali diritti deve rispettare determinati criteri:
- deve essere previsto dalla legge;
- deve rispettare l’essenza del diritto fondamentale in questione e
- deve essere sia necessario che proporzionale, tenendo conto non solo degli obiettivi della misura stessa, ma anche della necessità di proteggere i diritti e le libertà in generale.
Basandosi sulla giurisprudenza pertinente, sui recenti pareri legislativi del GEPD e sui commenti formali, le linee guida sulla proporzionalità del GEPD e il Necessity Toolkit forniscono orientamenti pratici per aiutare ad affrontare queste dimensioni chiave sin dall’inizio del processo legislativo, per assicurare che i diritti fondamentali siano sempre adeguatamente tutelati.
Lo scopo delle Linee Guida e come usarle
I diritti fondamentali, sanciti dalla Carta dei diritti fondamentali dell’Unione europea (di seguito “la Carta”), fanno parte dei valori fondamentali dell’Unione europea, che sono anche stabiliti nel trattato sull’Unione europea (di seguito “TUE ‘): tra questi vi sono i diritti fondamentali alla privacy e alla protezione dei dati personali sanciti dagli articoli 7 e 8 della Carta che devono essere rispettati dalle istituzioni e dagli organi dell’UE anche quando elaborano e attuano nuove politiche o adottano nuove misure legislative. Anche altre norme sui diritti fondamentali svolgono un ruolo influente nell’ordinamento giuridico dell’UE, in particolare quelle stabilite nella Convenzione europea per la protezione dei diritti dell’uomo e delle libertà (di seguito “la CEDU”).
Le condizioni per eventuali limitazioni all’esercizio dei diritti fondamentali sono tra le caratteristiche più importanti della Carta perché determinano la misura in cui i diritti possono essere effettivamente goduti.
La necessità e la proporzionalità di una misura legislativa che comporta una limitazione dei diritti fondamentali alla privacy e alla protezione dei dati personali sono un duplice requisito essenziale a cui devono conformarsi le misure proposte che comportano il trattamento di dati personali. Tuttavia, garantire che la protezione dei dati diventi parte integrante del processo decisionale dell’UE richiede non solo una comprensione dei principi espressi nel quadro giuridico e nella giurisprudenza pertinente, ma anche un’attenzione pratica e creativa alle soluzioni a problemi complessi.
La Corte di giustizia dell’Unione europea (di seguito “la CGUE”) ha riconosciuto che la legislazione dell’UE deve spesso raggiungere diversi obiettivi di interesse pubblico che a volte possono essere contraddittori e richiedere un giusto equilibrio da raggiungere con i fondamentali diritti tutelati dall’ordinamento giuridico dell’UE. Tali diritti e interessi, come sancito dalla Carta, possono comprendere: il diritto alla vita (articolo 2) e all’integrità della persona (articolo 3); il diritto alla libertà e alla sicurezza (articolo 6); libertà di espressione (articolo 11); libertà di condurre un’impresa (articolo 16); il diritto di proprietà, compresa la proprietà intellettuale (articolo 17); il diritto di accesso ai documenti (articolo 42).
Le Linee guida sono state sviluppate per coadiuvare i legislatori dell’UE, una volta individuate le misure che incidono sulla protezione dei dati e le priorità e gli obiettivi alla base di tali misure, nel trovare soluzioni che minimizzino il conflitto tra le varie priorità e siano proporzionate.
Esse offrono una metodologia pratica e dettagliata per valutare la proporzionalità delle nuove misure legislative, fornendo spiegazioni ed esempi concreti.
Il GEPD osserva che, negli ultimi anni, la protezione dei dati personali è sempre più riconosciuta come una dimensione che deve essere considerata dal legislatore in tutti i settori politici e per quasi tutte le iniziative della Commissione. Ciò non è dovuto solo a una maggiore consapevolezza dell’opinione pubblica, ma alla grande capacità di elaborazione dei dati di avere un impatto notevole sulla vita di ogni singolo cittadino.
