Pubblicato su Punto Informatico
Una sentenza del 6 novembre 2003 della Corte di Giustizia può far venire il mal di pancia a molti spensierati creatori di pagine web. Ecco come e perché...
Creare pagine web, strutturare un sito internet anche solo per riportarvi frasi scherzose su colleghi di lavoro ed amici non sono affatto attività spensierate e libere come in molti ancora credono. Lo sa bene adesso una tranquilla e religiosa casalinga svedese al centro di una complessa vicenda giudiziaria che, istruita innanzi al Giudice nazionale, ha visto addirittura l'intervento della Corte di Giustizia Europea.
In estrema sintesi, le veniva contestato di aver violato la normativa svedese relativa alla protezione dei dati personali per aver pubblicato nel suo sito Internet dati personali riguardanti un certo numero di persone che lavora(va)no, come lei, in qualità di volontari in una parrocchia della Chiesa protestante di Svezia. In particolare, la sig.ra Lindqvist, formatrice di comunicandi, nell'autunno 1998, aveva creato alcune pagine internet, collegate, tramite links, al sito della Chiesa protestante di Svezia. In tali pagine, oltre alle varie informazioni di servizio rivolte a parrocchiani, la stessa aveva inserito, senza richiedere il consenso espresso degli interessati, le generalità e i numeri di telefono di alcuni volontari, specificandone in termini scherzosi mansioni, hobbies e la loro situazione familiare e riferendo in particolare il fatto che una collega, a seguito di una lesione ad un piede, fosse in congedo parziale per malattia.
L'adito Giudice nazionale di Appello (ovvero la Göta Hovrätt), intervenuto dopo una prima condanna in primo grado, prima di valutare nel merito la condotta dell'imputata ha ritenuto indispensabile l'intervento della Corte di Giustizia U.E. al fine di meglio chiarire contenuto e limiti della normativa sottesa a tale vicenda, ovvero della Direttiva 95/46/CE "Sulla protezione dei dati personali" (di seguito, direttiva).
La Corte Europea, con la sua recente sentenza del 6 novembre 2003, ha preso in esame diversi aspetti problematici propri della menzionata direttiva (dal suo ambito di applicazione alla questione della pubblicazione dei dati personali sui siti web sino al trasferimento dei dati all'estero) e merita perciò un'analisi puntuale dei diversi passaggi logico-giuridici seguiti dallo stesso Collegio Giudicante.
Le questioni sottoposte al giudizio della Corte
I più interessanti dubbi interpretativi sulla direttiva, sollevati dalla Göta Hovrätt e sottoposti al vaglio della Corte, riguardano quindi l'ambito di applicazione della medesima direttiva e la stessa definizione di trattamento dei dati personali, la tematica dei dati inerenti alla salute e il trasferimento all'estero dei dati personali.
Cerchiamo di chiarire meglio le singole questioni per poi trattare, nel paragrafo successivo, le soluzioni offerte dalla Corte.
Prima questione. La Corte è chiamata a dire se l'indicazione del nome (o del numero di telefono unitamente al nome) di una persona in una pagina di Internet costituisca un comportamento che rientra nell'ambito di applicazione della direttiva e se il realizzare personalmente una pagina web in cui vengono riportati i nomi di un certo numero di persone, unitamente ai loro hobbies e ai loro lavori, costituisca un trattamento di dati personali interamente o parzialmente automatizzato.
Per il caso in cui tale questione venga risolta positivamente, alla Corte sono poste anche le seguenti ulteriori problematiche:
Seconda questione. Se il pubblicare, in una pagina iniziale privata, ma accessibile a chiunque ne conosca l'indirizzo, dati relativi a colleghi di lavoro possa essere considerato un comportamento che non rientra nell'ambito di applicazione della menzionata direttiva in forza di una delle eccezioni previste dall'art. 3, n. 2, della stessa direttiva (sulle quali ci soffermeremo più avanti).
Terza questione. Se l'indicare, in una pagina iniziale, che una collega di lavoro, di cui viene specificato il nome, si è ferita ad un piede e si trova in congedo parziale per malattia costituisca un dato personale relativo alla salute.
Quarta questione. Se una persona che si trova in Svezia e che servendosi di un computer pubblica dati personali in una pagina web caricata su un server in Svezia effettivamente trasferisca dati verso paesi terzi ai sensi della citata direttiva.
Le soluzioni della Corte
Passiamo ora a trattare delle soluzioni offerte dall'adita Corte.
1) La prima questione è risolta interpretando la direttiva in parola nel senso che l'operazione consistente nel fare riferimento, in una pagina Internet, a diverse persone e nell'identificarle vuoi mediante il loro nome, vuoi con altri mezzi, ad esempio indicando il loro numero di telefono o informazioni relative alla loro situazione lavorativa e ai loro passatempo, costituisce un "trattamento di dati personali interamente o parzialmente automatizzato", ai sensi dell'art. 3, n. 1, della direttiva 95/46. La Corte non ha quindi alcun dubbio: creare una pagina web ivi indicando determinate persone rese riconoscibili grazie all'utilizzo di alcune informazioni ad esse inerenti comporta l'applicazione della normativa europea - e quindi anche di quella nazionale - in tema di tutela dei dati personali!
2) Particolarmente interessante la soluzione offerta dal Collegio Giudicante in ordine alla seconda questione per la cui corretta analisi è opportuno ripercorrere brevemente il tema delle eccezioni all'ambito di applicazione della direttiva previste dall'art. 3 n. 2.
