Agatif | Saarbrücken
AGATIF propone lo scambio di esperienze professionali, anche nel quadro del diritto comunitario, la comparazione del diritto amministrativo e del diritto processuale amministrativo nei Paesi europei.
Agatif, giudici amministrativi italiani, tar lombardia, tar lazio, diritto amministrativo, avvocati amministrativi italiani, giudici amministrativi francesi, giudici amministrativi tedeschi, giurisprudenza, convegni diritto amministrativo
241
archive,tag,tag-saarbrucken,tag-241,ajax_fade,page_not_loaded,,select-theme-ver-3.1,wpb-js-composer js-comp-ver-4.11.2.1,vc_responsive

Saarbrücken Tag

Relazione tedesca Heberlein – Saarbrücken – 5/10/2018

Die Bedeutung der Datenschutz-Grundverordnung für die Verwaltungsgerichte

I. Die Datenschutz-Grundverordnung (DS-GVO)
1. Die Relevanz der DS-GVO für die Verwaltungsgerichte
Verwaltungsgerichte gewährleisten Rechtsschutz in Bezug auf die Datenverarbeitung durch Behörden und öffentliche Einrichtungen sowie gegen rechtsverbindliche Beschlüsse der Datenschutz-Aufsichtsbehörden. Die Gerichte sind bei ihrer eigenen Verarbeitung personenbezogener Daten aber auch selbst an die Verordnung gebunden.
2. Der Regelungsansatz der DS-GVO
Die DS-GVO schafft ein Europäisches Datenschutzrecht, das die bisherigen nationalen Datenschutz-Regime ersetzt. Als Europäische Verordnung gilt sie unmittelbar in allen Mitgliedstaaten (Art. 288 Abs. 2 AEUV). Die nationalen Datenschutz-Aufsichtsbehörden und der Europäische Datenschutzausschusses haben eine zentrale Rolle für die einheitliche Anwendung der DS-GVO.
3. Die Rolle des nationalen Rechts
Spezifizierungen der DS-GVO durch nationales Recht sind nur zulässig, wo und inwieweit die Verordnung selbst Präzisierungen oder Einschränkungen durch das Recht der Mitgliedstaaten vorsieht.
4. Gründe für das neue Datenschutzrecht
Die Gründe für ein neues Datenschutzrecht ergeben sich vor allem aus dem technologischen Fortschritt und der Globalisierung, dem Grundrecht auf den Schutz personenbezogener Daten und der Fragmentierung der nationalen Datenschutz-Systeme.
5. Der Weg zur DS-GVO
Der Kommissionsvorschlag war das Ergebnis umfassender Konsultationen, die über zwei Jahre andauerten und an denen die wichtigsten Interessengruppen beteiligt waren. Am 25.1.2012 legte die Europäische Kommission ihren Gesetzesvorschlag dem Europäischen Parlament und dem Rat vor, der nach einer Verhandlungsdauer von mehr als vier Jahren im Mai 2016 in Kraft trat.

6. Keine Revolution – Evolution des Europäischen Datenschutzrechts
Die DS-GVO folgt dem Ansatz der Datenschutzrichtlinie 95/46/EG. Aufbauend auf den zwanzigjährigen Erfahrungen mit dem EU-Datenschutzrecht und der einschlägigen Rechtsprechung präzisiert und modernisiert sie die Datenschutzvorschriften. Sie enthält eine Reihe neuer Elemente, die den Schutz der Rechte des Einzelnen und der Unternehmen stärken. Trotz ihrer neuen Regelungen ist die DS-GVO in materiell-rechtlicher Hinsicht keine Revolution, sondern eine Evolution des europäischen Datenschutzrechts.
II. Die Bedeutung der DS-GVO für die eigene Datenverarbeitung der Verwaltungsgerichte
1. Allgemeine Grundsätze
Die Gerichte müssen wie alle für die Datenverarbeitung Verantwortlichen die Grundsätze der DS-GVO (Art. 5) umsetzen und – entsprechend dem Grundsatz der Rechenschaftspflicht – in der Lage sein, deren Einhaltung auch nachzuweisen.
2. Rechtmäßigkeit der Verarbeitung
Art. 8 Abs. 2 der Charta der Grundrechte der EU bestimmt, dass personenbezogene Daten nur mit Einwilligung der betroffenen Person oder auf einer sonstigen gesetzlich geregelten legitimen Grundlage verarbeitet werden dürfen. Art. 6 Abs. 1 DS-GVO konkretisiert den Grundsatz der Rechtmäßigkeit und legt diese rechtlichen Gründe für die Verarbeitung abschließend fest. Für die Gerichte wie für alle Behörden sind die maßgebenden Rechtsgrundlagen vor allem rechtliche Verpflichtungen und Aufgaben im öffentlichen Interesse bzw. in Ausübung der ihnen übertragenen öffentlichen Gewalt, die durch Unionsrecht oder nationales Recht festgelegt sind.
3. Pflichten der Gerichte als für die Datenverarbeitung Verantwortliche
Die Verantwortung der Gerichte für ihre eigene Datenverarbeitung umfasst die Pflicht, geeignete technische und organisatorische Maßnahmen umzusetzen, um sicherzustellen und den Nachweis dafür erbringen zu können, dass die Verarbeitung im Einklang mit der DS-GVO erfolgt.
4. Interne Kontrolle: Datenschutzbeauftragte der Gerichte
Behörden und andere öffentliche Stellen sind zur Benennung eines Datenschutzbeauftragten verpflichtet. Das gilt auch für die Gerichte. Art. 37 Abs. 1 Buchst. a bestimmt eine Ausnahme für Gerichte nur „soweit sie im Rahmen ihrer justiziellen Tätigkeit handeln“. Die Benennungspflicht für Gerichte greift deshalb nur dann nicht, wenn es um die Verarbeitung personenbezogener Daten für die Rechtsprechung als die eigentliche gerichtliche Tätigkeit geht.
5. Externe Kontrolle der Datenverarbeitung
Nach Art. 55 Abs. 3 sind die Aufsichtsbehörden „nicht zuständig für die Aufsicht über die von Gerichten im Rahmen ihrer justiziellen Tätigkeiten vorgenommenen Verarbeitung“. Auch hier beschränkt sich die Freistellung von der Aufsicht durch die Datenschutzbehörde auf die Tätigkeiten, die mit der gerichtlichen Entscheidungsfindung in Zusammenhang stehen und im Interesse der richterlichen Unabhängigkeit von einer behördlichen Kontrolle nicht beeinflusst werden sollen. Mit der Aufsicht für die Datenverarbeitung durch Gerichte im Rahmen ihrer justiziellen Tätigkeit sollten „besondere Stellen im Justizsystem des Mitgliedstaats“ betraut werden (EG 20).
III. Rechtsschutz gegen Behörden und öffentliche Einrichtungen
1. Dualismus von gerichtlichem Rechtsschutz und Beschwerde
Die betroffene Person hat das Recht, sich bei Verstößen gegen die Verordnung bei der Verarbeitung der sie betreffenden personenbezogenen Daten sowohl mit einer Beschwerde an die Datenschutzbehörde zu wenden als auch vor Gericht gegen Verantwortliche oder Auftragsverarbeiter vorzugehen.
2. Rechtsschutz gegen die Datenverarbeitung im öffentlichen Bereich
Erfolgt die Datenverarbeitung durch eine Behörde oder öffentliche Einrichtung in Wahrnehmung ihrer öffentlich-rechtlichen Aufgaben, hat die betroffene Person das Recht, einen gerichtlichen Rechtsbehelf geltend zu machen – und zwar zum Verwaltungsgericht, wenn das nationale Recht dessen Zuständigkeit bestimmt. Die DS-GVO regelt, welcher Mitgliedstaat die Gerichtszuständigkeit hat. Die Zuweisung zu einer bestimmten Gerichtsbarkeit und die Festlegung örtlichen und sachlichen Zuständigkeit der Gerichte ist hingegen Sache des nationalen Rechts.
Die betroffene Person hat das Recht, eine Einrichtung, Organisation oder Vereinigung zu beauftragen, in ihrem Namen einen gerichtlichen Rechtsbehelf geltend zu machen. Die Mitgliedstaaten können vorsehen, dass diese Einrichtungen, Organisationen oder Vereinigungen auch von sich aus, also ohne Beauftragung durch eine betroffene Person, das Recht haben, bei der zuständigen Aufsichtsbehörde eine Beschwerde einzulegen und Klage zu erheben.
IV. Rechtsschutz für Verantwortliche und Auftragsverarbeiter gegen die Aufsichtsbehörde
1. Rechtsschutz gegen Beschlüsse der Aufsichtsbehörde
Die DS-GVO gewährleistet Verantwortlichen und Auftragsverarbeitern das Recht auf einen wirksamen gerichtlichen Rechtsbehelf gegen einen rechtsverbindlichen Beschluss einer Aufsichtsbehörde. Die Befugnisse jeder Aufsichtsbehörde zu solchen rechtsverbindlichen Beschlüssen sind in Art. 58 DS-GVO harmonisiert.
2. Rechtsschutz gegen Bußgeldbescheide der Aufsichtsbehörde
Bei Verstößen gegen Bestimmungen der DS-GVO oder bei Nichtbefolgung ihrer Anweisungen kann die Aufsichtsbehörde Geldbußen in einer Höhe von bis zu 20 Millionen Euro oder – im Fall eines Unternehmens – von bis zu 4 % seines gesamten weltweit erzielten Jahresumsatzes des vergangenen Geschäftsjahres verhängen, je nachdem, welcher Betrag höher ist. Die Mitgliedstaaten können Rechtsbehelfe gegen Geldbußen auch einer anderen Gerichtsbarkeit zuweisen.
3. Rechtsschutz gegen Maßnahmen der federführenden Aufsichtsbehörde
Bei grenzüberschreitenden Sachverhalten findet der Kooperationsmechanismus (Art. 56, 60) Anwendung. Nach der Einigung der beteiligten Aufsichtsbehörden auf ein gemeinsames Vorgehen gegen grenzüberschreitend tätigen Verantwortlichen oder Auftragsverarbeitern erlässt die federführende Aufsichtsbehörde den rechtsverbindlichen Beschluss. Dieser kann vor dem zuständigen Gericht des Mitgliedstaates angefochten werden, dem die federführende Aufsichtsbehörde angehört.
4. Rechtsschutz gegen Maßnahmen des Europäischen Datenschutz-Ausschusses
Kommt es zu keiner Einigung der beteiligten Aufsichtsbehörden, erlässt der Europäische Datenschutz-Ausschuss im Kohärenzverfahren einen verbindlichen Beschluss über die streitigen Fragen (Art. 65). Dieser Beschluss kann mit der Nichtigkeitsklage nach Art. 263 AEUV vor dem Gerichtshof der Europäischen Union angefochten werden, wenn er den Kläger unmittelbar und individuell betrifft. Auf der Grundlage des Beschlusses des Ausschusses erlässt die federführende Aufsichtsbehörde den endgültigen Beschluss, der vor den Gerichten des Mitgliedstaates dieser Aufsichtsbehörde angefochten werden kann.
V. Rechtsschutz der betroffenen Person gegen die Aufsichtsbehörde
1. Rechtsschutz gegen negative Entscheidungen der Aufsichtsbehörde
Das Recht auf einen wirksamen gerichtlichen Rechtsbehelf besteht auch dann, wenn die Aufsichtsbehörde eine Beschwerde der betroffenen Person zurückweist oder ablehnt. Die Beschwerde kann bei jeder Aufsichtsbehörde in einem Mitgliedstaat erhoben werden. Danach richtet sich auch Zuständigkeit des Gerichts bei einer Zurückweisung oder Ablehnung der Beschwerde.
2. Rechtsschutz bei Untätigkeit der Aufsichtsbehörde
Die DS-GVO kennt auch eine Untätigkeitsklage gegen die Aufsichtsbehörde vor dem zuständigen Gericht des Mitgliedstaates in dem die Aufsichtsbehörde ihren Sitz hat. Diese Klage ist statthaft, wenn sich die Aufsichtsbehörde nicht mit der Beschwerde befasst oder die betroffene Person nicht innerhalb von drei Monaten über den Stand oder das Ergebnis der Beschwerde in Kenntnis gesetzt hat.

