Diritto civile
21 | 12 | 2023
L’aumento dei flussi transfrontalieri di dati personali e le sfide per la protezione degli stessi
Beatrice Gregorini
La terza sezione della Corte di Giustizia dell’Unione europea, nella causa C-667/21 del 21 dicembre 2023, ha posto l’attenzione sulla necessità, data la rapida evoluzione tecnologica, di attuare un quadro più solido e coerente in materia di protezione dei dati nel territorio dell’Unione europea, per creare un clima di fiducia tra cittadino e operatore che consenta lo sviluppo dell’economia digitale in tutto il mercato interno, sul fondamento dei principi di diritto del Regolamento generale sulla protezione dei dati (RGPD) 2016/679, ovvero sul fondamento dei principi di liceità, correttezza, trasparenza e funzionalità sociale del trattamento dei dati personali, nell’ottica del contemperato del diritto alla protezione dei dati di carattere personale con altri diritti fondamentali.
Rileva la Corte che l’attuale tecnologia consente tanto alle imprese private quanto alle autorità pubbliche di utilizzare dati personali - come mai in precedenza - nello svolgimento delle proprie attività. Sempre più, difatti, le persone fisiche rendono disponibili al pubblico su scala mondiale informazioni personali per mezzo delle piattaforme digitali.
Principalmente, sottolinea la Corte di Lussemburgo, dato l’aumento dei flussi transfrontalieri di dati, «è opportuno che le persone fisiche abbiano il controllo dei dati personali che li riguardano e che la certezza giuridica e operativa sia rafforzata tanto per le persone fisiche quanto per gli operatori economici e le autorità pubbliche» così da tutelare concretamente il cittadino dell’Unione e prevenire danni materiali o immateriali – ai quali segue un risarcimento di natura compensativa – causati da una violazione del presente regolamento (precisamente, si rimanda alla disciplina dell’art. 82 § 1).
Pone l’attenzione di preciso la Corte sul «trattamento di categorie particolari di dati personali», qualificati anche come dati «sensibili».
La finalità dell’art. 9 § 1 di detto regolamento consiste, esplica la Corte, nel garantire una protezione maggiore contro i trattamenti che, a causa della natura significativamente sensibile dei dati che ne sono oggetto, possono costituire un’ingerenza grave nei diritti fondamentali al rispetto della vita privata e alla protezione dei dati personali, di cui agli artt. 7 e 8 della Carta dei diritti fondamentali.
Va eccettuato pur sempre dal divieto di trattare i dati sensibili l’elenco dell’art. 9 § 2, lettere da a) a j), da interpretare, chiarisce la Corte, restrittivamente [v. sent. 4 luglio 2023, Meta Platforms e a. (Condizioni generali d’uso di un social network), C-252/21, punto 76].
Dal considerando 52 del R.G.P.D., più in particolare, risulta che la «deroga al divieto di trattare categorie particolari di dati» deve essere autorizzata «laddove ciò avvenga nell’interesse pubblico, in particolare (...) nel settore del diritto del lavoro e della protezione sociale» nonché «per finalità inerenti alla salute (...) soprattutto al fine di assicurare la qualità e l’economicità delle procedure per soddisfare le richieste di prestazioni e servizi nell’ambito del regime di assicurazione sanitaria».
Il considerando 53, inoltre, enuncia che trattamenti dei dati posti in essere «per finalità connesse alla salute» devono essere possibili «ove necessario per conseguire tali finalità a beneficio delle persone e dell’intera società, in particolare nel contesto della gestione dei servizi e sistemi di assistenza sanitaria o sociale».
In correlazione a ciò, aggiunge la Corte, ai sensi dell’art. 9 § 3 del R.G.P.D., «il titolare di un trattamento di dati relativi alla salute, fondato sull’art. 9, paragrafo 2, lettera h), di tale regolamento, non è tenuto, in base a tali disposizioni, a garantire che nessun collega dell’interessato possa accedere ai dati relativi allo stato di salute di quest’ultimo. Tuttavia, un siffatto obbligo può essere imposto a carico del responsabile di un tale trattamento in virtù di una normativa adottata da uno Stato membro in base all’art. 9, paragrafo 4, di detto regolamento, o a titolo dei principi di integrità e di riservatezza sanciti all’art. 5, paragrafo 1, lettera f), del medesimo regolamento e concretizzati all’art. 32, paragrafo 1, lettere a) e b), di quest’ultimo».
Tutte queste premesse interpretazioni normative devono risultare il punto di partenza ogni qualvolta gli Stati membri dell’Unione europea si trovino a trattare di tematiche inerenti al trattamento dei dati personali e al diritto alla protezione di questi ultimi.
Il progresso tecnologico ha, indubbiamente, trasformato l’economia e le relazioni sociali e faciliterà sempre più la libera circolazione dei dati personali all’interno del territorio dell’Unione e il loro trasferimento verso paesi terzi e organizzazioni internazionali, ma, alla luce di tutti questi elementi normativi, spiega la Corte, è sempre (se non ancor più) necessaria la garanzia di un elevato livello di protezione dei dati di carattere personale.
L’aumento dei flussi transfrontalieri di dati personali deve necessariamente essere equilibrato con una corretta protezione degli stessi, che, principalmente, deve fondarsi sul rispetto dei criteri di liceità (di cui agli artt. 6 e 9 del R.G.P.D.), dei principi di integrità e di riservatezza (di cui agli artt. 5 e 32 dello stesso regolamento) e del principio di proporzionalità con altri diritti essenziali tutelati dalla Carta dei diritti fondamentali, considerando specialmente il trattamento dei «dati sensibili» (ex art. 9 del regolamento) e sempre perseguendo finalità di benessere personale e sociale.
Riferimenti Normativi: