Introduzione, campo d’applicazione e definizioni (artt. 1-3 della legge n° 78-17[1])
La Francia è stata uno dei primi Stati europei a dotarsi di una legge in materia di trattamento dei dati personali, ma l’ultimo a recepire la direttiva europea in materia[2], che pure proprio dalla normativa francese è stata ispirata[3].
In effetti, la creazione di un sistema di obbligazioni e controlli per i gestori di dati personali, finalizzato essenzialmente ad assicurare il rispetto della vita privata[4], risale addirittura alla legge n° 78-17 del 6 gennaio 1978 relativa all’informatica, agli schedari e alle libertà; tuttavia, è solo con la legge n° 2004-801 del 6 agosto 2004 relativa alla protezione delle persone fisiche rispetto ai trattamenti di dati di carattere personale che è stata finalmente recepita la direttiva 95/46/CE del 24 ottobre 1995, mentre con l’ordinanza n° 2011-1012 del 24 agosto 2011 relativa alle comunicazioni elettroniche è stata recepita la direttiva 2009/136/CE del 25 novembre 2009.
La legge del 1978 è stata altresì modificata dalla legge n° 2006-64 del 23 gennaio 2006 relativa alla lotta contro il terrorismo e contenente disposizioni diverse relative alla sicurezza e ai controlli alle frontiere, dalla legge n° 2008-696 del 15 luglio 2008 relativa agli archivi, dalla legge n° 2009-526 del 12 maggio 2009 di semplificazione e chiarificazione del diritto e di riduzione delle procedure, dalla legge n° 2011-334 del 29 marzo 2011 relativa al Difensore dei diritti, dall’ordinanza, e, da ultimo, dalla legge n° 2013-907 dell’11 ottobre 2013 relativa alla trasparenza nella vita pubblica.
Dunque, la Francia ha simbolicamente scelto di mantenere la legge del 1978, pur rivedendola profondamente: in particolare, è stato mantenuto inalterato l’art 1, secondo cui “l’informatica deve essere al servizio di ogni cittadino” e non attentare “né all’identità umana, né ai diritti dell’uomo, né alla vita privata, né alle libertà individuali o pubbliche”, mentre le varie procedure sono state notevolmente semplificate[5].
La legge si applica sia ai trattamenti automatici che manuali, eccettuati quelli effettuati per fini esclusivamente personali (art. 2, comma 1), e ha dunque un campo d’applicazione più ampio rispetto alla dir. 95/46/CE, che esplicitamente escludeva il trattamento effettuato per l’esercizio di attività non rientranti nel campo d’applicazione del diritto comunitario e comunque aventi ad oggetto la pubblica sicurezza, la difesa, la sicurezza dello Stato e le attività dello Stato in ambito penale (art. 3.2)[6].
Per quanto riguarda, in particolare, la definizione di “dato personale”, ripresa, anche se non integralmente[7], dall’art. 2, lett. a), della direttiva, esso consiste in “ogni informazione relativa ad una persona fisica identificata o che può essere identificata, direttamente o indirettamente, attraverso il riferimento ad un numero d’identificazione o a uno o più elementi che le sono propri” (art. 2). La definizione di “trattamento di dati personali”, invece, deriva dall’art. 5 e fa riferimento ad “ogni operazione o insieme di operazioni riguardante tali dati, qualunque sia il procedimento utilizzato, e precisamente la raccolta, la registrazione, l’organizzazione, la conservazione, l’adattamento o la modifica, l’estrazione, la consultazione, l’utilizzazione, la comunicazione per trasmissione, diffusione od ogni altra forma di messa a disposizione, l’accostamento o l’interconnessione, così come il blocco, la cancellazione o la distruzione” (art. 2)[8]. Il “responsabile del trattamento”, infine, è definito, riprendendo l’art. 2, lett. d), della direttiva, come “la persona, l’autorità pubblica, il servizio o l’organismo che determina le sue finalità e i suoi mezzi” (art. 3-I).
