di Gianfranco Puopolo e Laura
Liguori - 14.09.2000
I. Introduzione
La direttiva 46/95/CE del Parlamento europeo e del Consiglio relativa alla
tutela dei dati personali, nonché alla libera circolazione di tali dati, è
stata attuata in Italia con la legge 31 dicembre 1996, n. 675. Soltanto alcuni
stati membri, comunque, hanno recepito questa direttiva all'interno delle
proprie legislazioni nazionali: sono ancora in discussione progetti di
recepimento della direttiva europea in Francia e in Germania, che, pure, sono
state tra le prime nazioni europee a munirsi di una legge sulla protezione dei
dati personali. Anzi, va sottolineato come la direttiva comunitaria sia il
frutto di una lunga riflessione tra i vari esperti provenienti da tutti gli
Stati membri e che, per alcuni aspetti, essa si basa su principi largamente
acquisiti proprio in paesi come la Francia o la Germania, tra le prime nazioni
europee a munirsi di una legislazione sulla protezione dei dati personali.
II. I principi generali
In particolare, in Francia, esiste fin dal 6 gennaio 1978 la "Loi
informatique e libertés", nella quale si afferma il principio per il quale
chiunque intenda effettuare trattamenti di dati personali (i.e. nominativi) deve
previamente notificarlo alla Commission Nationale Informatique et Libertés (CNIL:
le informazioni relative al CNIL sono disponibili sul sito
).
Come sappiamo il principio della notifica preventiva dei trattamenti dei dati
personali è stato introdotto anche nella Direttiva 46/95/CE e,
conseguentemente, anche nella legge 675/96.
La legge si applica indipendente dalla circostanza che il trattamento venga
effettuato da soggetti francesi o stranieri, essendo l'applicazione stessa
basata su un principio "territoriale", adottato anche dalla legge
675/96. In base a tale principio, l'applicazione della legge dipende dalla
circostanza che il trattamento venga effettuato nel territorio dello Stato,
indipendentemente, dunque, dalla nazionalità dei soggetti coinvolti in detto
trattamento.
La legge francese si applica anche agli archivi manuali, ma sole ove gli
stessi siano in qualche modo connessi ad archivi automatizzati. Essa inoltre non
si applica ai dati personali relativi alle persone giuridiche. Ricordiamo che l'estensione
dell'ambito di applicazione della legge agli archivi manuali e alle persone
giuridiche costituiva una delle opzioni tra le quali la Direttiva consentiva
agli Stati membri di scegliere in sede di attuazione. Con la legge 675/96, lo
Stato italiano ha optato per l'estensione della normativa sia agli archivi
manuali che ai dati relativi a persone giuridiche e non solo fisiche.
La normativa francese si applica tanto ai trattamenti effettuati da enti
privati che a quelli effettuati da enti pubblici. Un importante spunto di
riflessione è dato dalla previsione, nella normativa francese, di disposizioni
anche più restrittive nei confronti dei trattamenti effettuati nell'ambito
pubblico (necessità di espressa autorizzazione del CNIL), circostanza d'altra
parte comprensibile e facilmente spiegabile, se si pensa a quanto maggiore
potenzialmente più pericolosi per la privacy dell'individuo possano essere
gli archivi pubblici rispetto a quelli privati. La legge italiana, al contrario,
prevede restrizioni per così dire "a monte" (l'autorizzazione della
legge al trattamento di dati sensibili da parte di soggetti pubblici), ma non
impone particolari oneri successivamente (autorizzazione specifica da parte dell'autorità
di controllo).
III. La normativa italiana e francese a confronto
La legge italiana prevede alcune ipotesi di notificazione semplificata e di
esonero dall'obbligo di notifica dei trattamenti di dati personali. La
normativa francese esclude dall'obbligo di notificazione gli archivi creati
per utilizzazione personale nonché quelli contabili e creati da organizzazioni
religiose, filosofiche sindacali.
Una delle maggiori differenze tra le normative in esame riguarda il consenso
dell'interessato. Mentre nella legge 675/96 il principio generale è quello in
base al quale il trattamento dei dati personali deve avvenire con il consenso
dell'interessato (pur con la previsione di un certo numero di deroghe), la
legge francese non richiede il consenso dell'interessato per il trattamento
dei dati che lo riguardano. Nonostante questo, la legge prevede che nel caso di
raccolta di dati personali l'interessato debba essere informato relativamente
alla obbligatorietà o facoltatività delle risposte nonché delle conseguenze
dell'eventuale rifiuto di fornire i dati. Inoltre, l'interessato deve
ricevere informazioni sui soggetti che avranno accesso ai dati personali e sul
diritto di accesso e di rettifica che la stessa legge attribuisce all'interessato.
Infine, a differenza di quanto previsto dalla normativa italiana (e dalla
direttiva europea) chi effettua il trattamento dei dati deve informare l'interessato
delle finalità di tale trattamento solo ove questi lo richieda, e non in
generale, sempre prima di raccogliere i dati personali o effettuare qualsiasi
trattamento. Le finalità del trattamento in Francia devono essere comunicate
esclusivamente al CNIL.
Come sappiamo la legge italiana prevede un regime particolare per i cd dati
sensibili (consenso scritto dell'interessato e autorizzazione preventiva del
garante): in Francia, la situazione è diversa, in quanto per il trattamento di
questi dati si richiede esclusivamente il consenso scritto dell'interessato e
nessuna forma di controllo preventivo da parte del CNIL.
Infine, per quanto riguarda il trasferimento dei dati all'estero, non è
richiesto alcun consenso specifico dell'interessato, ma semplicemente un
obbligo di chi raccoglie i dati di informarlo della circostanza che i dati
saranno trasferiti all'estero. Quanto al ruolo del CNIL nel caso di
trasferimento all'estero di dati personali, qualora il trasferimento di dati
sia indirizzato verso Paesi che hanno una propria legislazione in materia di
protezione dei dati personali, è sufficiente notificare preventivamente al CNIL
l'intenzione di procedere al trasferimento. Nel caso in cui, invece, il Paese
destinatario dei dati oggetto di trasferimento sia sprovvisto di tale
legislazione, la legge francese richiede che colui che effettua il trasferimento
debba concludere un contratto con l'utilizzatore di tali dati nel Paese
destinatario, nel quale quest'ultimo si impegni a garantire una tutela dei
dati trasferiti simile a quella fornita dalla legislazione francese. Quest'ultima
previsione è particolarmente interessante: la legge francese fornisce
addirittura modelli per la conclusione di tale accordo. La legge italiana,
invece, conformemente a quanto previsto nella direttiva 46/95/CE, introduce un
regime differenziato a seconda che i dati vengano trasferiti in Paesi membri
dell'unione europea o extraeuropei. Solo nel secondo caso è necessaria la
previa notifica del trasferimento al Garante (come anche per qualsiasi
trasferimento, indipendentemente dal Paese di destinazione, ove si tratti di
dati sensibili), il quale vieta il trasferimento nel caso in cui il Paese
destinatario non garantisca un livello di tutela adeguato (o, in caso di dati
sensibili, pari a quello italiano). Come sappiamo, questa previsione, ha causato
non pochi problemi nei rapporti tra stati dell'Unione Europea e Stati Uniti d'America
dove la legislazione sulla privacy si differenzia molto ed è considerata
inadeguata rispetto agli standard europei. La soluzione offerta dalla
legislazione francese appare interessante proprio perché poco restrittiva dei
traffici di dati tra i due continenti, ma è destinata ad essere sostituita da
disposizioni più simili a quelle contenute nella legge 675/96, in ottemperanza
alla direttiva 46/95/CE.