La videosorveglianza ad uso domestico: ambito di applicazione della direttiva europea in materia di protezione dei dati personali.

di Davide Borelli Casiere Nota a Corte giust., 11.12.2014, causa C-212/13, František Ryneš c. Úřad pro ochranu osobních údajů, non ancora pubblicata in Racc. Corte giust., 11.12.2014, causa C-212/13. Rinvio pregiudiziale – Direttiva 95/46/CE – Tutela delle persone fisiche – Trattamento dei dati personali – Ambito di applicazione – Deroghe – Articolo 3, paragrafo 2 – Nozione di «esercizio di attività a carattere esclusivamente personale o domestico». Massima. L’art. 3, par. 2, secondo trattino, della dir. 95/46/CE del Parlamento europeo e del Consiglio, del 24.10.1995, relativa alla tutela delle persone fisiche con riguardo al trattamento e alla libera circolazione dei dati personali, dev’essere interpretato nel senso che l’utilizzo di un sistema di videosorveglianza, consistente nella registrazione video a ciclo continuo di uno spazio pubblico immagazzinata su un dispositivo di archiviazione continua di dati, installato da una persona fisica sulla sua abitazione per proteggere i beni, la salute e la vita dei suoi familiari, non costituisce un trattamento dei dati effettuato per l’esercizio di attività a carattere esclusivamente personale o domestico (nella specie: il soggetto coinvolto, oggetto di molteplici aggressioni ad opera di sconosciuti, intenzionato a proteggere la proprietà, la salute e la vita sua e dei suoi familiari, provvedeva ad installare un sistema di videosorveglianza sotto la cornice del tetto della sua abitazione con inquadratura statica dell’ingresso della sua dimora, della porzione di strada pubblica antistante e di parte dell’uscio della casa di fronte).

Abstract (Ita.)

L’istallazione di un sistema di videosorveglianza ad uso domestico, ancorché indotta da ricevute minacce alla vita e al patrimonio del proprietario dell’abitazione e dei suoi familiari, non integra un trattamento di dati effettuato per l’esercizio di attività a carattere esclusivamente personale o domestico (ai sensi dell’art. 3, par. 2, secondo trattino, della dir. 95/46/CE), in quanto tale escluso dall’ambito di applicazione della medesima direttiva, qualora le riprese interessino anche aree non di esclusiva pertinenza dell’abitazione del titolare del trattamento. Applicandosi, pertanto, a siffatta sorveglianza la direttiva europea in materia di protezione dei dati personali, è alla luce di quest’ultima che dovrà essere verificata la liceità o meno dell’attività di videosorveglianza posta in essere.

Abstract (Eng.)

The installation of a CCTV system for domestic use, although induced by threats to the landlord’s life and family, does not integrate a data processing carried out for the exercise of activities which are strictly personal or domestic (pursuant to article 3, paragraph 2, second indent of the directive 95/46/EC), in itself excluded from the directive’s field of application, if shootings also involve areas not of sole competence of the data controller’s house. Therefore, applying in such oversight the European directive on the protection of personal data, is in the light of the latter that must be checked the legal compliance of such CCTV system. Sommario: 1. Il fatto; 2. Definizione dell’ambito di applicazione della dir. 95/46/CE; 3. La videosorveglianza configura un «trattamento di dati personali automatizzato»; 4. Le deroghe all’ambito di applicazione della dir. 95/46/CE; 5. La deroga ex art. 3, par. 2, secondo trattino deve essere interpretata restrittivamente; 6. Una possibile definizione di «attività a carattere esclusivamente personale o domestico»; 7. Il necessario bilanciamento degli interessi; 8. Considerazioni.                                                         

1. Il fatto.

La vicenda oggetto del presente giudizio ha come protagonista un cittadino della Repubblica Ceca (cfr. František Ryneš) il quale, preoccupato per l’incolumità sua e dei suoi familiari, decideva di installare, sotto la cornice del tetto della sua abitazione, un impianto di videosorveglianza con inquadratura statica dell’ingresso della sua dimora, della porzione di strada pubblica antistante e di parte dell’uscio della casa di fronte. Si trattava, in particolare, di riprese a ciclo continuo archiviate su un dispositivo di memoria di massa privo di monitor e con inizializzazione automatica al raggiungimento della massima capienza consentita. Inoltre, l’accesso diretto ai dati così archiviati (rectius, il trattamento dei dati) era consentito al solo sig. František Ryneš, parte del presente giudizio. Come correttamente evidenziato dal Giudice del rinvio (cfr. Nejvyšší Správní Soud [1]) l’installazione dell’impianto di videosorveglianza avveniva in seguito a numerose aggressioni perpetrate a danno del sig. Ryneš e dei suoi familiari da parte di sconosciuti. Un intervento in tal senso si rendeva, pertanto, con ogni evidenza necessario per proteggere diritti fondamentali quali la proprietà, la salute e la vita sua e dei suoi cari. A pochi giorni di distanza dall’installazione dell’impianto [2], il sig. Ryneš subiva l’ennesima aggressione consistente nella frantumazione dei vetri delle finestre della sua abitazione mediante il lancio di un proiettile. Le registrazioni realizzate venivano consegnate agli organi competenti che, dopo aver identificato i sospettati, promuovevano a loro carico il consequenziale procedimento penale [3]. Su istanza di uno dei due sospettati l’Ufficio per la protezione dei dati personali (cfr. Úřad pro ochranu osobních údajů) constatava, con decisione del 4.8.2008, l’avvenuta violazione della legge ceca sulla protezione dei dati personali [4] a carico dell’aggredito. In particolar modo, la violazione addebitata al sig. Ryneš, in qualità di responsabile del trattamento, consisteva in: raccolta di dati senza consenso, difetto di informazioni sul trattamento, nonché mancata comunicazione al competente Ufficio. Il sig. Ryneš ricorreva, avverso detta pronuncia, innanzi alla Corte Municipale di Praga (cfr. Městský soud v Praze) che, con sentenza del 25.4.2012, confermava il provvedimento dell’Ufficio per la protezione dei dati personali. Proponeva, pertanto, ricorso per cassazione innanzi al Giudice del rinvio, il quale sospendeva il procedimento e sottoponeva alla Corte di giustizia dell’Unione europea la seguente questione pregiudiziale: «Se il fatto di tenere in funzione un sistema di videocamera installato su un’abitazione familiare allo scopo di proteggere la proprietà, la salute e la vita dei proprietari possa essere classificato come trattamento di dati personali “effettuato da una persona fisica per l’esercizio di attività a carattere esclusivamente personale o domestico” ai sensi dell’art. 3, par. 2, secondo trattino, della dir. 95/46/CE […], sebbene detto sistema riprenda anche spazi pubblici».