Condizioni di liceità del trattamento (artt. 6-9 della legge n° 78-17)
La nuova legge pone quindi le condizioni di liceità del trattamento. In particolare, i dati (adeguati, pertinenti, proporzionati rispetto ai fini della raccolta e del trattamento, esatti, completi e aggiornati) devono essere raccolti e conservati in maniera leale e lecita, trattati in conformità ai fini predeterminati e, infine, conservati per una durata non superiore a quella necessaria per i fini per cui sono stati raccolti e conservati (art. 6, che riprende l’art. 6 della dir. 95/46/CE): si tratta di principi in larga parte analoghi a quelli previsti dalla legge del 1978, fatta eccezione per il principio di proporzionalità. Inoltre, conformemente all’art. 6.1, lett. b), della direttiva, viene stabilito l’innovativo divieto di utilizzazione futura dei dati in maniera incompatibile rispetto ai fini predeterminati, fatta eccezione per i fini statistici e di ricerca scientifica e storica (art. 6, n° 2)[9].
Inoltre, il trattamento deve avvenire con il consenso dell’interessato, eccetto il caso in cui il trattamento sia necessario per assicurare il rispetto di un obbligo di legge, per salvare la vita di una persona, per eseguire una missione di servizio pubblico, per eseguire un contratto di cui è parte la persona a cui si riferiscono i dati, per realizzare l’interesse legittimo del responsabile o del destinatario del trattamento, a condizione di non violare l’interesse o i diritti fondamentali della persona a cui si riferiscono i dati (art. 7, che riprende l’art. 7 della direttiva).
Tuttavia, è vietata e punita penalmente[10] la raccolta e la conservazione dei dati cc.dd. “sensibili”, quelli cioè in grado di rivelare “le origini razziali o etniche[11], le opinioni politiche, filosofiche o religiose o l’appartenenza sindacale della persona, o che sono relativi alla salute o alla vita sessuale di quest’ultima”, salvo che in presenza del consenso espresso dell’interessato (a meno che la legge non escluda la possibilità di derogare al divieto attraverso il consenso) o per l’esigenza di salvaguardare la vita umana (qualora l’interessato, per incapacità giuridica o materiale, non possa prestare il proprio consenso) o, ancora, per trattamenti riguardanti dati resi pubblici dall’interessato o dati necessari o per l’esercizio del diritto di azione e difesa in giudizio, o per cure, trattamenti, servizi e ricerche in ambito sanitario o, ancora, trattamenti statistici effettuati da certi enti pubblici (art. 8, che riprende l’art. 8 della direttiva). Una significativa eccezione, ripresa dall’art. 8.2, lett. d), della direttiva, è poi posta a vantaggio di associazioni e altri enti non a scopo di lucro e di carattere religioso, filosofico, politico e sindacale, purché i dati corrispondano all’oggetto dell’associazione o dell’ente, riguardino solamente i membri e non siano trasmessi a terzi (art. 8-II, n° 3). Viceversa, la legge non riprende l’eccezione, prevista dall’art. 8.2, lett. b), della direttiva, riguardante il caso in cui il trattamento sia necessario per assolvere ad obblighi e diritti specifici del responsabile del trattamento in materia lavoristica.
Per quanto riguarda, poi, l’uso dei dati personali nell’amministrazione della giustizia, il trattamento di dati personali riguardanti infrazioni, condanne e misure di sicurezza non può essere effettuato che dai giudici, dalle persone giuridiche che gestiscono un servizio pubblico, nell’ambito delle loro attribuzioni e dai funzionari di tribunale (art. 9, in esecuzione dell’art. 8.5 della direttiva).
Condizioni procedurali (artt. 22 e 24-27 della legge n° 78-17)
Per quanto riguarda, poi, gli aspetti procedurali, la legge, in esecuzione dell’art. 18.1 della direttiva, e fatti salvi alcuni casi particolari (ad esempio, qualora sia stato individuato un incaricato della protezione dei dati), impone di effettuare una dichiarazione alla Commissione nazionale dell’informatica e delle libertà prima di ogni trattamento automatizzato di dati personali (art. 22-I), salvo che sia stato individuato un corrispondente per la protezione dei dati personali, che ha il compito di assicurare, in maniera indipendente, il rispetto delle condizioni di legge in materia e di conservare, in maniera accessibile a chiunque ne faccia richiesta, la lista dei trattamenti effettuati (art. 22-III)[12]. Tuttavia, con riferimento a categorie di dati non suscettibili di recare pregiudizio alla vita privata e alle libertà fondamentali, la Commissione pubblica ogni anno delle norme destinate a semplificare gli obblighi dichiarativi (art. 24-I) o, addirittura, può escludere tali obblighi per certi trattamenti o permettere delle dichiarazioni uniche concernenti un insieme di trattamenti con finalità identiche o correlate fra loro (art. 24-II), il che dovrebbe consentire alla Commissione di dedicarsi alle attività considerate prioritarie, limitandosi, negli altri casi, ad un controllo a posteriori[13].
Tuttavia, qualora il trattamento riguardi categorie di dati particolarmente “a rischio” (come, ad esempio, i dati genetici o giudiziari), è necessario richiedere un’autorizzazione alla Commissione di cui sopra (art. 25) o, addirittura, un provvedimento del ministro competente o un decreto del Consiglio di Stato, che decidono sentito il parere della Commissione (artt. 26-27).
Diritti dell’interessato: informazione e accesso (artt. 32, 39, 41 e 42 della legge n° 78-17), opposizione (art. 38), rettifica (art. 40)
Inoltre, la legge pone un obbligo informativo nei confronti dell’interessato, concernente, fra l’altro, l’identità del responsabile del trattamento, le finalità dello stesso, il carattere obbligatorio o facoltativo delle risposte e le conseguenze della mancata risposta, i destinatari dei dati e i diritti dell’interessato (art. 32-I, che riprende l’art. 10 della direttiva).
Se i dati non sono stati raccolti presso l’interessato, il responsabile del trattamento dovrà comunque informarlo della registrazione dei dati e dei suoi diritti, salvo che l’interessato sia già informato o tale comunicazione si riveli impossibile o eccessivamente onerosa, e comunque nei casi in cui il trattamento avvenga per fini storici, statistici o scientifici (art. 32-III, che riprende l’art. 11 della direttiva). Delle limitazioni all’applicabilità di queste regole concernono i dati relativi alla sicurezza dello Stato, alla difesa, alla sicurezza pubblica o aventi per oggetto l’esecuzione di condanne penali o di misure di sicurezza o la prevenzione, la ricerca o l’accertamento di reati penali (art. 32-V e VI, in esercizio della facoltà di deroga prevista dall’art. 13.1 della direttiva).
Inoltre, il responsabile del trattamento è tenuto a informare chiunque ne faccia richiesta e dimostri la sua identità sull’esistenza di dati personali che lo riguardino e a comunicarglieli (art. 39-I, che riprende l’art. 12, lett. a), della direttiva), nonché, sempre a richiesta, a correggerli, completarli, aggiornarli o cancellarli (art. 40, che riprende l’art. 12, lett. b), della direttiva). Tali diritti sono però sottoposti a particolari condizioni qualora il trattamento riguardi la sicurezza dello Stato, la difesa e la sicurezza pubblica (art. 41) o sia posto in essere da amministrazioni pubbliche o incaricati di pubblico servizio per prevenire, ricercare o accertare delle infrazioni, per esempio fiscali[14] (art. 42).
L’interessato può inoltre opporsi, per motivi legittimi, al trattamento dei propri dati personali (e gratuitamente nel caso in cui il trattamento avvenga per finalità commerciali), a meno che esso non sia effettuato per adempiere ad un obbligo di legge (art. 38, in esecuzione dell’art. 14 della direttiva).
Regole particolari sono poi previste per alcuni trattamenti particolari in relazione alla loro finalità, e precisamente la ricerca sanitaria (artt. 53-61), la valutazione e l’analisi di attività di cura e prevenzione (artt. 62-66) e il giornalismo e la ricerca letteraria e artistica (art. 67).
Controlli e sanzioni (artt. 44-46 della legge n° 78-17)
Se già la versione originaria della legge prevedeva la possibilità di effettuare dei controlli, tale facoltà era stata utilizzata in un numero relativamente ristretto di casi; la riforma, viceversa, dedica maggiore spazio a questa attività, che viene così a costituire la parte più importante del lavoro della Commissione[15]. Così, gli agenti della stessa (in esecuzione dell’art. 28.3 della direttiva) hanno accesso, dalle ore 6 alle ore 21, ai locali utilizzati per il trattamento dei dati, previa informazione al procuratore della Repubblica (art. 44-I). In caso di opposizione da parte del responsabile dei locali, la visita deve essere autorizzata dal giudice delle libertà e della detenzione del tribunale e si svolge sotto il suo controllo (art. 44-II). I membri della Commissione e gli agenti possono richiedere ed estrarre copia ogni documento necessario allo svolgimento dei loro compiti, raccogliere informazioni e accedere ai programmi informatici (art. 44-III).