Secondo tale disposizione vi sono due particolari eccezioni di cui una riguarda i trattamenti effettuati per l'esercizio di attività che non rientrano nel campo di applicazione del diritto comunitario, come quelle previste dai titoli V e VI del trattato sull'Unione europea e comunque ai trattamenti aventi come oggetto la pubblica sicurezza, la difesa, la sicurezza dello Stato (compreso il benessere economico dello Stato, laddove tali trattamenti siano connessi a questioni di sicurezza dello Stato) e le attività dello Stato in materia di diritto penale e l'altra attiene ai trattamenti effettuati da una persona fisica per l'esercizio di attività a carattere esclusivamente personale o domestico.
Orbene, le attività poste in essere dalla sig.ra Lindqvist, imputata nel procedimento penale pendente innanzi alla Corte Svedese remittente, erano sostanzialmente non economiche ma a carattere religioso e svolte a titolo di volontariato e, in quanto tali, secondo la Corte non rientravano nell'ambito della prima delle due menzionate eccezioni. Ciò perché con l'espressione "attività che non rientrano nel campo di applicazione del diritto comunitario" si intendono - continua la Corte di Giustizia - le attività proprie degli Stati o delle autorità statali, ed estranee ai settori di attività dei singoli. Né le menzionate attività possono ragionevolmente ricondursi alla seconda eccezione prevista dalla direttiva che deve correttamente interpretarsi nel senso di ricomprendere unicamente le attività che si inseriscano nell'ambito della vita privata o familiare dei singoli, il che manifestamente non avviene nel caso del trattamento di dati personali consistente nella loro pubblicazione su Internet di modo da rendere tali dati accessibili ad un numero indefinito di persone".
3) La terza questione viene risolta semplicemente nel senso di ritenere che l'indicazione del fatto che una persona si sia ferita ad un piede e si trovi in congedo parziale per malattia costituisce un dato personale relativo alla salute ai sensi dell'art. 8, n. 1, della direttiva in parola…e in Italia tali dati, definiti sensibili dalla legislazione di recepimento della direttiva (si fa riferimento alla nota L. 675/96 e da gennaio al Codice in materia di protezione dati personali), per essere trattati necessitano di un consenso scritto!
4) Venendo alla quarta questione, la Corte muove da un assunto inconfutabile: la direttiva 95/46 non definisce, né all'art. 25 né in alcun'altra disposizione, in particolare all'art. 2, la nozione di "trasferimento verso un paese terzo".
Conclusioni
Le informazioni che si trovano su Internet, come noto, possono essere consultate, in qualsiasi momento, da un numero indefinito di persone residenti in molteplici luoghi e quindi occorre chiarire se il gestore di un sito web stia, o meno, realizzando un trasferimento all'estero di dati personali nel momento in cui inserisce un dato personale nello "spazio virtuale".
Nel caso di specie risultava dagli atti di causa che per ottenere le informazioni che figuravano sulle pagine Internet nelle quali l'imputata aveva inserito i dati relativi ai suoi colleghi, un qualsiasi utente della rete doveva non soltanto collegarsi a questo sito, ma anche effettuare, con un procedimento personale, ulteriori operazioni tecniche necessarie per consultare le suddette pagine. In altri termini, le pagine Internet caricate dell'imputata consentivano sì un'indiretta e astratta accessibilità da parte di utenti appartenenti a Stati terzi, ma non trasferivano direttamente tali dati verso lo Stato terzo e, quindi, non contenevano i meccanismi tecnici che avrebbero consentito l'invio automatico di tali informazioni a persone che non avessero deliberatamente cercato di accedere a dette pagine. …Ne consegue che, in circostanze come quelle del caso di specie, i dati personali che giungono al computer di una persona che si trova in un paese terzo, provenienti da una persona che li ha caricati su un sito Internet, non sono stati trasferiti direttamente tra queste due persone ma attraverso l'infrastruttura informatica del fornitore di servizi di ospitalità in cui la pagina è caricata.
Peraltro, continua la Corte, il capo IV della direttiva non contiene alcuna disposizione riguardante l'uso di Internet, ragion per cui non si può presumere che il legislatore comunitario avesse l'intenzione di includere nella nozione di "trasferimenti verso un paese terzo di dati personali" l'inserimento, da parte di una persona che si trovi nella situazione della sig.ra Lindqvist, di dati in una pagina Internet, anche se questi sono così resi accessibili alle persone di paesi terzi in possesso dei mezzi tecnici per consultarli.
Di conseguenza, occorre concludere nel senso che non si configura un "trasferimento verso un paese terzo di dati" ai sensi dell'art. 25 della direttiva 95/46 allorché una persona che si trovi in uno Stato membro inserisce in una pagina Internet - caricata presso il suo fornitore di servizi di ospitalità ("web hosting provider"), stabilito nello Stato stesso o in un altro Stato membro - dati personali, rendendoli così accessibili a chiunque si colleghi ad Internet, compresi coloro che si trovano in paesi terzi.
Insomma, per concludere e tradurre dal "giuridichese": chi immette dati personali in Internet deve prima acquisire il consenso espresso degli interessati, ma almeno non sta operando un automatico trasferimento di questi dati verso paesi terzi... e se non fosse così molte attività fatte on line sarebbero illecite perché, secondo il legislatore comunitario il trasferimento dei dati personali verso Paesi terzi che non offrano adeguate garanzie è assolutamente vietato (salvo particolari deroghe previste dall'art. 26)!
Andrea Lisi e Maurizio De Giorgi (Studio Associato D.&L.)