Relazione tedesca Grethel – Saarbrücken – 5/10/2018

Die Rolle der Aufsichtsbehörden nach der DSGVO

1. Begrüßung

2. Einführung in die Thematik

„Da hat Europa uns wieder mal etwas eingebrockt!“. Diese oder ähnliche Sätze haben wir man im Zusammenhang mit der seit dem 25. Mai anwendbaren Europäischen Datenschutzgrundverordnung (DSGVO) immer wieder gehört. Und dem Thema Datenschutz und DSGVO konnte sich in diesem Jahr auch kaum jemand entziehen. Obwohl die DSGVO bereits im Mai 2016 mit einer Übergangsfrist von zwei Jahren in Kraft getreten ist, ist den Meisten erst seit etwa Anfang dieses Jahres bewusst geworden, dass ab dem 25. Mai neue datenschutzrechtliche Regelungen gelten.

Diese Erkenntnis hat vielfach zu großer Verunsicherung und teilweise auch zu Panik geführt. Die bestehenden Unsicherheiten und die Furcht vor hohen Bußgeldern bzw. vor einer großen Abmahnwelle haben dann bspw. dazu geführt, dass massenweise Online-Auftritte vom Netz genommen wurden und sonstige, teilweise schon kuriose Maßnahmen ergriffen wurden. So haben beispielsweise Kinder bei ihrem Kindergartenabschied Erinnerungsfotos erhalten, auf denen alle Gesichter bis auf das eigene geschwärzt worden waren. Als Grund wurde angegeben, die neuen Regelungen verlangten dies. Abgesehen davon, dass derlei Erinnerungsstücke an die Kindheit von äußerst geringem Wert sein dürften, sind solche Konsequenzen mit Sicherheit nicht im Sinne des Verordnungsgebers und bei vernünftiger Auslegung der Vorschriften auch nicht erforderlich.

Jetzt, etwas mehr als vier Monate nach Geltungsbeginn der DSGVO zeigt sich, dass – zumindest bislang – die befürchtete Abmahnwelle ausgeblieben ist und auch die Aufsichtsbehörden keinesfalls die neuen rechtlichen Gegebenheiten dazu genutzt haben, jeden noch so kleinen Datenschutzverstoß mit immens hohen Bußgeldern zu ahnden.
Aber gerade diese im Vergleich zur bisherigen Rechtslage hohen Bußgeldandrohungen sind es, die dem Datenschutz aktuell zu einer solchen Aufmerksamkeit verhelfen.

Völlig in den Hintergrund getreten ist dabei die Tatsache, dass sich auch bisher schon alle öffentlichen und nicht-öffentlichen Stellen, die personenbezogene Daten verarbeiten, an datenschutzrechtliche Vorgaben zu halten hatten und diese Vorgaben sich im Grundsatz gar nicht so sehr von der neuen Rechtslage unterschieden.

Allerdings war dies Vielen nicht bewusst bzw. es wurde nicht so ernst genommen. Ein Grund hierfür war sicherlich, dass die Wahrscheinlichkeit, wegen nicht rechtskonformer Datenverarbeitung in den Fokus der Aufsichtsbehörden zu gelangen und zur Rechenschaft gezogen zu werden, für die datenverarbeitenden Stellen sehr gering war. Und wenn es doch einmal zu Sanktionen kam, waren diese in der Regel nicht sehr schmerzhaft. Daher bestand auch keine große Motivation, sich vertieft mit dieser Materie zu befassen. Aufgrund der fehlenden Durchsetzung des Datenschutzrechts sind auch nicht so viele Fälle zu den Gerichten gekommen sind, so dass es bislang recht wenig Rechtsprechung zu dieser schon bisher nicht ganz einfachen Rechtsmaterie gibt, was wiederum dazu geführt hat, dass das Datenschutzrecht zum Teil sehr uneinheitlich umgesetzt worden ist.

