La struttura multilivello della protezione dei dati personali in Europa

In Europe, the protection of personal data falls under the coverage of several legal international systems, which are mainly the outcome of the activities of the Council of Europe and the European Union. The coexistence of such different sets of rules created a complex and comprehensive legal regime having a multilayered structure, while each layer consists in one specific legal instrument showing distinctiveness regarding its nature, scope, effects and effectiveness. The purpose of this essay is to identify and describe such a multilayered structure through the analysis of the relevant legal instruments, aiming at detecting their mutual interactions, overlaps and complementarities. Our decisive goal is to highlight the scope of the compared measures, either from a substantial point of view or a territorial (subjective) point of view. Instead, the matter and suitability of each measure will not be discussed here properly. Considering the Council of Europe initiatives, this essay focuses either on the Convention n. 108 of 1980 and on art. 8 of the ECHR. These two instruments take an opposite approach in pursuing their ends: Convention n. 108 is an intergovernmental treaty of a traditional type, specifically devoted to the protection of personal data though devoid of a proper international mechanism having jurisdiction over claims presented by individuals/victims; notwithstanding its conciseness, ECHR art. 8 represents a container which is progressively filled with new contents and meanings, and this thanks to the living interpretation of the European Court of Human Rights. Regarding EU law, a new set of rules on the protection of personal data is going to become finally applicable next May 2018. This is a comprehensive and detailed discipline consisting of EU Regulation n. 679 (GDPR) and EU Directive 680 both adopted 2016. Additionally, EU Directive 681 applies to the area of police and judicial cooperation in criminal matters. These acts of secondary law, which are thoroughly investigated in the present essay, find their legal basis in art. 16 TFEU as amended by the Treaty of Lisbon, while implementing art. 8 of EU Charter of Fundamental Rights. Given its ‘supranational’ nature, EU legislation is far more suitable than Council of Europe treaty measures in penetrating national legal orders and ensuring effective redress to individuals/victims. EU legislation shows nevertheless some shortcomings. There is, on the one side, a risk of fragmentation in the EU legal asset resulting from the multitude of legal acts cross-regulating the matter of the personal data protection. On the other side, the access to EU judicial remedies against data protection infringements are not always open to the individuals/victims.

La protezione dei dati personali in Europa ricade nel quadro delle garanzie previste da molteplici sistemi giuridici internazionali regionali, che fanno capo principalmente al Consiglio d’Europa e all’Unione europea. La coesistenza di questi sistemi ha dato luogo ad una complessa e articolata regolamentazione avente una struttura ‘multilivello’, al cui interno ciascun ‘livello’ è rappresentato da uno specifico strumento giuridico il quale si distingue nettamente dagli altri per natura, portata, effetti ed efficacia. Il presente saggio si propone di individuare e descrivere tale struttura multilivello attraverso l’analisi dei singoli strumenti giuridici che la compongono, al fine di rilevarne le reciproche interazioni, sovrapposizioni e complementarità. Attraverso il confronto tra i vari provvedimenti, ci si prefigge di delineare i loro rispettivi ambiti di applicazione materiale e territoriale (o soggettiva), lasciando invece fuori dall’indagine una valutazione di merito sulle soluzioni prospettate. Nell’ambito delle iniziative del Consiglio d’Europa, vengono presi in considerazione, da un lato, la Convenzione n. 108 del 1980, e, dall’altro, l’articolo 8 della CEDU. L’approccio stesso, mediante il quale entrambi questi strumenti perseguono i loro obiettivi, non può essere più diverso: il primo è un trattato di tipo intergovernativo classico, specificamente dedicato alla materia considerata ma privo di un vero e proprio meccanismo internazionale di azionamento da parte dell’individuo-vittima; il secondo, seppur sintetico nella sua formulazione, funge da recipiente che si riempie nel tempo di nuovi contenuti, e ciò grazie all’interpretazione vivente fornita dalla Corte europea per i diritti dell’uomo. Per quanto riguarda l’ordinamento dell’UE, a maggio 2018 diventerà pienamente esecutiva la normativa che ha riformato la materia attraverso il nuovo ‘pacchetto europeo di protezione dei dati personali’. Si tratta di una disciplina completa e dettagliata che si compone del regolamento n. 679 (GDPR) e della direttiva 680, entrambi adottati nel 2016, ai quali si aggiunge la direttiva 681, che opera nel settore della cooperazione giudiziaria e di polizia in materia penale. Questi atti derivati, di cui si dà un’ampia analisi nel presente saggio, se da un lato trovano la loro nuova base giuridica nell’art. 16 del TFUE introdotto con il Trattato di Lisbona, dall’altro danno attuazione all’art. 8 della Carta dei diritti fondamentali dell’UE. Evidentemente, data la sua natura ‘sovranazionale’, la disciplina dell’UE presenta un più elevato grado di penetrazione negli ordinamenti nazionali e assicura maggiori garanzie di giustizia per gli individui-vittime rispetto agli strumenti di diritto internazionale predisposti nel quadro del Consiglio d’Europa. Ciononostante, la stessa evidenzia anche diverse ‘ombre’, sia riguardo all’interazione tra i diversi atti in cui si articola il nuovo ‘pacchetto’, con qualche ricaduta negativa sulla coerenza del sistema, che relativamente alla concreta capacità del singolo di agire a tutela dei propri diritti.