Per quanto riguarda i poteri sanzionatori, che la direttiva lascia alla determinazione degli Stati membri (art. 24), la Commissione, se in passato poteva effettuare soltanto degli avvertimenti, ha oggi poteri molto più significativi[16]: in particolare, potrà infliggere una sanzione pecuniaria, vietare il trattamento (che rilevi del regime dichiarativo) o ritirare l’autorizzazione (ove prevista), nonché, in caso d’urgenza e di violazione dei diritti e delle libertà, imporre l’interruzione temporanea (fino a tre mesi) del trattamento o il blocco dei dati o informare il Primo ministro perché adotti i provvedimenti necessari (art. 45-I e II). Inoltre, il presidente della Commissione potrà richiedere al giudice di pronunciare ogni misura di sicurezza necessaria alla salvaguardia dei diritti e delle libertà (art. 45-III). Di regola, tali sanzioni sono pronunciata da una formazione ristretta della Commissione all’esito di una procedura contraddittoria (art. 46).
Disposizioni penali (artt. 226-16 ss. del codice penale)
La violazione, anche colposa, delle norme in materia di trattamento dei dati personali è inoltre sanzionata penalmente dagli artt. 226-16 e seguenti del codice penale, come introdotti dalla legge n° 2004-801, che hanno un campo di applicazione più ampio rispetto agli articoli che sostituiscono (facendo riferimento ai “dati di carattere personale” anziché ai “dati nominativi”), inaspriscono le pene, che arrivano a 5 anni di reclusione e 300.000 euro d’ammenda e prevedono l’estensione della responsabilità alle persone giuridiche[17].
Privacy e servizi di comunicazione elettronica (artt. 32 e 34-bis della legge n° 78-17)
Nel 2011, poi, la legge n° 78-17 ha conosciuto ulteriori modifiche ad opera dell’ordinanza n° 2011-1012 del 24 agosto 2011 (cd. “Pacchetto Télécom”), con la quale sono stati recepiti nell’ordinamento francese il regolamento europeo relativo alle comunicazioni elettroniche e due direttive, una delle quali (la dir. 2009/136/CE) modifica la dir. 2002/58/CE, relativa proprio al trattamento dei dati personali e alla tutela della vita privata nel settore delle comunicazioni elettroniche. L’art. 32-II della legge n° 78-17, così, se prima prevedeva soltanto che i siti dovessero informare l’internauta che un cookie era installato sul loro computer e dei mezzi per opporsi, oggi, in attuazione di quanto previsto dall’art. 5.3 della dir. 2002/58/CE, come sostituito dall’art. 2 della dir. 2009/136/CE, invece, il consenso dell’utente deve essere richiesto espressamente e previamente rispetto al deposito del cookie stesso, a meno che quest’ultimo non serva esclusivamente a facilitare le comunicazioni per via elettronica o sia strettamente necessario per fornire un servizio in linea richiesto dall’utente. Inoltre, è previsto che, in caso di violazione dei dati di carattere personale, il fornitore dei servizi di comunicazione avverta senza ritardo la CNIL e, se la violazione comporta un rischio per i dati personali o per la vita privata di una persona fisica, anche l’interessato (art. 34 bis-II, che riprende l’art. 4.3 della dir. 2002/58/CE, come aggiunto dall’art. 2 della dir. 2009/136/CE).