 2. Definizione dell’ambito di applicazione della dir. 95/46/CE [5].

Al fine di delimitare con sufficiente chiarezza l’oggetto della controversia, la Corte muove il primo passo del proprio iter ragionativo dalla definizione dell’ambito di applicazione della dir. 95/46/CE, a norma della quale le relative disposizioni «si applicano al trattamento dei dati personali interamente o parzialmente automatizzato nonché al trattamento non automatizzato di dati personali contenuti o destinati a figurare negli archivi» (cfr. art. 3, par. 1). Si tenga peraltro presente che, sempre a norma della predetta direttiva, per «dati personali» s’intende «qualsiasi informazione concernente una persona fisica identificata o identificabile»; in particolare, appartiene a tale ultima categoria la persona  «che può essere identificata, direttamente o indirettamente, […] mediante riferimento ad un numero di identificazione o ad uno o più elementi specifici caratteristici della sua identità fisica, fisiologica, psichica, economica, culturale o sociale» (cfr. art. 2, par. 1, lett. a). Nondimeno, per «trattamento di dati personali» deve infine intendersi «qualsiasi operazione o insieme di operazioni compiute con o senza l’ausilio di processi automatizzati e applicate a dati personali, come la raccolta, la registrazione, l’organizzazione, la conservazione, l’elaborazione o la modifica, l’estrazione, la consultazione, l’impiego, la comunicazione mediante trasmissione, diffusione o qualsiasi altra forma di messa a disposizione, il raffronto o l’interconnessione, nonché il congelamento, la cancellazione o la distruzione» (cfr. art. 2, par. 1, lett. b).

 3. La videosorveglianza configura un «trattamento di dati personali automatizzato».

Si tratta, in sostanza, di definizioni preliminari circa ciò che legittimamente può o non può rientrare nell’ambito di applicazione della dir. 95/46/CE, utili, pertanto, a comprendere se siffatta videosorveglianza possa esser considerata quale trattamento dei dati personali (cfr. art. 2, par. 1, lett. b). A tal proposito, rileva la Corte che «l’immagine di una persona registrata da una telecamera costituisce un dato personale […] se ed in quanto essa consente di identificare la persona interessata» (scopo quest’ultimo perseguito dal sig. Ryneš con l’installazione del suddetto impianto). Tra l’altro, è la stessa direttiva a considerare la videosorveglianza un trattamento di dati personali automatizzato ed in quanto tale rientrante nel suo ambito di applicazione (si v. i considerando 14, 15 e 16 della dir. 95/46/CE [6]). Coerentemente con tali premesse la Corte giunge, pertanto, all’ovvia conclusione che «una sorveglianza effettuata mediante una registrazione video delle persone, come nel procedimento principale, immagazzinata in un dispositivo di registrazione continua […] costituisce […] un trattamento di dati personali automatizzato» conformemente a quanto disposto dall’art. 3, par. 1 della dir. 95/46/CE. In tal caso la minaccia alla riservatezza [7]  [8] deriva dal fatto che tali sistemi consentono di archiviare una grandissima quantità di dati e, al tempo stesso, permettono di collegare fra loro con estrema facilità i dati immagazzinati offrendo, dunque, la possibilità di ottenere informazioni altrimenti non accessibili [9].

4. Le deroghe all’ambito di applicazione della dir. 95/46/CE.

Se la videosorveglianza senza alcun dubbio può essere considerata come un trattamento automatizzato di dati personali [10] [11], altrettanto non può dirsi sulla sua necessaria ricomprensione nell’ambito di applicazione della direttiva europea sul trattamento dei dati personali: infatti, l’art. 3 – rubricato per l’appunto «campo di applicazione» – dopo aver definito che «le disposizioni della presente direttiva si applicano al trattamento di dati personali interamente o parzialmente automatizzato nonché al trattamento non automatizzato di dati personali contenuti o destinati a figurare negli archivi» (co. 1), prosegue affermando che «le disposizioni della presente direttiva non si applicano ai trattamenti di dati personali: – effettuati per l’esercizio di attività che non rientrano nel campo di applicazione del diritto comunitario, come quelle previste dai titoli V e VI del Trattato sull’Unione Europea e comunque ai trattamenti aventi come oggetto la pubblica sicurezza, la difesa, la sicurezza dello Stato (compreso il benessere economico dello Stato, laddove tali trattamenti siano connessi a questioni di sicurezza dello Stato) e le attività dello Stato in materia di diritto penale; – effettuati da una persona fisica per l’esercizio di attività a carattere esclusivamente personale o domestico» (co. 2). È a tal ultimo riguardo (cfr. secondo trattino) che si pone la questione oggetto del presente rinvio pregiudiziale. La Corte rileva che la direttiva europea in materia di trattamento dei dati personali mira a garantire un elevato grado di tutela dei diritti e delle libertà fondamentali delle persone fisiche, in particolare del loro diritto alla vita privata: è quanto si evince dalla lettura dell’art. 1 della dir. 95/46/CE [12] in combinato con il decimo considerando [13]. Il collegio giudicante sembra dunque chiarire, o quantomeno rendere palese, il risultato del necessario bilanciamento dei confliggenti interessi operato in astratto dal legislatore comunitario ed in concreto dalla giurisprudenza (non solo europea) [14].

5. La deroga ex art. 3, par. 2, secondo trattino deve essere interpretata restrittivamente.

Peraltro, conformemente ad una ormai consolidata giurisprudenza [15], la tutela del fondamentale diritto alla vita privata, garantito dall’art. 7 della Carta dei diritti fondamentali dell’Unione europea [16], impone necessariamente che le deroghe alla tutela dei dati personali, nonché le limitazioni di quest’ultima deve avvenire nei limiti dello stretto necessario.