Dies soll sich mit der DSGVO nunmehr ändern. Daher beinhaltet sie als einen wesentlichen Bestandteil eine Stärkung der Aufsichtsbehörden, die das Datenschutzrecht einheitlich durchsetzen sollen.

3. DSGVO

Bevor ich hierauf näher eingehe, noch einige allgemeine Worte zur DSGVO:

Diese ist nach einer Übergangszeit von zwei Jahren seit dem 25. Mai dieses Jahres in allen Mitgliedstaaten der EU und mittlerweile auch in den Ländern des Europäischen Wirtschaftsraums (Island, Liechtenstein; Norwegen) unmittelbar anwendbar. Als eine europäische Verordnung ist sie Teil der innerstaatlichen Rechtsordnungen geworden.

Anwendung findet die DSGVO auf die personenbezogene Datenverarbeitung durch alle nicht-öffentlichen Stellen, wie Unternehmen, Vereine und Verbände, aber auch auf die Verarbeitung durch öffentliche Stellen wie Behörden und Ministerien.

Ein wesentlicher Grund für die Neuregelung des Datenschutzrechts in Europa war, dass sich seit dem Erlass der bisher geltenden europäischen Datenschutzrichtlinie aus dem Jahre 1995 die technischen Gegebenheiten und damit die Datenverarbeitungsprozesse ganz erheblich verändert haben. Damals steckte das Internet noch in den Kinderschuhen; es gab zwar die ersten Mobiltelefone, aber an Smartphones war noch nicht zu denken.

Heute dagegen ist die Verarbeitung personenbezogener Daten allgegenwärtig und erfasst nahezu alle Lebensbereiche. Neben der globalen Vernetzung der Menschen über Soziale Netzwerke, wie Facebook und WhatsApp sind auch neuere Entwicklungen wie das „Internet der Dinge“, „Smart Home“ oder „autonomes Fahren“ zu nennen. Diese, mit der Digitalisierung verbundenen Neuerungen bringen jedoch auch immer neue Gefährdungen für das Grundrecht auf Datenschutz der Bürger mit sich. Daher wollte der Gesetzgeber neue Regelungen, die diese Entwicklungen aufgreifen und die in der Lage sind, die Kontrolle des Einzelnen über seine persönlichen Daten zu behalten.

Darüber hinaus hat sich auch gezeigt, dass die Richtlinie aus dem Jahre 1995 in allen Mitgliedstaaten sehr unterschiedlich in nationales Recht umgesetzt worden ist, was zu einer Zersplitterung des Datenschutzrechts in ganz Europa geführt hat.

Mit einer unmittelbar und allgemein geltenden Verordnung soll nun ein europaweit einheitlicher hoher Schutz bei der Verarbeitung der personenbezogenen Daten erreicht werden. Zugleich zielt die DSGVO auch darauf ab, die noch bestehenden Hemmnisse für den freien Verkehr personenbezogener Daten innerhalb der EU zu beseitigen.

Um diese Ziele eines hohen Datenschutzstandards in der ganzen EU zu erreichen, müssen sich jetzt auch außerhalb der EU ansässige Unternehmen an die europarechtlichen Datenschutzregeln halten, wenn sie ihre Angebote für Waren und Dienstleistungen an Personen innerhalb der EU richten. D.h. auch für die großen US-amerikanischen Player wie Amazon, Google und Facebook gilt jetzt europäisches Datenschutzrecht.

Zur der Rechte der betroffenen Personen sollen Datenverarbeitungsprozesse transparenter werden. Dies bedeutet, dass die betroffenen Personen umfangreicher als bisher durch die Verantwortlichen darüber informiert werden müssen, was mit ihren Daten geschieht. Zum anderen werden auch ihre Rechte gegenüber den datenverarbeitenden Stellen erweitert. Neben einem – gegenüber der bisherigen Rechtslage – deutlich gestärktem Auskunftsrecht über den Umfang der Datenverarbeitung, stehen den Betroffenen weitere – teilweise ganz neue Rechte zu, wie das „Recht auf Vergessenwerden“ und das Recht auf Datenübertragbarkeit.

Mit Blick auf die erweiterten Verarbeitungsmöglichkeiten im digitalen Informationszeitalter widmet die DS-GVO dem technischen Datenschutz ein besonderes Augenmerk.
An dem schon bisher geltenden, wesentlichen Grundprinzip des Datenschutzrechts, dem sog. Verbot mit Erlaubnisvorbehalt, wird festgehalten. Damit bedarf es für jede Datenverarbeitung eines Erlaubnistatbestandes in Gestalt einer gesetzlichen Grundlage oder einer Einwilligung des Betroffenen.
——

Die DSGVO ist mit ihren 99 Artikeln und insgesamt 173 Erwägungsgründen, die zur Auslegung der Vorschriften heranzuziehen sind, bereits für sich genommen ein recht umfangreiches Gesetzeswerk. Dennoch stellt sie – obwohl sie eine Verordnung ist und damit eigentlich keine Umsetzung in nationales Recht erforderlich ist – keinen abschließenden Rechtsrahmen dar.

Vielmehr enthält sie insgesamt mehr als 70 sog. Öffnungs- bzw. Anpassungsklauseln, die die Mitgliedstaaten verpflichten oder es ihnen erlauben, ergänzende nationale Vorschriften zu erlassen. Insbesondere für die Datenverarbeitung durch öffentliche Stellen und zur Erfüllung rechtlicher Pflichten wird dabei den Mitgliedstaaten ein sehr weitgehendes Ausgestaltungs- und Konkretisierungsrecht zugesprochen.

Als wichtigstes Anpassungsgesetz in Deutschland ist das völlig neu gefasste Bundesdatenschutzgesetz zu nennen, das im Wesentlichen die Datenverarbeitung durch nicht-öffentliche Stellen, also die Privatwirtschaft, regelt; daneben gibt es aber noch unzählige weitere Gesetze, die datenschutzrechtliche Anpassungsvorschriften enthalten. Diese betreffen vielfach den öffentlichen Bereich, da der Verordnungsgeber den Mitgliedstaaten hier – wie schon gesagt – größere Spielräume beim Erlass von nationalen Vorschriften eingeräumt hat. Auf Bundesebene ist bspw. derzeit ein Gesetzentwurf in Arbeit, mit dem mehr als 150 Gesetze an die DSGVO angepasst werden sollen, wobei allerdings aus meiner Sicht notwendige Anpassungsvorschriften an die Prozessordnungen, wie die VwGO, fehlen.
Nicht nur auf Bundes-, sondern auch auf Landesebene gab es bzw. gibt es noch zahlreiche Gesetzgebungsvorhaben. So wurden alle Landesdatenschutzgesetze, die für die öffentlichen Stellen des Landes gelten, neu gefasst.

Die Möglichkeit, trotz Geltung einer Verordnung noch nationale datenschutzrechtliche Regelungen erlassen zu können, ist für das Europarecht durchaus ungewöhnlich. Auch läuft sie in gewisser Weise dem Ziel zuwider, ein möglichst einheitliches Datenschutzniveau in ganz Europa zu bilden. Befürchtungen, dass es auch zukünftig wieder einen datenschutzrechtlichen Flickenteppich in Europa geben wird, sind daher nicht ganz von der Hand zu weisen.

