Pagina pubblicata tra il 1995 e il 2013
Le informazioni potrebbero non essere più valide
Documenti e testi normativi non sono aggiornati

 

Europa - Diritto comunitario e dei Paesi europei
A cura dello Studio legale Puopolo Sistilli Geffers & Luise

Leggi sulla privacy: confronto Francia-Italia
di Gianfranco Puopolo e Laura Liguori - 14.09.2000

I. Introduzione

La direttiva 46/95/CE del Parlamento europeo e del Consiglio relativa alla tutela dei dati personali, nonché alla libera circolazione di tali dati, è stata attuata in Italia con la legge 31 dicembre 1996, n. 675. Soltanto alcuni stati membri, comunque, hanno recepito questa direttiva all'interno delle proprie legislazioni nazionali: sono ancora in discussione progetti di recepimento della direttiva europea in Francia e in Germania, che, pure, sono state tra le prime nazioni europee a munirsi di una legge sulla protezione dei dati personali. Anzi, va sottolineato come la direttiva comunitaria sia il frutto di una lunga riflessione tra i vari esperti provenienti da tutti gli Stati membri e che, per alcuni aspetti, essa si basa su principi largamente acquisiti proprio in paesi come la Francia o la Germania, tra le prime nazioni europee a munirsi di una legislazione sulla protezione dei dati personali.

II. I principi generali

In particolare, in Francia, esiste fin dal 6 gennaio 1978 la "Loi informatique e libertés", nella quale si afferma il principio per il quale chiunque intenda effettuare trattamenti di dati personali (i.e. nominativi) deve previamente notificarlo alla Commission Nationale Informatique et Libertés (CNIL: le informazioni relative al CNIL sono disponibili sul sito http://www.cnil.fr). Come sappiamo il principio della notifica preventiva dei trattamenti dei dati personali è stato introdotto anche nella Direttiva 46/95/CE e, conseguentemente, anche nella legge 675/96.

La legge si applica indipendente dalla circostanza che il trattamento venga effettuato da soggetti francesi o stranieri, essendo l'applicazione stessa basata su un principio "territoriale", adottato anche dalla legge 675/96. In base a tale principio, l'applicazione della legge dipende dalla circostanza che il trattamento venga effettuato nel territorio dello Stato, indipendentemente, dunque, dalla nazionalità dei soggetti coinvolti in detto trattamento.

La legge francese si applica anche agli archivi manuali, ma sole ove gli stessi siano in qualche modo connessi ad archivi automatizzati. Essa inoltre non si applica ai dati personali relativi alle persone giuridiche. Ricordiamo che l'estensione dell'ambito di applicazione della legge agli archivi manuali e alle persone giuridiche costituiva una delle opzioni tra le quali la Direttiva consentiva agli Stati membri di scegliere in sede di attuazione. Con la legge 675/96, lo Stato italiano ha optato per l'estensione della normativa sia agli archivi manuali che ai dati relativi a persone giuridiche e non solo fisiche.

La normativa francese si applica tanto ai trattamenti effettuati da enti privati che a quelli effettuati da enti pubblici. Un importante spunto di riflessione è dato dalla previsione, nella normativa francese, di disposizioni anche più restrittive nei confronti dei trattamenti effettuati nell'ambito pubblico (necessità di espressa autorizzazione del CNIL), circostanza d'altra parte comprensibile e facilmente spiegabile, se si pensa a quanto maggiore potenzialmente più pericolosi per la privacy dell'individuo possano essere gli archivi pubblici rispetto a quelli privati. La legge italiana, al contrario, prevede restrizioni per così dire "a monte" (l'autorizzazione della legge al trattamento di dati sensibili da parte di soggetti pubblici), ma non impone particolari oneri successivamente (autorizzazione specifica da parte dell'autorità di controllo).