Correttamente, infatti, la Corte evidenzia che l’attività consistente nel trattamento di dati personali è potenzialmente lesiva delle libertà fondamentali (in particolare – ribadisce – del diritto alla vita privata) ed in quanto tale la deroga prevista per le «attività a carattere esclusivamente personale o domestico» (cfr. art. 3, par. 2, secondo trattino) deve necessariamente essere interpretata in senso restrittivo, ravvisandosi, tra l’altro, nel termine “esclusivamente” una riprova del carattere assolutamente eccezionale della previsione.

Inoltre, sempre in quanto lesive, le disposizioni della direttiva in questione devono essere inevitabilmente lette alla luce dei diritti fondamentali sanciti dalla Carta europea, così come, in molteplici occasioni, ribadito da consolidata giurisprudenza [17].

6. Una possibile definizione di «attività a carattere esclusivamente personale o domestico».

Piuttosto riduttivo appare poi il richiamo operato in motivazione dalla Corte al paragrafo 53 delle conclusioni dell’Avvocato Generale (cfr. Niilo Jääskinen) [18], nondimeno pienamente condivisibili. A parer di quest’ultimo, le «attività personali» richiamate dall’art. 3, par. 2, secondo trattino, sono quelle attività strettamente ed oggettivamente legate alla vita privata di un soggetto e che non incidono in modo sensibile sulla sfera personale altrui, potendo le stesse aver luogo anche al di fuori del domicilio; mentre ritiene di poter considerare «attività domestiche» quelle legate alla vita familiare e che si svolgono generalmente all’interno del domicilio o in altri luoghi condivisi dai membri della famiglia quali «una residenza secondaria, una camera d’albergo o un’autovettura» [19]. Condivisibilmente l’Avvocato Generale sostiene che, affinché l’eccezione prevista dall’art. 3, par. 2, secondo trattino possa regolarmente operare, non è sufficiente che le attività considerate presentino un collegamento con attività personali o domestiche, essendo nondimeno necessario che tale legame sia esclusivo (condizione, tra l’altro, applicabile sia alle attività a carattere personale che a quelle a carattere domestico) [20]. E’, invece, evidente che il Collegio giudicante, piuttosto che tentare di fornire una possibile (e quanto mai necessaria) definizione di «attività a carattere esclusivamente personale o domestico» (con ogni probabilità, conscia del celebre brocardo omnis definitio in iure civili periculosa est; parum est enim, ut subverti non posset [21]), abbia preferito riportarsi – semplicisticamente – al dodicesimo considerando della direttiva che a titolo puramente esemplificativo riporta «la corrispondenza e la compilazione di elenchi di indirizzi» [22]  [23] considerati ascrivibili all’ambito della deroga «persino qualora, incidentalmente, […] riguardino o possano riguardare la vita privata di terzi» [24].

Alla luce di tante e tali considerazioni, pertanto, la Corte arriva ad affermare che, posto che la videosorveglianza in questione si estende, anche se solo parzialmente, allo spazio pubblico antistante l’abitazione del sig. Ryneš, eccedendo e dunque invadendo la sfera privata altrui, essa non può essere in alcun modo considerata un’attività esclusivamente personale o domestica ai sensi e per gli effetti dell’art. 3, par. 2, secondo trattino della dir. 95/46/CE. 

7. Il necessario bilanciamento degli interessi.

In ultima istanza, la Corte sembra far proprie, ancora una volta, le considerazioni operate dall’Avvocato Generale, con l’espresso richiamo degli artt. 7, par. 1, lett. f, 11, par. 2, nonché 13, par. 1, lett. d e g della dir. 95/46/CE [25]. Essa, infatti, precisa che il Giudice nazionale, nell’applicare detta normativa, deve tenere in debito conto che le relative disposizioni consentono di valutare l’interesse legittimo del responsabile del trattamento alla tutela dei beni, della salute e della vita sua e dei suoi familiari. In particolare, l’art. 7, par. 1, lett. f stabilisce che «gli Stati membri dispongono che il trattamento […] può essere effettuato soltanto quando […] è necessario per il perseguimento dell’interesse legittimo del responsabile del trattamento oppure del o dei terzi cui vengono comunicati i dati, a condizione che non prevalgano l’interesse o i diritti e le libertà fondamentali della persona interessata, che richiedono tutela ai sensi dell’art. 1, par. 1». L’art. 11, par. 2 (rubricato «Informazioni in caso di dati non raccolti presso la persona interessata»), invece, sancisce che «le disposizioni del par. 1 [26] non si applicano quando, in particolare nel trattamento di dati a scopi statistici, o di ricerca storica o scientifica, l’informazione della persona interessata si rivela impossibile o richiede sforzi sproporzionati o la registrazione o la comunicazione è prescritta per legge. In questi casi gli Stati membri prevedono garanzie appropriate». Infine, l’art. 13, par. 1, lett. d e g (rubricato «deroghe e restrizioni») dispone che «gli Stati membri possono adottare disposizioni legislative intese a limitare la portata degli obblighi e dei diritti previsti dalle disposizioni dell’art. 6, par. 1 [27], dell’art. 10 [28], dell’art. 11, par. 1 e degli artt. 12 [29] e 21 [30], qualora tale restrizione costituisca una misura necessaria alla salvaguardia: […] d) della prevenzione, della ricerca, dell’accertamento e del perseguimento di infrazioni penali o di violazioni della deontologia delle professioni regolamentate; […] g) della protezione della persona interessata o dei diritti e delle libertà altrui». Dalla lettura delle citate disposizioni è dunque evidente, anzitutto, che il trattamento dei dati può essere effettuato anche senza il consenso dell’interessato qualora sia necessario alla realizzazione dell’interesse legittimo del responsabile del trattamento. Si evince, inoltre, che l’obbligo della preventiva comunicazione al soggetto interessato del trattamento dei suoi dati personali vien meno quando essa si riveli impossibile o richieda sforzi sproporzionati. In ultimo, è manifesta la possibilità accordata ai Paesi membri di limitare l’estensione degli obblighi e dei diritti previsti dalla direttiva, qualora sia necessaria per salvaguardare la prevenzione, la ricerca, l’accertamento ed il perseguimento di infrazioni penali o la tutela dei diritti e delle libertà fondamentali altrui. Ciò nonostante, la Corte conclude per l’esclusione delle attività di videosorveglianza poste in essere dal sig. Ryneš dall’ambito di applicazione della deroga prevista dall’art. 3, par. 2, secondo trattino della dir. 95/46/CE, essendo la stessa obbligata a decidere non oltre i limiti posti dalla questione pregiudiziale presentata dal Giudice del rinvio (cfr. Nejvyšší Správní Soud).