Dies bedeutet aber trotzdem nicht, dass der europäische Gesetzgeber das Ziel eines einheitlichen europäischen Datenschutzrechts den verschiedenen nationalstaatlichen Bedürfnissen geopfert hätte. Er hat nämlich sehr umfangreich geregelt, dass und wie die Aufsichtsbehörden der Mitgliedstaaten auf eine einheitliche Auslegung des Datenschutzrechts in ganz Europa hinwirken sollen. Dies zeigt sich bereits daran, dass sich allein 27 der 99 Artikel der DSGVO mit der Struktur, den Aufgaben und Befugnissen der Aufsichtsbehörden zur verbesserten Durchsetzung des europäischen Datenschutzrechts befassen.

4. Aufsichtsbehörden

So sieht die DSGVO zunächst vor, dass jeder Mitgliedstaat verpflichtet ist, eine oder auch mehrere unabhängige Behörden für die Überwachung der Anwendung der DSGVO zu schaffen. Den Regelfall in Europa stellt dabei die Existenz einer zentralen staatlichen Aufsichtsbehörde dar. In Deutschland besteht aufgrund der föderalen Struktur hingegen die Besonderheit, dass insgesamt 18 Aufsichtsbehörden selbstständig mit der Überwachung des Datenschutzrechts betraut sind. Dies sind zunächst die Bundesbeauftragte für den Datenschutz, die insbesondere für die Einhaltung des Datenschutzes bei den öffentlichen Stellen des Bundes, also v.a. bei den Bundesministerien, zuständig ist.

Zusätzlich verfügt jedoch auch jedes Bundesland über eine Behörde, die die Aufsicht über die in dem Bundesland ansässigen Unternehmen sowie die dortigen öffentlichen Stellen führt. Eine Besonderheit bildet hierbei das Bundesland Bayern, in welchem zwei unabhängige Behörden – eine für die öffentlichen Stellen und eine für die nicht-öffentlichen Stellen – für die Datenschutzaufsicht zuständig sind.

Neben den staatlichen Aufsichtsbehörden existieren auch noch sog. spezifische Aufsichtsbehörden für die Datenschutzaufsicht bei den Kirchen und den Rundfunkanstalten.
—————–

Die DSGVO fordert ausdrücklich, dass die Aufsichtsbehörden ihre Aufgaben und Befugnisse in völliger Unabhängigkeit wahrnehmen können, d. h. dass sie keiner Weisung durch die Exekutive unterliegen. Ihr Handeln ist lediglich gerichtlich überprüfbar.

Zur Gewährleistung dieser Unabhängigkeit ist jeder Mitgliedstaat verpflichtet sicherzustellen, dass die Aufsichtsbehörden mit ausreichenden personellen, technischen und finanziellen Ressourcen ausgestattet sind, um ihren Aufgaben und Befugnissen effektiv nachkommen zu können.

Zwar ist mit Wirksamwerden der DSGVO die personelle Ausstattung bei allen Aufsichtsbehörden sukzessive verstärkt worden. Dass diese personelle Aufstockung hingegen in kaum einem Bundesland ausreichen wird, um alle gesetzlich zugewiesenen Aufgaben effektiv ausführen zu können, dürfte nicht ernsthaft anzuzweifeln sein. Ein zur Ermittlung der notwendigen Personalausstattung erstelltes Gutachten gelangt zu dem Ergebnis, dass im Schnitt pro Aufsichtsbehörde in den Bundesländern ein zusätzlicher Bedarf von bis zu 31 Vollstellen, davon alleine 12-19 Juristen, für eine adäquate Aufgabenerfüllung vonnöten sind.

Das Unabhängige Datenschutzzentrum Saarland erfüllt diese Anforderungen bei Weitem nicht und ist nach einem Zuwachs von vier Stellen in diesem Jahr mit nunmehr 17 Stellen nach wie vor eine der kleinsten Aufsichtsbehörden in Deutschland. Zum Vergleich: die Bundesbeauftragte für den Datenschutz, die – bis auf Telekommunikations- und Postdienstleistungen – ausschließlich für öffentliche Stellen des Bundes zuständig ist, verfügt mittlerweile bereits über mehr als 200 Stellen.

Die allgemein unzureichende personelle Ausstattung der Aufsichtsbehörden ist zwar bedauerlich, sie dürfte jedoch keine ausschließlich deutsche Problematik darstellen. Vermutlich wird auch in den anderen Mitgliedstaaten die personelle Ausstattung den Anforderungen, die die DSGVO an die Aufsichtsbehörden stellt, nicht entsprechen.

5. Örtliche Zuständigkeit/federführende Aufsicht

Zu den Zuständigkeiten der Aufsichtsbehörden ist zu sagen, dass grundsätzlich jede Aufsichtsbehörde für die Kontrolle der Datenverarbeitung in ihrem Hoheitsgebiet zuständig ist. Dies war auch nach der bisherigen Rechtslage so.

Neu sind allerdings die Zuständigkeiten dann geregelt, wenn ein Unternehmen über mehrere Niederlassungen in Europa verfügt. Für jedes Unternehmen gibt es nunmehr eine sog. federführende Aufsichtsbehörde am Ort der Hauptniederlassung als zuständige Behörde für die Datenverarbeitung durch dieses Unternehmen. Dies bedeutet für die Unternehmen einen erheblichen Vorteil gegenüber der bisherigen Rechtslage. Denn nach alter Rechtslage war für jede einzelne Niederlassung eines Unternehmens die jeweilige Aufsichtsbehörde vor Ort alleine zuständig. Aufgrund fehlender Abstimmungsregeln unter den Behörden sowie unterschiedlicher rechtlicher Vorgaben in den Mitgliedstaaten führte dies in der Vergangenheit häufig zu divergierenden Rechtsauffassungen, was die grenzüberschreitend tätigen Unternehmen teilweise vor große Schwierigkeiten stellte.

Nunmehr hat also die Aufsichtsbehörde am Sitz der Hauptniederlassung die Federführung bei der datenschutzrechtlichen Beurteilung eines Sachverhalts. Bei Vorgängen, die auch in anderen Mitgliedstaaten ansässige Niederlassungen des Unternehmens betreffen, sind die jeweiligen Aufsichtsbehörden vor Ort als sog. betroffene Aufsichtsbehörden in die datenschutzrechtliche Bewertung mit einzubeziehen. D.h. es können bis zu 27 Aufsichtsbehörden betroffen sein.

Nach den Vorgaben des Gesetzgebers sollen in solchen grenzüberschreitenden Fällen die federführende und die betroffenen Aufsichtsbehörden mit dem Ziel einer einheitlichen Bewertung des Sachverhalts zusammenarbeiten.

Wenn sich jedoch unterschiedliche rechtliche Bewertungen der federführenden und der betroffenen Aufsichtsbehörden nicht ausräumen lassen, wird mit dem sog. Kohärenzverfahren ein recht komplizierter Abstimmungsprozess vor dem Europäischen Datenschutzausschuss in Gang gesetzt. Das ist ein Gremium der Europäischen Union, in dem die Leiter aller europäischen Aufsichtsbehörden vertreten sind. In diesem Kohärenzverfahren entscheidet der Europäische Datenschutzausschuss die Sach- und Rechtslage verbindlich und endgültig. Lediglich dem EuGH steht es dann noch zu, diese Entscheidung aufzuheben.

Abgesehen von dem geschilderten Streitbeilegungsverfahren hat der Europäische Datenschutzausschuss aber auch noch zahlreiche weitere Befugnisse, die der Sicherstellung der einheitlichen Anwendung der DSGVO in den Mitgliedstaaten dienen. So kann er u.a. allgemeine Leitlinien und Empfehlungen zur Anwendung der Verordnung bereitstellen und damit das Ziel eines einheitlichen Datenschutzes in der EU fördern.

Im Ergebnis führt die Bindung der nationalen Aufsichtsbehörden an die Entscheidungen des Europäischen Datenschutzausschusses zwar wieder zu einer Einschränkung der Unabhängigkeit der einzelnen Behörden. Vor dem Hintergrund der Sicherstellung einer einheitlichen Rechtsanwendung innerhalb der Europäischen Union erscheint dieser Autonomieverlust indes verschmerzbar.