Conclusione: la trasposizione della direttiva e il rispetto della vita privata
Ci si può chiedere, a questo punto, se la legge francese, così come risultante dalle modifiche sopra esaminate, risulti in grado di assicurare il rispetto della vita privata. Il Consiglio costituzionale ha censurato una sola disposizione della nuova legge: tuttavia, lo stesso organo, oltre a rifiutarsi di considerare incostituzionali quelle disposizioni che costituiscono la necessaria trasposizione delle norme della direttiva, ha affermato che il legislatore può modificare o abrogare una legge a condizione di non privare di garanzie legali i diritti costituzionalmente sanciti. Di conseguenza, la non censura da parte del giudice delle leggi non è certo necessariamente un indice di un progresso nella tutela della privacy: anzi, quando si passa da un regime autorizzativo ad un regime dichiarativo, ci troviamo in presenza di una regressione del livello di protezione della vita privata[18].
In ogni caso, non bisogna dimenticare che i dati personali non costituiscono che un aspetto della vita privata, e dunque il rispetto di quest’ultima dipende anche dalla protezione dei dati personali, ma non si esaurisce in essa[19].
Bibliografia
-P. Gareau, Mise en conformité des fichiers immobiliers, in AJDI, 2004, 784
-A. Maitrot de la Motte, La réforme de la loi informatique et libertés et le droit au respect de la vie privé, in AJDA, 2004, 2269
-N. Métallinos, Maîtriser le risque Informatique et Libertés, in Droit social, 2006, 378
-A. Mole, Le nouveau droit des flux tranfrontières des données personnelles, in Droit social, 2004, 1072
-J. F. Seuvic, Atteintes aux droits de la personne résultant des fichiers ou des traitements informatiques, article 226-16 à 226-24 du code pénal, in RSC, 2004, 916
-B. Teyssié, Droit civil. Les personnes, XIV edizione, LexisNexis, Parigi 2012
-S. Vulliet-Tavernier, Après la loi du 6 août 2004: nouvelle loi “informatique et libertés”, nouvel CNIL?, in Droit social, 2004, 1055
[1] Ove non diversamente specificato, i riferimenti normativi si intendono alla versione attualmente in vigore e, con con il termine “direttiva”, ci si riferisce alla dir. 95/46/CE
[2] v. S. Vulliet-Tavernier, Après la loi du 6 août 2004: nouvelle loi “informatique et libertés”, nouvel CNIL?, in Droit social, 2004, 1055 ss.
[3] v. A. Maitrot de la Motte, La réforme de la loi informatique et libertés et le droit au respect de la vie privé, in AJDA, 2004, 2269 ss.
[4] v. Maitrot de la Motte, cit., 2269 ss.
[5] v. Vulliet-Tavernier, cit., 1055 ss.
[6] v. Vulliet-Tavernier, cit., 1055 ss.
[7] v. Vulliet-Tavernier, cit., 1055 ss.
[8] v. Vulliet-Tavernier, cit., 1055 ss.
[9] v. S. Vulliet-Tavernier, cit., 1055 ss.
[10] v. B. Teyssié, Droit civil. Les personnes, XIV edizione, LexisNexis, Parigi 2012, 107
[11] E’ tuttavia consentito (e necessario), in base alla raccomandazione del CNIL del 20 dicembre 2011, richiedere il dato relativo alla nazionalità al locatore (v. P. Gareau, Mise en conformité des fichiers immobiliers, in AJDI, 2004, 784 ss.)
[12] Su questa figura, v. N. Métallinos, Maîtriser le risque Informatique et Libertés, in Droit social, 2006, 378 ss.
[13] v. Vulliet-Tavernier, cit., 1055 ss.
[14] v. Vulliet-Tavernier, cit., 1055 ss.
[15] v. Maitrot de la Motte, cit., 2269 ss.; Vulliet-Tavernier, cit., 1055 ss.
[16] v. Maitrot de la Motte, cit., 2269 ss.; Vulliet-Tavernier, cit., 1055 ss.
[17] v. J. F. Seuvic, Atteintes aux droits de la personne résultant des fichiers ou des traitements informatiques, article 226-16 à 226-24 du code pénal, in RSC, 2004, 916 ss.. Sul nuovo reato di trasferimento di dati personali verso uno Stato non appartenente alla Comunità Europea, previsto dall’art. 226-22-1 c.p., v. A. Mole, Le nouveau droit des flux tranfrontières des données personnelles, in Droit social, 2004, 1072 ss.
[18] v. Maitrot de la Motte, cit., 2269 ss.
[19] v. Maitrot de la Motte, cit. 2269 ss.
Scrivi un commento
Accedi per poter inserire un commento