8. Considerazioni.

Benché sia stata più volte chiamata a pronunciarsi in merito [31], la Corte sembrerebbe non aver mai riscontrato la sussistenza delle condizioni di applicazione della deroga prevista dall’art. 3, par. 2, secondo trattino della direttiva 95/46/CE per le «attività a carattere esclusivamente personale o domestico». Ed anzi non ha mancato di ribadire, in più occasioni, la prevalenza del fondamentale diritto alla protezione dei dati personali, alla tutela della vita privata [32]. Si tenga peraltro presente che la qualificazione o meno di siffatta sorveglianza quale «attività a carattere esclusivamente personale o domestico» (cfr. art. 3, par. 2, secondo trattino) non preclude in termini assoluti la possibilità che la stessa venga compiuta. Occorre, infatti, operare un contemperamento tra opposte esigenze, posizioni soggettive, diritti: da un lato il «diritto al rispetto della propria vita privata e familiare, del proprio domicilio e delle proprie comunicazioni», dall’altro il «diritto alla protezione dei dati di carattere personale» (cfr. artt. 7, par. 1 e 8, par. 1 della Carta dei diritti fondamentali dell’Unione europea). Rileva correttamente l’Avvocato Generale che, ove si ritenga applicabile al caso di specie la dir. 95/46/CE, «occorrerà procedere ad un contemperamento dei diversi diritti e interessi coinvolti nell’ambito delle disposizioni sostanziali di detta direttiva e in particolare del suo art. 7, par. 1, lett. f» [33] a tenore del quale «gli Stati membri dispongono che il trattamento di dati personali può essere effettuato soltanto quando […] è necessario per il perseguimento dell’interesse legittimo del responsabile del trattamento oppure del o dei terzi cui vengono comunicati i dati, a condizione che non prevalgano l’interesse o i diritti e le libertà fondamentali della persona interessata, che richiedono tutela ai sensi dell’art. 1, par. 1». Ciò considerato, competerà – se ciò sia necessario – al Giudice del rinvio procedere all’opportuno bilanciamento dei confliggenti interessi, posto che ciò oltrepassa i confini del rinvio pregiudiziale sottoposto alla Corte. Inoltre, il Giudice del rinvio correttamente evidenzia che l’installazione dell’impianto di videosorveglianza avveniva in seguito a numerose aggressioni perpetrate a danno del sig. Ryneš e dei suoi familiari da parte di sconosciuti. Un intervento in tal senso si rendeva, dunque, con ogni evidenza necessario per proteggere diritti fondamentali quali la proprietà, la salute e la vita sua e dei suoi cari. Se ciò è vero, non può escludersi aprioristicamente che un’attività come quella in oggetto caratterizzata da una tale finalità soggettiva possa soddisfare le condizioni previste dall’art. 7, par. 1, lett. f della direttiva in parola, ciò rendendo con ogni evidenza legittimo un siffatto trattamento dei dati personali [34]. Nondimeno la questione pregiudiziale sottoposta alla Corte è ben diversa, vertendo piuttosto sull’ambito di applicazione della dir. 95/46/CE, ovverosia su un aspetto che necessariamente precede ogni quesito attinente l’interpretazione e l’applicazione delle disposizioni sostanziali ivi contenute. Ritenuta la condotta del sig. Ryneš ascrivibile all’ambito di applicazione della direttiva europea, essa dovrà, pertanto, esser valutata alla luce delle sue disposizioni sostanziali le quali mirano a creare e garantire un equilibrio tra diritti fondamentali e ed interessi potenzialmente confliggenti. Per tante e tali considerazioni, senz’altro un trattamento come quello oggetto del procedimento principale può esser considerato legittimo a norma dell’art. 7, par. 1, lett. f della direttiva in quanto diretto a proteggere il godimento di diritti fondamentali come il diritto di proprietà ed il diritto alla vita familiare [35]. Tale prescrizione normativa, infatti, esige l’assolvimento di due condizioni cumulative affinché un trattamento di dati personali possa esser considerato ugualmente legittimo: in primo luogo, che lo stesso si sia reso necessario per il perseguimento di un interesse legittimo del responsabile del trattamento oppure del o dei terzi cui i dati vengono comunicati; in secondo luogo, che l’interesse o i diritti e le libertà fondamentali dell’interessato non prevalgano. A tal proposito si tenga presente che quest’ultima condizione postula una ponderazione dei contrapposti diritti ed interessi in gioco che dipende, in linea di principio, dalle circostanze specifiche del caso concreto. Il soggetto incaricato a svolgere tale bilanciamento dovrà all’uopo tener conto dell’importanza dei diritti dell’interessato riconosciuti dagli artt. 7 e 8 della Carta dei diritti fondamentali dell’Unione europea [36]. Pertanto, l’applicabilità della direttiva in parola non pregiudica necessariamente i legittimi interessi del responsabile del trattamento dei dati personali, non comportando la tassativa illiceità della condotta tenuta, a condizione, tuttavia, che tali interessi rientrino effettivamente nell’alveo di quanto disposto dall’art. 7, par. 1, lett. f. Diversamente, risulterebbe senz’altro illogico ammettere che, per proteggere gli interessi del responsabile del trattamento, sia necessario disapplicare una direttiva europea volta proprio a stabilire un giusto equilibrio tra i diritti di quest’ultimo e quelli delle persone soggette al trattamento dei dati personali. Nell’attesa che il giudizio in questione riprenda il suo naturale corso innanzi gli organi giurisdizionali nazionali, non si può far altro che invitare gli stessi ad operare il necessario bilanciamento degli interessi in gioco, evitando di “sopravvalutare” il diritto alla riservatezza quando ciò non sia effettivamente necessario. ________________________________________________ Note: [*] Il presente contributo è stato preventivamente sottoposto ad un referaggio anonimo affidato ad un componente del Comitato di Referee secondo il Regolamento adottato da questa