6. Befugnisse der Aufsichtsbehörden/Sanktionsmöglichkeiten

Da es die Aufgabe der nationalen Aufsichtsbehörden ist, einen Beitrag zur einheitlichen Anwendung der DSGVO innerhalb der Union zu leisten, stehen ihnen auch vielfältige Möglichkeiten zu, Verstöße gegen die DSGVO aufzuklären und zu sanktionieren.

Ich möchte jetzt nur kurz auf die in der DSGVO als sog. Abhilfebefugnisse bezeichneten Maßnahmen eingehen, da diese die datenverarbeitenden Stellen am stärksten belasten und die Gerichte am ehesten betreffen:

Die verschiedenen Sanktionsstufen gegenüber den Datenverarbeitern reichen von der Warnung, dass eine beabsichtigte Verarbeitung gegen das Datenschutzrecht verstößt, bis hin zur Untersagung einer Datenverarbeitung.

Ein Novum in Deutschland ist, dass die Aufsichtsbehörden nicht nur gegenüber privatrechtlichen Datenverarbeitern, sondern auch gegenüber öffentlichen Stellen Anordnungen in Form von Verwaltungsakten erlassen können. Bislang konnten hier nur Beanstandungen ausgesprochen werden, die gegenüber den Adressaten jedoch keine Verpflichtung zur Befolgung enthielten.
——————–
Zusätzlich oder anstelle der geschilderten verwaltungsrechtlichen Maßnahmen sieht die DSGVO vor, dass die Aufsichtsbehörden auch Geldbußen bei Verstößen gegen datenschutzrechtliche Bestimmungen verhängen dürfen. Dabei ist der Bußgeldrahmen deutlich erhöht worden. Während bisher die maximale Bußgeldhöhe 300.000 Euro betrug, können nunmehr bei schweren Datenschutzverstößen Bußgelder von bis zu 20 Mio. Euro bzw. 4 % des weltweiten Jahresumsatzes eines Unternehmens verhängt werden, je nachdem welcher Betrag höher ist. Das Bußgeldregime der DSGVO orientiert sich in diesem Zusammenhang an den Regelungen des europäischen Kartellrechts, wo zur unmittelbaren Gewinnabschöpfung bereits seit langem Bußgelder gegen Unternehmen auf der Basis ihres Umsatzes festgesetzt werden. Dies soll nun auch im Datenschutzrecht gelten, damit es den Unternehmen gerade nicht mehr lukrativ erscheinen soll, Datenschutzverstöße bewusst einzukalkulieren.

Gegenüber Behörden ist die Verhängung von Bußgeldern in Deutschland aber weitgehend ausgeschlossen worden.

7. Rechtsschutzmöglichkeiten

Die Datenschutzaufsichtsbehörden bieten auf der einen Seite Rechtsschutzmöglichkeiten für die betroffenen Personen, auf der anderen Seite besteht natürlich auch Rechtsschutz gegen Maßnahmen der Aufsichtsbehörden.

a) Rechtsschutz durch die Aufsichtsbehörde

Die von einer Datenverarbeitung betroffenen Personen können ihre Rechte – neben zivilrechtlichen Ansprüchen, die ich hier außen vor lassen möchte – unter Einbindung der Aufsichtsbehörden geltend machen und damit auch Sanktionen gegenüber den Datenverarbeitern durchsetzen.

Betroffene Personen haben – wie auch bisher schon – ein Beschwerderecht bei der Aufsichtsbehörde, wenn sie der Ansicht sind, in ihren Rechten verletzt zu sein. Während sie aber bislang diese Beschwerde immer bei der Behörde am Sitz des Unternehmens einreichen mussten, steht es ihnen nunmehr frei, an welche Aufsichtsbehörde sie sich wenden. Dies ist insbesondere dann von Vorteil, wenn ein mutmaßlicher Verstoß durch ein Unternehmen erfolgt, das in einem anderen Mitgliedstaat ansässig ist. Die betroffene Person muss sich dann nicht in einer ihr möglicherweise fremden Sprache an die dortige Aufsichtsbehörde wenden, sondern kann ihre Beschwerde bei „ihrer“ innerstaatlichen Aufsichtsbehörde vorbringen.

Den Betroffenen steht nunmehr auch ausdrücklich gerichtlicher Rechtsschutz gegenüber den Aufsichtsbehörden vor, wenn sich die Aufsichtsbehörde überhaupt nicht oder nicht innerhalb von drei Monaten mit einer Beschwerde befasst.

Letzteres ist neu, denn bislang wurden die Aufsichtsbehörden eher als eine Petitionsstelle für die Betroffenen angesehen, mit der Folge, dass diese in der Regel keinen Anspruch auf ein Tätigwerden der Behörde hatten.

b) Rechtsschutz gegen Entscheidungen der Aufsichtsbehörde

Natürlich hat auch jede natürliche oder juristische Person, gegen die eine Aufsichtsbehörde einen Bußgeldbescheid oder einen Verwaltungsakt erlassen hat, die Möglichkeit, hiergegen gerichtlich vorgehen.

Soweit es sich nicht um Bußgeldverfahren handelt, ist gegen Maßnahmen der Aufsichtsbehörden der Verwaltungsrechtsweg gegeben.

Beruht eine im Rahmen eines Rechtsstreits angegriffene Maßnahme einer Aufsichtsbehörde auf einer bindenden Entscheidung des Europäischen Datenschutzausschusses, hat das angerufene nationale Gericht jedoch nicht die Befugnis, diesen Beschluss des Ausschusses aufzuheben. Vielmehr muss das nationale Gericht, wenn es den Beschluss für nichtig hält, diese Angelegenheit dem EuGH vorlegen.

Schließlich verpflichtet die DSGVO die nationalen Gerichte auch dazu, sich mit Gerichten anderer Mitgliedstaaten in Kontakt zu setzen, wenn sie davon Kenntnis erlangen bzw. Anlass zu der Vermutung haben, dass bei einem dortigen Gericht ein Verfahren zu demselben Gegenstand in Bezug auf die Verarbeitung durch denselben Verantwortlichen anhängig ist. Das später angerufene Gericht kann das Verfahren aussetzen oder sich zugunsten des zuerst angerufenen Gerichts für unzuständig erklären.

7. Ausblick

Ob die umfangreichen neue Befugnisse der Aufsichtsbehörden und die Instrumentarien zur Kooperation tatsächlich dazu führen werden, dass die DSGVO künftig europaweit einheitlich ausgelegt werden wird, wird sich erst in den nächsten Jahren zeigen.

Insbesondere muss man abwarten, wie sich angesichts der zahlreichen nationalen Regelungsbefugnisse eine einheitliche Auslegung der DSGVO herausbilden wird. Hier werden die Aufsichtsbehörden und v.a. die Gerichte die zahlreichen teilweise sehr abstrakt formulierten Regelungen der DSGVO auslegen und präzisieren müssen. Durch die Vorlagemöglichkeit beim EuGH wird aber besonders diesem Gericht eine wichtige rechtsvereinheitlichende Funktion zukommen.

Insgesamt aber bin ich optimistisch, dass – nicht zuletzt aufgrund der abschreckenden Sanktionsmechanismen der DSGVO – das erhoffte Ziel eines hohen Datenschutzniveaus innerhalb Europas erreicht werden kann. Und dies auch mit Blick auf die großen Player wie Facebook und Co, die ja auch den europäischen Markt beherrschen und sich nunmehr auch an das europäische Recht halten müssen.

Und es sieht so aus, als ob das europäische Datenschutzrecht auch in anderen Teilen der Welt als Vorbild dient. Dies zeigt sich gerade in dem US-Bundesstaat Kalifornien, in dem jüngst ein Datenschutzgesetz verabschiedet wurde, welches sich die europäischen Datenschutzregelungen eindeutig zum Vorbild nimmt.