III. La normativa italiana e francese a confronto

La legge italiana prevede alcune ipotesi di notificazione semplificata e di esonero dall'obbligo di notifica dei trattamenti di dati personali. La normativa francese esclude dall'obbligo di notificazione gli archivi creati per utilizzazione personale nonché quelli contabili e creati da organizzazioni religiose, filosofiche sindacali.

Una delle maggiori differenze tra le normative in esame riguarda il consenso dell'interessato. Mentre nella legge 675/96 il principio generale è quello in base al quale il trattamento dei dati personali deve avvenire con il consenso dell'interessato (pur con la previsione di un certo numero di deroghe), la legge francese non richiede il consenso dell'interessato per il trattamento dei dati che lo riguardano. Nonostante questo, la legge prevede che nel caso di raccolta di dati personali l'interessato debba essere informato relativamente alla obbligatorietà o facoltatività delle risposte nonché delle conseguenze dell'eventuale rifiuto di fornire i dati. Inoltre, l'interessato deve ricevere informazioni sui soggetti che avranno accesso ai dati personali e sul diritto di accesso e di rettifica che la stessa legge attribuisce all'interessato. Infine, a differenza di quanto previsto dalla normativa italiana (e dalla direttiva europea) chi effettua il trattamento dei dati deve informare l'interessato delle finalità di tale trattamento solo ove questi lo richieda, e non in generale, sempre prima di raccogliere i dati personali o effettuare qualsiasi trattamento. Le finalità del trattamento in Francia devono essere comunicate esclusivamente al CNIL.

Come sappiamo la legge italiana prevede un regime particolare per i cd dati sensibili (consenso scritto dell'interessato e autorizzazione preventiva del garante): in Francia, la situazione è diversa, in quanto per il trattamento di questi dati si richiede esclusivamente il consenso scritto dell'interessato e nessuna forma di controllo preventivo da parte del CNIL.

Infine, per quanto riguarda il trasferimento dei dati all'estero, non è richiesto alcun consenso specifico dell'interessato, ma semplicemente un obbligo di chi raccoglie i dati di informarlo della circostanza che i dati saranno trasferiti all'estero. Quanto al ruolo del CNIL nel caso di trasferimento all'estero di dati personali, qualora il trasferimento di dati sia indirizzato verso Paesi che hanno una propria legislazione in materia di protezione dei dati personali, è sufficiente notificare preventivamente al CNIL l'intenzione di procedere al trasferimento. Nel caso in cui, invece, il Paese destinatario dei dati oggetto di trasferimento sia sprovvisto di tale legislazione, la legge francese richiede che colui che effettua il trasferimento debba concludere un contratto con l'utilizzatore di tali dati nel Paese destinatario, nel quale quest'ultimo si impegni a garantire una tutela dei dati trasferiti simile a quella fornita dalla legislazione francese. Quest'ultima previsione è particolarmente interessante: la legge francese fornisce addirittura modelli per la conclusione di tale accordo. La legge italiana, invece, conformemente a quanto previsto nella direttiva 46/95/CE, introduce un regime differenziato a seconda che i dati vengano trasferiti in Paesi membri dell'unione europea o extraeuropei. Solo nel secondo caso è necessaria la previa notifica del trasferimento al Garante (come anche per qualsiasi trasferimento, indipendentemente dal Paese di destinazione, ove si tratti di dati sensibili), il quale vieta il trasferimento nel caso in cui il Paese destinatario non garantisca un livello di tutela adeguato (o, in caso di dati sensibili, pari a quello italiano). Come sappiamo, questa previsione, ha causato non pochi problemi nei rapporti tra stati dell'Unione Europea e Stati Uniti d'America dove la legislazione sulla privacy si differenzia molto ed è considerata inadeguata rispetto agli standard europei. La soluzione offerta dalla legislazione francese appare interessante proprio perché poco restrittiva dei traffici di dati tra i due continenti, ma è destinata ad essere sostituita da disposizioni più simili a quelle contenute nella legge 675/96, in ottemperanza alla direttiva 46/95/CE.