Rivista. [1] Corte Suprema Amministrativa. [2] L’impianto di videosorveglianza era stato installato ed utilizzato dal sig. Ryneš nel periodo ricompreso tra il 5.10.2007 e l’11.4.2008; nondimeno, l’aggressione registrata perpetrata a suo danno avveniva nella notte tra il 6 ed il 7.10.2007. [3] Le registrazioni venivano, pertanto, utilizzate quale mezzo di prova nel corso del relativo procedimento penale. [4] Zákon č. 101/2000 Sb. o ochraně osobních údajů (artt. 3, par. 3, 5, par. 2 e 44, par. 2). [5] In attuazione di tale direttiva in Italia si è provveduto ad approntare una normazione di portata generale con il “Codice in materia di protezione dei dati personali” (d.lgs. del 30.6.2003, n. 196) che ha abrogato la l. del 31.12.1996, n. 675, rubricata “Tutela delle persone e di altri soggetti rispetto al trattamento dei dati personali” (F. Galgano, Trattato di diritto civile. Volume primo, III ed., Padova, 2014, p. 195). Sul punto si v. V. Cuffaro, V. Ricciuto (a cura di), La disciplina del trattamento dei dati personali, Torino, 1998; R. Bin, Privacy e trattamento dei dati personali: entriamo in Europa, in Contratto e impresa Europa, 1997, pp. 459 e ss.; P. Manes, Il consenso al trattamento dei dati personali, Padova, 2001; G. Pascuzzi, Il diritto dell’era digitale, III ed., Bologna, 2010, pp. 53 e ss. [6] Cfr. «Considerando che la presente direttiva dovrebbe applicarsi al trattamento dei dati in forma di suoni e immagini relativi a persone fisiche, vista la notevole evoluzione in corso nella società dell’informazione delle tecniche per captare, trasmettere, manipolare, registrare, conservare o comunicare siffatti dati» (considerando n. 14); «Considerando che il trattamento de suddetti dati rientra nella presente direttiva soltanto se è automatizzato o se riguarda dati contenuti, o destinati ad essere contenuti, in un archivio strutturato secondo criteri specifici relativi alle persone, in modo da consentire un facile accesso ai dati personali di cui trattasi» (considerando n. 15); «Considerando che nel campo d’applicazione della presente direttiva non rientra il trattamento di dati in forma di suoni e immagini, quali i dati di controllo video, finalizzato alla pubblica sicurezza, alla difesa, alla sicurezza dello Stato o all’esercizio di attività dello Stato nella sfera del diritto penale o di altre attività che esulano dal campo d’applicazione del diritto comunitario» (considerando n. 16). [7] Il diritto alla riservatezza va necessariamente distinto dal diritto al trattamento dei dati personali. Il primo, infatti, è il diritto – di origine giurisprudenziale – consistente nell’escludere altri dalla conoscenza di vicende strettamente personali e familiari. È pertanto un diritto a contenuto negativo, ovverosia quello di non far conoscere e di mantenere riservate alcune informazioni; a contrario, il diritto al trattamento dei dati personali è un diritto a contenuto positivo, quello cioè di esercitare un controllo su dette informazioni. Infine, a differenza di quest’ultimo, il diritto alla riservatezza non ha ad oggetto le informazioni di qualunque natura esse siano, ma solamente le vicende riservate. Sul punto si v. G. Finocchiaro, F. Delfini, Diritto dell’informatica, Torino, 2014, p. 159. [8] Generalmente il diritto alla riservatezza, inteso come riconoscimento della inviolabilità della sfera personale e della propria vita privata, viene ricondotto al celebre articolo apparso sull’Harvard Law Review  nel 1980 dal titolo “The right to privacy” (cfr. S. Warren, L. Brandeis, The right to privacy, in Harvard Law Review, 15.12.1980, 4, pp. 193-220: «Il diritto comune ha sempre riconosciuto che la casa di un uomo è il suo castello, spesso inaccessibile anche a coloro che sono incaricati di eseguire i suoi stessi ordini. Vorranno forse i tribunali sbarrare l’ingresso principale all’autorità costituita per poi spalancare le porte di servizio alla curiosità oziosa e pruriginosa?»). Ciò nonostante, autorevole dottrina riconduce la sua genesi alla riflessione teorica tedesca (cfr. F. D. Busnelli, Nota introduttiva al commento della l. 31 dicembre 1996, n. 675 – Spunti per un inquadramento sistematico, in AA. VV., Tutela della privacy, C. M. Bianca, F. D. Busnelli, A. Bellelli, F. P. Luiso, E. Navarretta, S. Patti, P. M. Vecchi (a cura di), Le nuove leggi civili commentate, 1999, pp. 228 e ss.; T. A. Auletta, Riservatezza e tutela della personalità, Milano, 1978; G. Resta, Autonomia privata e diritti della personalità, Napoli, 2005, pp. 209 e ss. [9] Pertanto un dato personale apparentemente insignificante, se collegato con altri dati, può rivelarsi lesivo della riservatezza: sul punto si v. S. Rodotà, Tecnologie e diritti, Bologna, 1995, p. 34; F. Galgano, Trattato di diritto civile. Volume primo, III ed., Padova, 2014, p. 194. [10] A nulla valendo l’obiezione che le immagini registrate sarebbero successivamente cancellate al raggiungimento della massima capienza del dispositivo di archiviazione di massa. Ciò è quanto si evince dalle considerazioni contenute nelle conclusioni dell’Avvocato Generale secondo cui «la qualificazione giuridica dell’attività di videosorveglianza […] non può cambiare a seconda che le immagini siano state successivamente cancellate o conservate» (Cfr. Conclusioni dell’Avvocato Generale, 10.7.2014, causa C-212/13, František Ryneš c. Úřad pro ochranu osobních údajů, non ancora pubblicata in Racc., punto 20). [11] È necessario, a tal proposito, operare una differenziazione tra i casi in cui la videosorveglianza è esercitata da privati, ovvero da autorità pubbliche o da persone giuridiche. Invero, la dir. 95/46/CE è, nell’ipotesi della videosorveglianza operata da un’autorità pubblica, pienamente applicabile, fatta eccezione per la deroga prevista nell’art. 3, par. 2, primo trattino. Nondimeno, nell’ipotesi in cui tale attività sia compiuta da persone giuridiche, la normativa europea in questione sarà senz’altro