È essenziale sottolineare che la necessità e la proporzionalità, sebbene strettamente collegate tra loro (entrambe le condizioni devono essere soddisfatte dalla legislazione), comportano due prove diverse. Ciò è reso evidente nella sezione III delle Linee guida che presentano la lista di controllo pratica per la proporzionalità, in base alla quale viene fornita la prima visione olistica del flusso di lavoro complessivo.
Le Linee guida consistono in un’introduzione, che ne definisce il contenuto e lo scopo, un’analisi legale del test di proporzionalità applicato al trattamento dei dati personali e una lista di controllo pratica per valutare la proporzionalità delle nuove misure legislative. La checklist è il nucleo delle Linee guida e può essere utilizzata autonomamente.
Gli orientamenti si basano sulla giurisprudenza della CGUE, sulla Corte europea dei diritti dell’uomo (di seguito, “la CEDU”), sui pareri del GEPD e del gruppo di lavoro “Articolo 29” (di seguito, “WP29”) nonché su linee guida dell’European Data Protection Board (di seguito, “l’EDPB”).
Insieme al Necessity Toolkit, le Linee Guida forniscono un approccio comune alla valutazione della necessità e della proporzionalità delle misure legislative in relazione al diritto alla privacy e alla protezione dei dati personali.
Il test di proporzionalità applicato ai diritti alla privacy e alla protezione dei dati personali
- Il test di proporzionalità nella valutazione della legalità di qualsiasi misura proposta che implichi il trattamento di dati personali
L’articolo 8 della Carta sancisce il diritto fondamentale alla protezione dei dati personali. Il diritto non è assoluto e può essere limitato, a condizione che le limitazioni siano conformi ai requisiti di cui all’articolo 52, paragrafo 1, della Carta. La stessa analisi si applica al diritto al rispetto della vita privata sancito dall’articolo 7 della Carta.
Per essere lecita, qualsiasi limitazione all’esercizio dei diritti fondamentali tutelati dalla Carta deve quindi rispettare i seguenti criteri:
- deve essere previsto dalla legge,
- deve rispettare l’essenza dei diritti,
- deve conseguire obiettivi di interesse generale riconosciuti dall’Unione o la necessità di proteggere i diritti e le libertà altrui,
- deve essere necessario – il focus del Necessity Toolkit, e
- deve essere proporzionato: il fulcro di queste Linee guida.
Pertanto, la proporzionalità in senso lato (come indicato dalla CGUE) comprende sia la necessità che l’adeguatezza (proporzionalità in senso stretto) di una misura, vale a dire la misura in cui esiste un legame logico tra la misura e il (legittimo) obiettivo perseguito.
Affinché una misura rispetti il principio di proporzionalità, i vantaggi derivanti dalla misura non dovrebbero essere compensati dagli svantaggi che la misura comporta rispetto all’esercizio dei diritti fondamentali. Pertanto “limita le autorità nell’esercizio dei loro poteri richiedendo di raggiungere un equilibrio tra i mezzi utilizzati e l’obiettivo previsto (o il risultato raggiunto)”. Quest’ultimo elemento (l’equilibrio da raggiungere) descrive la proporzionalità in senso stretto (stricto sensu) e costituisce il test di proporzionalità che è l’oggetto delle Linee guida. Dovrebbe essere chiaramente distinto dalla necessità (vedere la sezione III di seguito), sia dal punto di vista concettuale che pratico.
- Chiarimenti sul rapporto tra proporzionalità e necessità
Come specificato nel Necessity Toolkit, “la necessità implica la necessità di una valutazione combinata e basata sui fatti dell’efficacia della misura per l’obiettivo perseguito e se sia meno invasiva rispetto ad altre opzioni per raggiungere lo stesso obiettivo”. Il test di necessità dovrebbe essere considerato come il primo passo a cui deve conformarsi una misura proposta che comporta il trattamento di dati personali, sicché una misura che non si è dimostrata necessaria non dovrebbe essere proposta a meno che e finché non sia stata modificata per soddisfare il requisito della necessità: in altre parole, la necessità è una condizione preliminare per la proporzionalità.