Relazione francese Dubois-Verdier – Saarbrücken – 5/10/2018

Liebe Kolleginnen und Kollegen,
Cari colleghe e colleghi,
Chers collègues !
« L’informatique doit être au service de chaque citoyen. (…) Elle ne doit porter atteinte ni à l’identité humaine, ni aux droits de l’homme, ni à la vie privée, ni aux libertés individuelles ou publiques ». Ces mots figurent à l’article 1er de la loi du 6 janvier 1978, dite loi « informatique et libertés ». Comme le notait Jean Marc Sauvé, vice-président du Conseil d’Etat français jusqu’en mai dernier, il apparaît qu’en France, dès 1978, le législateur français s’est préoccupé des risques que l’informatique peut faire peser sur les libertés fondamentales et, notamment, sur le respect de la vie privée.
Aujourd’hui, en 2018, les données du problème sont bouleversées. En effet, avec l’essor d’Internet et des plateformes numériques, les données personnelles sont devenues la matière première de l’activité des géants du Web, (=GOOGLE, Apple, Facebook et Amazone), et des réseaux sociaux. D’une part, il faut essayer de faciliter cette circulation d’information par ces réseaux, sans y mettre des entraves excessives, mais d’autre part il faut maintenir l’objectif de préserver les libertés des citoyens, « dont les données peuvent être erronées, collectées et conservées de manière injustifiée ou disproportionnée et, de surcroît, sont susceptibles de révéler, sur chaque personne, des habitudes, des préférences ou des opinions ». Telle est la dialectique du Règlement européen qui vient d’entrer en vigueur le 25 mai 2018 : Assurer la libre circulation de l’information, préserver les libertés des citoyens, notamment par le contrôle du juge administratif. A cet effet, le rôle du juge en général, et du juge administratif en particulier, qui entend maintenir en France sa place en tant que protecteur des libertés, est essentiel.
Mon intervention se déroulera en 4 points :
I HISTORIQUE : de 1978 à 2018
II ENTREE EN VIGUEUR DU RGPD (REGLEMENT EUROPEEN 2016-679 DU 27 AVRIL 2016, SUR LA PROTECTION DES PERSONNES PHYSIQUES A L’EGARD DU TRAITEMENT DES DONNEES)
III INCIDENCES DU RGPD SUR LE DROIT ADMINISTRATIF ET LE JUGE ADMINISTRATIF
IV JURISPRUDENCE

I HISTORIQUE : de 1978 à 2018
C’est avec la loi du 6 janvier 1978, qu’a été adoptée, en France, la première norme de droit français sur la protection des données (sous la présidence de M. Giscard d’Estaing, européen fervent). Le législateur de 1978 avait alors bien perçu la nécessité de réguler le traitement des données personnelles, en particulier par les organes de l’Etat et les personnes publiques en général, qui étaient alors perçues comme la source principale de danger. Et parmi les autorités qui suscitaient la méfiance du législateur, il y avait non seulement l’administration, mais aussi le juge, puisque l’article 2 de la loi de 1978, dans sa version initiale, disait : « Aucune décision de justice impliquant une appréciation sur un comportement humain ne peut avoir pour fondement un traitement automatisé d’information donnant une définition du profil ou de la personnalité de l’intéressé… ».
La grande nouveauté de la loi du 6 janvier 1978 a été la création d’une « COMMISSION NATIONALE DE L’INFORMATIQUE ET DES LIBERTES, qu’on appelle en français, par abréviation, CNIL, dotée de véritables pouvoirs de décision, la loi attribuant notamment à la commission un pouvoir normatif (pouvoir réglementaire).
La loi de 1978 a défini la CNIL, comme une AUTORITE ADMINISTRATIVE INDEPENDANTE. Il y a là un concept d’origine américaine (authority) ou peut être scandinave, mais il faut remarquer que dans les pays anglo-saxons, on soit réticent à qualifier ces organes comme « administratifs » .
En tout état de cause, en France, la CNIL a été qualifiée comme une autorité « administrative », mais à laquelle le législateur s’est efforcé de donner une composition destinée à garantir son indépendance :
Le législateur a donc opté pour une composition mixte, avec des parlementaires, des juges des 2 cours suprêmes administratives et judiciaires (Conseil d’Etat et Cour de cassation), des membres ès qualité nommés par le gouvernement… Le président de la commission est nommé par le président de la République. Le mandat des membres est de 5 ans. Cette composition est supposée assurer son indépendance, mais des critiques sont régulièrement émises à ce sujet .
Le fait que la CNIL (commission nationale Informatique et Libertés) ait été définie par la loi de 1978 comme une autorité administrative indépendante a une conséquence importante pour notre thème : Les diverses décisions que cet organisme prend vont être soumises au contrôle du juge administratif. Et dès les années qui suivent l’adoption de la loi de 1978, on trouve des décisions du Conseil d’Etat, qui annulent des décisions de la CNIL. Le Conseil d’Etat a donc affirmé son contrôle sur les décisions de cet organisme.
Bien entendu, la protection des données dans les années 1970 n’était pas une préoccupation exclusivement française. Elles se sont manifestées dans tous les pays européens, (pour me limiter au vieux continent) .
L’Allemagne semble avoir été, avec la loi fédérale de 1977, le premier pays à adopter un texte sur la protection des données personnelles. L’Italie a suivi le mouvement à son tour, notamment lorsqu’a été adoptée la loi du 31 décembre 1996 .
Avec l’apparition et le développement d’Internet est progressivement apparue la nécessité de réguler la matière au niveau européen.
D’abord, a été adoptée la directive 95/46/CE du 24 octobre 1995 sur la protection des données personnelles (Richtlinie 95/46/EG des Europäischen Parlaments und des Rates vom 24. Oktober 1995 zum Schutz natürlicher Personen bei der Verarbeitung personenbezogener Daten und zum freien Datenverkehr) (Direttiva 95/46/CE del Parlamento europeo e del Consiglio, del 24 ottobre 1995, relativa alla tutela delle persone fisiche con riguardo al trattamento dei dati personali, nonché alla libera circolazione di tali dati).
En France, la directive du 24 octobre 1995 a été transposée relativement tard, par une loi du 6 août 2004, relative à la protection des personnes physiques.
Toutefois, le risque d’un manque d’harmonie entre les différents pays européens a imposé en 2016, l’adoption, non plus d’une directive, texte qui se limite à fixer des objectifs aux Etats membres, mais d’un règlement européen qui s’applique, à la différence d’une directive, directement et totalement dans les Etats membres. Il s’agit du règlement qui est l’objet de notre étude :
Le REGLEMENT EUROPEEN 2016-679 DU 27 AVRIL 2016, sur la protection des personnes physiques a l’égard du traitement des données à caractère personnel et à la libre circulation de ces données , abrogeant la directive 95/46/ce . Ce règlement est appelé en français, par abréviation, RGPD et je l’appellerai ainsi au cours de mon intervention.