applicabile senza alcuna restrizione (cfr. Conclusioni dell’Avvocato Generale, 10.7.2014, causa C-212/13, František Ryneš c. Úřad pro ochranu osobních údajů, non ancora pubblicata in Racc., punto 21). [12] A norma dell’art. 1 della dir. 95/46/CE, rubricato «oggetto della direttiva», «gli Stati membri garantiscono, conformemente alle disposizioni della presente direttiva, la tutela dei diritti e delle libertà fondamentali delle persone fisiche e particolarmente del diritto alla vita privata, con riguardo al trattamento dei dati personali» (co. 1); «gli Stati membri non possono restringere o vietare la libera circolazione dei dati personali tra Stati membri, per motivi connessi alla tutela garantita a norma del paragrafo 1» (co. 2). [13] Cfr. «Considerando che le legislazioni nazionali relative al trattamento dei dati personali hanno lo scopo di garantire il rispetto dei diritti e delle libertà fondamentali, in particolare del diritto alla vita privata, riconosciuto anche dall’articolo 8 della Convenzione europea per la salvaguardia dei diritti dell’uomo e delle libertà fondamentali e dai principi generali del diritto comunitario; che pertanto il ravvicinamento di dette legislazioni non deve avere per effetto un indebolimento della tutela da esse assicurata ma deve anzi mirare a garantire un elevato grado di tutela nella Comunità» (considerando n. 10). [14] Si v. ex multis: Corte giust., 13.5.2014, causa C-131/12, Google Spain SL e Google Inc. c. Agencia Española de Protección de Datos (AEPD) e Mario Costeja González, non ancora pubblicata in Racc., punto 66 («in via preliminare, occorre ricordare che, come risulta dall’articolo 1 e dal considerando 10 della dir. 95/46/CE, quest’ultima mira a garantire un livello elevato di protezione delle libertà e dei diritti fondamentali delle persone fisiche, in particolare del diritto alla vita privata, con riguardo al trattamento dei dati personali»); Corte giust., 7.11.2013, causa C-473/12, Institut professionnel des agents immobiliers (IPI) c. Geoffrey Englebert, Immo 9 SPRL e Grégory Francotte, non ancora pubblicata in Racc., punto 28 («risulta dai considerando 3, 8 e 10 della dir. 95/46/CE che il legislatore dell’Unione ha inteso facilitare la libera circolazione dei dati personali ravvicinando le legislazioni degli Stati membri pur salvaguardando i diritti fondamentali della persona, in particolare il diritto alla tutela della vita privata, e garantendo un elevato grado di tutela nell’Unione. L’articolo 1 di tale direttiva prevede infatti che gli Stati membri debbano garantire la tutela dei diritti e delle libertà fondamentali delle persone fisiche, in particolare della loro vita privata, con riguardo al trattamento dei dati personali»); Corte giust., 8.4.2014, cause C-293/12 e C-594/12, Digital Rights Ireland Ltd e a., non ancora pubblicato in Racc., punto 52 («per quel che riguarda il rispetto della vita privata, la protezione di tale diritto fondamentale, secondo la costante giurisprudenza della Corte, richiede in ogni caso che le deroghe e le restrizioni alla tutela dei dati personali debbano operare entro i limiti dello stretto necessario»); Corte giust., 16.12.2008, causa C‑524/06, Heinz Huber c. Bundesrepublik Deutschland, Racc. p. I‑9705, punto 47 («L’articolo 1 della direttiva 95/46/CE prescrive agli Stati membri di garantire la tutela delle libertà e dei diritti fondamentali delle persone fisiche, in particolare della loro vita privata, con riguardo al trattamento dei dati personali»); con identica formula rispetto a quest’ultima, si v., infine, Corte giust., 24.11.2011, cause C‑468/10 e C‑469/10, Asociación Nacional de Establecimientos Financieros de Crédito (ASNEF) e Federación de Comercio Electrónico y Marketing Directo (FECEMD) c. Administración del Estado, Racc. p. I‑12181, punto 25. [15] Corte giust., 7.11.2013, causa C-473/12, Institut professionnel des agents immobiliers (IPI) c. Geoffrey Englebert, Immo 9 SPRL e Grégory Francotte, non ancora pubblicata in Racc., punto 39 («secondo costante giurisprudenza, la tutela del diritto fondamentale alla vita privata richiede che le deroghe e le restrizioni alla tutela dei dati personali debbano operare entro i limiti dello stretto necessario»); Corte giust., 16.12.2008, causa C-73/07, Tietosuojavaltuutettu c. Satakunnan Markkinapörssi Oy e Satamedia Oy, Racc. p. I-9831, punto 56 («onde tener conto dell’importanza riconosciuta alla libertà d’espressione in ogni società democratica, da un lato occorre interpretare in senso ampio le nozioni ad essa correlate, tra cui quella di giornalismo. Dall’altro, e per ottenere un equilibrato contemperamento dei due diritti fondamentali, la tutela del diritto fondamentale alla vita privata richiede che le deroghe e le limitazioni alla tutela dei dati previste ai summenzionati capi della direttiva debbano operare entro i limiti dello stretto necessario»); Corte giust., 9.11.2010, cause C-92/09 e C-93/09, Volker und Markus Schecke GbR e Hartmut Eifert c. Land Hessen, Racc. p. I-11063, punti 78 («quanto alla necessità della misura, si deve rammentare che l’obiettivo della pubblicazione in questione non può essere perseguito senza tener conto del fatto che esso deve essere conciliato con i diritti fondamentali sanciti dagli artt. 7 e 8 della Carta») e 86 («da quanto sopra esposto emerge che non sembra che le istituzioni abbiano effettuato un contemperamento equilibrato tra, da un lato, gli obiettivi dell’art. 44 bis del reg. n. 1290/2005 e del reg. n. 259/2008 e, dall’altro, i diritti riconosciuti alle persone fisiche dagli artt. 7 e 8 della Carta. Considerato il fatto che le deroghe e le limitazioni alla protezione dei dati personali devono operare nei limiti dello stretto necessario e che sono concepibili misure che determinano lesioni meno gravi del suddetto diritto fondamentale per le persone fisiche ma nel contempo contribuiscono in maniera efficace agli obiettivi della normativa