Quindi, una volta che una misura legislativa è ritenuta necessaria, dovrebbe essere esaminata in base alla sua proporzionalità. Un test di proporzionalità generalmente implica la valutazione di quali “salvaguardie” dovrebbero accompagnare una misura al fine di ridurre i rischi, posti dalla misura prevista per i diritti e le libertà fondamentali delle persone interessate, a un livello “accettabile”/proporzionato.
Un altro fattore da considerare nella valutazione della proporzionalità di una misura proposta è l’efficacia delle misure esistenti oltre a quella proposta. Se esistono già misure per uno scopo simile o uguale, la loro efficacia dovrebbe essere sistematicamente valutata nell’ambito della valutazione della proporzionalità. Senza una tale valutazione dell’efficacia delle misure esistenti che perseguono uno scopo simile o uguale, il test di proporzionalità per una nuova misura non può essere considerato debitamente eseguito.
- Conclusione: proporzionalità nella legislazione sulla protezione dei dati. Un concetto “basato sui fatti” che richiede una valutazione caso per caso da parte del legislatore dell’UE
La “comparsa di un requisito di proporzionalità” è stata considerata “uno degli sviluppi più sorprendenti dell’ultimo decennio nella legislazione europea sulla privacy dei dati”: il trattamento dei dati deve essere proporzionato rispetto allo scopo legittimo perseguito e riflettere in tutte le fasi del trattamento un giusto equilibrio tra tutti gli interessi interessati, indipendentemente dal fatto che pubblico o privato, e i diritti e le libertà in gioco.
Al centro della nozione di proporzionalità si trova il concetto di un esercizio di bilanciamento: la ponderazione dell’intensità dell’interferenza rispetto all’importanza (“legittimità”, usando la formulazione della giurisprudenza) dell’obiettivo raggiunto nel contesto dato.
Pertanto, la chiarezza della misura che limita i diritti fondamentali alla privacy e/o alla protezione dei dati è un prerequisito per l’identificazione dell’intensità dell’interferenza. Quest’ultimo, a sua volta, è necessario per verificare se l’impatto su questi diritti fondamentali è “proporzionato all’obiettivo” (vale a dire l’obiettivo perseguito dalla legislazione in esame).
Come affermato dalla CGUE, la proporzionalità è una valutazione concreta (caso per caso), cioé l’analisi della proporzionalità è sempre contestuale: come ulteriormente spiegato in queste Linee guida, detta analisi non può aver luogo senza prima identificare il contesto della misura in esame (ad esempio, il responsabile del trattamento condivide o fornisce l’accesso alle informazioni sulla persona interessata? Con chi e per quale scopo?).
L’apparato delle Linee guida mira ad aiutare il legislatore a porre la giusta serie di domande, tenendo conto delle questioni più pertinenti e ricorrenti in materia di protezione dei dati; in un prossimo articolo saranno analizzati più in dettaglio gli strumenti concretamente previsti a tale scopo.
Articolo a cura di Sergio Guida
Da economista aziendale, ha maturato esperienze direzionali in gruppi industriali diversi per settori, dimensioni e caratteristiche. Specializzato in pianificazione strategica e controllo di gestione, finanza, risk e project management, sistemi di gestione e rendicontazione integrativi (sociale, ambientale e intangible assets), è stato relatore in convegni e seminari e pubblica articoli di economia, finanza, digital transformation, data governance, public health, compliance & regulatory affairs.
Ha seguito percorsi multidisciplinari su Design Thinking, Human-Computer Interaction, Data protection & Privacy, Digital Health & Therapeutics. Business angel, segue con attenzione il mondo delle Startup.