II ENTREE EN VIGUEUR DU REGLEMENT EUROPEEN
Et c’est bien l’entrée en vigueur de ce règlement, le RGPD donc, qui pose problème.
D’abord, parce que c’est un texte long et touffu, (rien que dans l’introduction, il y a 173 considérants), complexe et technique, particulièrement difficile à aborder par les entreprises et les administrations, pour ne rien dire du juge !
Mais ce sont surtout les conditions de l’entrée en vigueur d’un règlement, adopté en 2015 après 4 années d’âpres négociations, qui posent une difficulté pour traiter notre sujet.
Première remarque, l’article 99 du règlement (Entrée en vigueur et application) dit que : « 1. Le présent règlement entre en vigueur le vingtième jour suivant celui de sa publication au Journal officiel de l’Union européenne. / 2. Il est applicable à partir du 25 mai 2018 » . 25 mai 2018, cela veut dire que si nous examinons les questions posées par l’application de ce règlement devant le juge administratif français, beaucoup de ces questions restent ouvertes ou relèvent même de la prospective juridique.
2ème remarque, comme il a déjà été dit, un règlement adopté par le Conseil et le Parlement européens, est d’application directe et s’impose en principe aux États membres à compter du 25 mai 2018. Il ne devrait donc pas être nécessaire, en théorie, de le transposer dans les législations nationales, comme on le fait pour une directive.
En fait, le RGPD contient deux catégories de dispositions : certaines se substituent complètement aux règles des Etats membres, par exemple en accordant directement des garanties aux personnes dont les droits ont été violés par un système de traitement des données . Mais sur d’autres points, le règlement est un peu comme une directive, il laisse aux Etats membres la possibilité de conférer des droits aux personnes ou d’imposer des obligations ou de prévoir des procédures dans le cadre national, en complétant ainsi le RGPD. C’est ce que l’on appelle les « marges de manœuvre nationales » laissées aux Etats membres.
Il en résulte qu’en France, la loi Informatique et libertés de 1978 reste en vigueur et est supposée compléter le RGPD : Mais une loi nouvelle a dû tout de même être adoptée par le parlement français pour modifier la loi de 1978 et la mettre, en principe, en conformité avec le règlement européen, le RGPD : Il s’agit de la loi n° 2018-493 du 20 juin 2018, promulguée le 21 juin 2018, dite loi CNIL 3, qui vient donc d’une part rapprocher la loi française de la lettre du RGPD et d’autre part, exercer certaines « marges de manœuvre nationales ».
Toutefois, la complexité résultant de la combinaison du règlement européen et de la loi nationale n’a pas été, loin de là, complètement réglée avec la modification de la loi de 1978 par la loi du 20 juin 2018, tant et si bien qu’une ordonnance du gouvernement de réécriture complète de la loi de 1978 (Informatique et Libertés) est prévue dans un délai de six mois, ce qui veut dire que cette ordonnance interviendra en décembre prochain, afin de résoudre les difficultés de lisibilité de ce cadre juridique composite !
Nous sommes ainsi, en France, dans une situation où, en cas de conflit entre la loi nationale et le règlement européen, le juge appliquera normalement la loi interne, soit la loi de 1978 modifiée par la loi du 20 juin 2018, qui joue ainsi le rôle d’une « loi-écran » entre le droit européen et la réglementation française. Toutefois, les requérants ou les requérantes peuvent toujours soulever la contrariété de cette loi par rapport au règlement européen, le RGPD, ce qui déclenchera la procédure de contrôle de la conformité de la loi en cause par rapport au règlement européen, selon la procédure française dite de contrôle de conventionalité initiée par la jurisprudence du Conseil d’Etat Nicolo avec une éventuelle question préjudicielle posée à la Cour de justice de l’Union européenne sur l’interprétation du RGPD.
De plus, le droit national a dû être complété par un nouveau décret d’application de la loi Informatique et Libertés pour achever la mise en conformité du droit national au cadre juridique européen. Ce décret est intervenu le 1er août 2018.
Enfin, il y a eu une décision du Conseil constitutionnel français n° 2018-765 DC du 12 juin 2018. Dans le cadre du contrôle de constitutionnalité a priori, des sénateurs ont déféré au Conseil constitutionnel la loi du 20 juin 2018, en dénonçant son inintelligibilité et en soutenant que le texte méconnaissait l’objectif de valeur constitutionnelle d’accessibilité et d’intelligibilité de la loi compte tenu des divergences entre les dispositions de la loi du 6 janvier 1978, telle que modifiée, et le règlement européen du 27 avril 2016. Selon eux, cette absence de lisibilité serait de nature à « induire gravement en erreur » les citoyens quant à la portée de leurs droits et obligations en matière de protection des données personnelles. Le conseil constitutionnel a écarté cet argument et validé dans ses grandes lignes la loi.
Le juge administratif français va avoir un travail considérable pour interpréter l’ensemble de ces textes !
III LES INCIDENCES DU RGPD SUR LE DROIT ADMINISTRATIF ET LA JURIDICTION ADMINISTRATIVE EN FRANCE
Elles sont multiples et il ne saurait être question ici de les analyser toutes.
J’évoquerai successivement : 1° les incidences sur l’activité de la CNIL, 2°les incidences sur les recours devant le juge administratif, 3° les incidences sur l’activité du juge.
1° Les incidences sur l’activité de la CNIL (commission nationale informatique et libertés)
Le RGPD s’est efforcé de redéfinir le rôle des autorités de protection des données des pays membres. Dans son article 4, au paragraphe 21, le RGPD parle en effet d’une «autorité de contrôle», autorité publique indépendante instituée par un État membre, qui est concernée par le traitement de données à caractère personnel.
Tout naturellement la loi française du 20 juin 2018, modifiant la loi du 6 janvier 1978, désigne la CNIL comme l’autorité de contrôle nationale au sens et pour l’application du règlement (UE) 2016/679 du Parlement européen et du Conseil du 27 avril 2016.
L’adoption du RGPD entraîne une redéfinition et même un élargissement des pouvoirs de la CNIL (commission nationale de l’informatique et des libertés) par la loi du 20 juin 2018. Sur ce point, je me limiterai à mettre en évidence deux aspects de cette évolution des pouvoirs de la CNIL :
Premier aspect de l’évolution des pouvoirs de la CNIL : alors que le système juridique français privilégiait le contrôle a priori des traitements de données personnelles, le choix européen va au contraire dans le sens d’un contrôle a posteriori pour favoriser une libéralisation de l’espace communautaire. Ainsi et à part les cas où le droit des États membres peut maintenir des autorisations pour certaines catégories de données ou de traitements (par exemple en matière de santé), la plupart des obligations déclaratives et des autorisations préalables que délivrait la CNIL sont supprimées .
Deuxième aspect de l’évolution des pouvoirs de la CNIL : Le RGPD et la loi donnent aux autorités de protection et donc en France à la CNIL, des pouvoirs de sanction et notamment celui de prononcer des amendes administratives très importantes. L’article 83 du RGPD prévoit de façon assez précise les conditions relatives à ces amendes. En cas de violation du règlement, ces amendes seraient susceptibles désormais, selon le règlement, d’atteindre, selon la catégorie du manquement, 10 à 20 millions d’euros ou, dans le cas d’une entreprise, 2% à 4% du chiffre d’affaires annuel mondial, le montant le plus élevé étant retenu. Les États membres peuvent même prévoir ou non dans leur législation des amendes à infliger aux autorités et organismes publics. Mais la détermination de ces sanctions est laissée par le règlement à l’appréciation des Etats (c’est un exemple de « marge de manœuvre nationale »). Par exemple, la CNIL a infligé en juin 2018 une amende record de 250.000 euros à la chaîne de magasins d’optique Optical Center, pour une atteinte à la sécurité des données de ses clients. C’est la première fois que la CNIL (Commission nationale de l’informatique et des libertés) impose une amende aussi forte . Mais on demeure pour l’instant loin du niveau des amendes de plusieurs millions d’euros prévues par le RGPD.
Accroissement des compétences de la CNIL, pouvoir d’infliger des sanctions administratives et des amendes d’un montant élevé, tout cela pourrait être la source d’un accroissement du contentieux devant les juridictions administratives.
2° Les incidences sur les recours devant le juge administratif :
Quelles vont être les conséquences de l’entrée en vigueur du RGPD sur les recours devant les juridictions administratives ?
a) sur les voies de recours :
Dans son chapitre VIII, en ses articles 77 à 82, le RGPD contient des dispositions sur les voies de recours. Dans ces articles, le RGPD prévoit que le droit à un recours juridictionnel doit être effectif.
En ce qui concerne les recours juridictionnels, le règlement distingue les recours juridictionnels contre une autorité de contrôle et les recours juridictionnels contre un responsable du traitement ou un sous-traitant.