dell’Unione in questione, si deve constatare che il Consiglio e la Commissione, imponendo la pubblicazione dei nomi di tutte le persone fisiche beneficiarie di aiuti del Fondo europeo agricolo di garanzia e del Fondo europeo agricolo per lo sviluppo rurale nonché degli importi precisi percepiti da queste ultime, hanno superato i limiti imposti dal rispetto del principio di proporzionalità»). [16] Cfr. Art. 7 della Carta dei diritti fondamentali dell’Unione europea, rubricato «rispetto della vita privata e della vita familiare», a norma del quale «ogni persona ha diritto al rispetto della propria vita privata e familiare, del proprio domicilio e delle proprie comunicazioni». [17] Corte giust., 13.5.2014, causa C-131/12, Google Spain SL e Google Inc. c. Agencia Española de Protección de Datos (AEPD) e Mario Costeja González, non ancora pubblicata in Racc., punto 68 («la Corte ha già statuito che le disposizioni della dir. 95/46/CE, disciplinando il trattamento di dati personali che possono arrecare pregiudizio alle libertà fondamentali e, segnatamente, al diritto alla vita privata, devono necessariamente essere interpretate alla luce dei diritti fondamentali che, secondo una costante giurisprudenza, formano parte integrante dei principi generali del diritto di cui la Corte garantisce l’osservanza e che sono ormai iscritti nella Carta»). In tale ultima pronuncia, la Corte fa proprie le considerazioni promosse da precedente giurisprudenza: ex multis Corte giust., 6.3.2001, causa 274/99 P, Bernard Connolly c. Commissione delle Comunità europee, Racc. p. I-1638, punto 37 («occorre ricordare, in via preliminare, che, secondo una costante giurisprudenza, i diritti fondamentali fanno parte integrante dei principi generali del diritto dei quali la Corte garantisce l’osservanza. A tal fine, la Corte si ispira alle tradizioni costituzionali comuni agli Stati membri e alle indicazioni fornite dai trattati internazionali relativi alla tutela dei diritti dell’uomo a cui gli Stati membri hanno cooperato o aderito. La Convenzione europea dei diritti dell’uomo riveste, a questo proposito, un particolare significato»), nonché Corte giust., 20.5.2003, cause C-465/00, C-138/01 e C-139/01, Österreichischer Rundfunk e a., Racc. p. I-04089, punto 68 («occorre altresì aggiungere che le disposizioni della dir. 95/46/CE, poiché disciplinano il trattamento di dati personali che possono arrecare pregiudizio alle libertà fondamentali e, in particolare, al diritto alla vita privata, devono essere necessariamente interpretate alla luce dei diritti fondamentali, che secondo una costante giurisprudenza fanno parte integrante dei principi generali del diritto dei quali la Corte garantisce l’osservanza»). [18] Cfr. Conclusioni dell’Avvocato Generale, 10.7.2014, causa C-212/13, František Ryneš c. Úřad pro ochranu osobních údajů, non ancora pubblicata in Racc. [19] Cfr. Conclusioni dell’Avvocato Generale, 10.7.2014, causa C-212/13, František Ryneš c. Úřad pro ochranu osobních údajů, non ancora pubblicata in Racc., punto 51. [20] Cfr. Conclusioni dell’Avvocato Generale, 10.7.2014, causa C-212/13, František Ryneš c. Úřad pro ochranu osobních údajů, non ancora pubblicata in Racc., punto 53. [21] Cfr. «Nel diritto ogni definizione appare pericolosa: è, infatti, difficile che essa non possa essere sovvertita» (D. 50, 17, 202, Giavoleno, Epistole, 11). [22] Cfr. «Considerando che i principi di tutela si devono applicare a tutti i trattamenti di dati personali quando le attività del responsabile del trattamento rientrano nel campo d’applicazione del diritto comunitario; che deve essere escluso il trattamento di dati effettuato da una persona fisica nell’esercizio di attività a carattere esclusivamente personale o domestico quali la corrispondenza e la compilazione di elenchi di indirizzi» (considerando n. 12). [23] In proposito si v. Corte giust., 6.11.2003, causa C-101/01, Bodil Lindqvist c. Göta Hovrätt, Racc. p. I-12971, punti 46 e 47, nonché le conclusioni dell’Avvocato Generale il quale ritiene rientrino nella categoria delle «attività a carattere esclusivamente personale o domestico» solo «la corrispondenza e la compilazione di elenchi di indirizzi […], e cioè attività chiaramente private e riservate, destinate a restare confinate nella sfera personale o domestica degli interessati». [24] Cfr. Corte giust., 11.12.2014, causa C-212/13, František Ryneš c. Úřad pro ochranu osobních údajů, non ancora pubblicata in Racc., punto 22. [25] Cfr. Corte giust., 11.12.2014, causa C-212/13, František Ryneš c. Úřad pro ochranu osobních údajů, non ancora pubblicata in Racc., punto 24. [26] Cfr. Art. 11, par. 1 («in caso di dati non raccolti presso la persona interessata, gli Stati membri dispongono che, al momento della registrazione dei dati o qualora sia prevista una comunicazione dei dati a un terzo, al più tardi all’atto della prima comunicazione dei medesimi, il responsabile del trattamento o il suo rappresentante debba fornire alla persona interessata almeno le informazioni elencate qui di seguito, a meno che tale persona ne sia già informata: a) l’identità del responsabile del trattamento ed eventualmente del suo rappresentante, b) le finalità del trattamento, c) ulteriori informazioni riguardanti quanto segue: – le categorie di dati interessate, – i destinatari o le categorie di destinatari dei dati, – se esiste un diritto di accesso ai dati e di rettifica in merito ai dati che la riguardano, nella misura in cui, in considerazione delle specifiche circostanze in cui i dati vengono raccolti, tali informazioni siano necessarie per effettuare un trattamento leale nei confronti della persona interessata»). [27] Cfr. Art. 6, par. 1 («gli Stati membri dispongono che i dati personali devono essere: a) trattati lealmente e lecitamente; b) rilevati per finalità determinate, esplicite e legittime, e successivamente trattati in modo non incompatibile con tali finalità. Il trattamento successivo dei dati per scopi storici, statistici o scientifici non è ritenuto incompatibile, purché gli Stati membri forniscano garanzie appropriate; c) adeguati, pertinenti e non eccedenti rispetto alle finalità per le quali vengono rilevati e/o per le quali vengono successivamente trattati; d) esatti e, se necessario, aggiornati; devono essere prese tutte le misure ragionevoli per cancellare o rettificare i dati inesatti o incompleti rispetto alle finalità per le quali sono rilevati o sono successivamente trattati, cancellati o rettificati; e) conservati in modo da consentire l’identificazione delle persone interessate per un arco di tempo non superiore a quello necessario al conseguimento delle finalità per le quali sono rilevati o sono successivamente trattati. Gli Stati membri prevedono garanzie adeguate per i dati personali conservati oltre il suddetto arco di tempo per motivi storici, statistici o scientifici»). [28] Cfr. Art. 6, par. 1 rubricato «Informazione in caso di raccolta dei dati presso la persona interessata» («gli Stati membri dispongono che il responsabile del trattamento, o il suo rappresentante, debba fornire alla persona presso la quale effettua la raccolta dei dati che la riguardano almeno le informazioni elencate qui di seguito, a meno che tale persona ne sia già informata: a) l’identità del responsabile del trattamento ed eventualmente del suo rappresentante; b) le finalità del trattamento cui sono destinati i dati; c) ulteriori informazioni riguardanti quanto segue: – i destinatari o le categorie di destinatari dei dati, – se rispondere alle domande è obbligatorio o volontario, nonché le possibili conseguenze di una mancata risposta, – se esistono diritti di accesso ai dati e di rettifica in merito ai dati che la riguardano nella misura in cui, in considerazione delle specifiche circostanze in cui i dati vengono raccolti, tali informazioni siano necessarie per effettuare un trattamento leale nei confronto della persona interessata»). [29] Cfr. Art. 12 rubricato «Diritto di accesso» («Gli Stati membri garantiscono a qualsiasi persona interessata il diritto di ottenere dal responsabile del trattamento: a) liberamente e senza costrizione, ad intervalli ragionevoli e senza ritardi o spese eccessivi: – la conferma dell’esistenza o meno di trattamenti di dati che la riguardano, e l’informazione almeno sulle finalità dei trattamenti, sulle categorie di dati trattati, sui destinatari o sulle categorie di destinatari cui sono comunicati i dati; – la comunicazione in forma intelligibile dei dati che sono oggetto dei trattamenti, nonché di tutte le informazioni disponibili sull’origine dei dati; – la conoscenza della logica applicata nei trattamenti automatizzati dei dati che lo interessano, per lo meno nel caso delle decisioni automatizzate di cui all’art. 15, par. 1; b) a seconda dei casi, la rettifica, la cancellazione o il congelamento dei dati il cui trattamento non è conforme alle disposizioni della presente direttiva, in particolare a causa del carattere incompleto o inesatto dei dati; c) la notificazione ai terzi, ai quali sono stati comunicati i dati, di qualsiasi rettifica, cancellazione o congelamento, effettuati conformemente alla lett. b, se non si dimostra che è impossibile o implica uno sforzo sproporzionato»). [30] Cfr. Art. 21 rubricato «Pubblicità dei trattamenti» («1. Gli Stati membri adottano misure intese ad assicurare la pubblicità dei trattamenti. 2. Gli Stati membri devono prevedere che l’autorità di controllo tenga un registro dei trattamenti notificati in virtù dell’art. 18. Il registro riprende almeno le informazioni enumerate all’art. 19, par. 1, lett. a-e. Il registro può essere consultato da chiunque. 3. Gli Stati membri prevedono che i responsabili dei trattamenti o un altro organismo designato dagli Stati membri comunichino nelle opportune forme, a chiunque ne faccia richiesta, almeno le informazioni di cui all’art. 19, par. 1, lett a-e, relative ai trattamenti esenti da notificazione. Gli Stati membri possono prevedere che questa disposizione non si applichi ai trattamenti la cui unica finalità è la compilazione di registri i quali, in forza di disposizioni legislative o regolamentari, siano predisposti per l’informazione del pubblico e siano aperti alla consultazione del pubblico o di chiunque possa dimostrare un interesse legittimo»). [31] Si v. Corte giust., 6.11.2003, causa C-101/01, Bodil Lindqvist c. Göta Hovrätt, Racc. p. I-12971. [32] Si v. Corte giust., 8.4.2014, cause C-293/12 e C-594/12, Digital Rights Ireland Ltd, Kärntner Landesregierung, Michael Seitlinger, Christof Tschohl e a. c. Minister for Communications, Marine and Natural Resources, Minister for Justice, Equality and Law Reform, The Commissioner of the Garda Síochána e Ireland and the Attorney General, non ancora pubblicato in Racc., nonché Corte giust., 13.5.2014, causa C-131/12, Google Spain SL e Google Inc. c. Agencia Española de Protección de Datos (AEPD) e Mario Costeja González, non ancora pubblicata in Racc. [33] Cfr. Conclusioni dell’Avvocato Generale, 10.7.2014, causa C-212/13, František Ryneš c. Úřad pro ochranu osobních údajů, non ancora pubblicata in Racc., punto 23. [34] Conformemente a quanto considerato si v. le conclusioni dell’Avvocato Generale, 10.7.2014, causa C-212/13, František Ryneš c. Úřad pro ochranu osobních údajů, non ancora pubblicata in Racc., punti 44 e 65. [35] Dello stesso avviso è l’Avvocato Generale (cfr. Conclusioni dell’Avvocato Generale, 10.7.2014, causa C-212/13, František Ryneš c. Úřad pro ochranu osobních údajů, non ancora pubblicata in Racc., punto 63). [36] Corte giust., 24.11.2011, cause C-468/10 e C-469/10, Asociación Nacional de Establecimientos Financieros de Crédito (ASNEF) e Federación de Comercio Electrónico y Marketing Directo (FECEMD) c. Administración del Estado, Racc. p. I-12181, punti 38 e 40. 10 Marzo 2016               10 marzo 2016