-En ce qui concerne le droit à un recours juridictionnel effectif contre une autorité de contrôle, le système existant actuellement en France est le suivant : En matière de protection des données, il y a, comme on l’a déjà dit, une autorité administrative indépendante, qui est la CNIL. Cette autorité est nationale, qui a son siège à Paris. Le juge administratif normalement compétent à l’égard des décisions et actions de la CNIL est le CONSEIL D’ETAT, juridiction administrative suprême, ou pour reprendre l’expression usitée, « juge ultime de l’administration ». C’est ce que prévoit le code de justice administrative, qui dit en son article R.311-1 que le Conseil d’Etat est compétent pour connaître en premier et dernier ressort (c’est-à-dire que dans ce cas, il n’y a pas plusieurs degrés de juridiction) : « 4° Des recours dirigés contre les décisions prises par les organes des autorités suivantes, au titre de leur mission de contrôle ou de régulation : la Commission nationale de l’informatique et des libertés » (CNIL). On a donc en France, du fait de l’activité de la CNIL, un contentieux centralisé devant le Conseil d’Etat, qui contrôle l’action de la CNIL, autorité unique nationale.
Ces voies de recours qui ont pour effet de confier au Conseil d’Etat le contrôle sur les activités et décisions de la CNIL paraissent a priori répondre aux exigences de droit à un recours juridictionnel effectif du règlement européen. Notamment, il faut noter que les décisions prises par la CNIL peuvent, comme toutes les autres décisions prises par des autorités administratives, faire l’objet des procédures de référé, référé suspension et référé liberté, prévues aux articles L.521-1 et L. 521-2 du code de justice administrative français
– En ce qui concerne le droit à un recours juridictionnel effectif contre un responsable du traitement ou un sous-traitant, lorsqu’une personne estime que ses droits ont été violés du fait d’un traitement de ses données à caractère personnel par une personne privée ou publique, l’entrée en vigueur du RGPD a imposé des modifications de la loi française.
D’abord, il faut mentionner l’introduction d’une procédure très particulière qui est destinée à permettre à la CNIL de demander au Conseil d’Etat la suspension d’un transfert de données personnelles vers un pays tiers ou à une organisation internationale. L’article 45 du RGPD prévoit en effet en cas de transfert de données à caractère personnel une décision de la Commission européenne, qui constate que le pays tiers ou l’organisation internationale assure un niveau de protection adéquat. Dès lors, la loi française du 20 juin 2018 est venue conférer la possibilité à la CNIL, la Commission nationale de l’informatique et des libertés donc, lorsqu’elle est saisie d’une réclamation par une personne intéressée qui estime que ses droits et libertés sont violés par un transfert de données, de demander au Conseil d’Etat d’ordonner la suspension de ce transfert. La compétence du Conseil d’Etat est justifiée ici par le fait que la légalité d’une décision de la commission européenne est en jeu. La particularité de la procédure ainsi organisée est que la loi prévoit l’obligation pour la CNIL, lorsqu’elle introduit ce recours, de demander au Conseil d’Etat de poser une question préjudicielle à la Cour de justice de l’Union européenne en vue d’apprécier la validité de la décision de la Commission européenne prise sur le fondement de l’article 45 du RGPD. Il y a là l’introduction d’une voie de recours tout à fait particulière dans le droit français, dont le champ d’application est large, que le transfert de données soit le fait d’une personne publique ou privée.
Ensuite, il faut mentionner l’adoption, dans la récente loi du 20 juin 2018, d’une disposition (article 46 IV de la loi du 6 janvier 1978 modifiée), selon laquelle « le président de la CNIL peut demander, par la voie du référé, à la juridiction judiciaire ou administrative, d’ordonner, le cas échéant sous astreinte, toute mesure nécessaire à la sauvegarde de ces droits et libertés ». Avec ces dispositions, le président de la CNIL est consacré, devant les juridictions judiciaires et administratives comme un requérant privilégié, dont l’intérêt à agir devant les juridictions administratives ou judiciaires est directement consacré par la loi. Ainsi, le président de la CNIL va pouvoir exercer les recours de référé prévus devant le juge judiciaire ou le juge administratif.
Pour ce qui concerne le juge administratif, à vrai dire, dès 2005, soit dès après l’introduction de la directive de la directive de 2004, il avait été introduit une modification en ce sens du code de justice administrative . Mais avec un article R.555-1 , introduit dans le code de justice administrative le 1er août 2018, c’est bien l’application du RGPD qui est désormais visée, en application de la loi du 20 juin 2018. Le type d’action engagé par le président de la CNIL devant le juge administratif contre une personne publique « coupable » d’une violation dans le traitement des données qui mettrait en péril gravement une liberté fondamentale, peut être porté devant n’importe quelle juridiction administrative française, en fonction du siège de l’autorité publique qui méconnaitrait les dispositions du RGPD et de la loi. Le code de justice administrative précise que dans ce cas, l’action du président de la CNIL doit être engagée sur le fondement de l’article L 521-2 du code de justice administrative. Il faut rappeler que c’est une procédure d’extrême urgence (le juge doit statuer dans les 48 heures), permettant au juge d’ordonner toutes mesures nécessaires à la sauvegarde d’une liberté fondamentale à laquelle une autorité administrative aurait porté une atteinte grave et manifestement illégale.
En ce qui concerne l’application de l’article R.555-1 du code de justice administrative, je vois pour la jurisprudence future du Conseil d’Etat une belle question à trancher du fait de la combinaison de la loi de 2018 avec l’article L 521-2 du même code : En cas de saisine d’une juridiction administrative dans le cadre d’un référé liberté par le président de la CNIL, est ce que c’est la condition d’une urgence simple qui s’applique, ce qui pourrait résulter de la loi du 20 juin 2018, ou la condition d’extrême urgence telle qu’elle est prévue par la procédure du référé-liberté… ?
Ajoutons qu’une autre disposition du code de justice administrative prévoit, depuis 2005, une procédure semblable en ce qui concerne un autre référé possible devant la juridiction administrative, dit référé mesures utiles (L.521-3 du code de justice administrative). Toute personne peut demander au juge administratif des référés de prononcer « toutes mesures utiles de nature à éviter toute dissimulation ou toute disparition de données à caractère personnel par l’Etat, une collectivité territoriale ou toute autre personne publique ».

b) sur l’action de groupe :
Des questions relatives à l’intérêt ou la qualité pour agir se posent en ce qui concerne l’application de l’article 80 du RGPD :
– L’article 80 du RGPD confère en effet directement à la personne dont les droits ont été violés le droit de « mandater un organisme, une organisation ou une association à but non lucratif, …, dont les objectifs statutaires sont d’intérêt public et est actif dans le domaine de la protection des droits et libertés des personnes concernées dans le cadre de la protection des données à caractère personnel les concernant, pour introduire une réclamation en son nom, exerce en son nom les droits visés aux articles 77, 78 et 79 et exerce en son nom le droit d’obtenir réparation visé à l’article 82 lorsque le droit d’un État membre le prévoit ». Observons que qu’il s’agit là d’un droit directement conféré à la personne, et qui est donc directement applicable en droit interne français. Pour la France, il concerne spécialement les recours en responsabilité, ou les recours de pleine juridiction. Rappelons que la juridiction administrative française ne juge pas les seuls recours en annulation d’une décision administrative, mais qu’une part très importante de son activité est consacrée à l’examen des recours en responsabilité contre les personnes publiques.
L’article 80 du RGPD consacre l’abandon d’un principe fondamental qu’on appliquait traditionnellement devant la juridiction administrative française, qui disait : « Nul ne plaide par procureur » « nemo petit ab accusatore ». La jurisprudence traditionnelle qui interdit à un groupement, par exemple un syndicat ou une association, d’introduire directement un recours au lieu et place de la personne lésée n’est ainsi, dans la matière de la protection des données à caractère personnel, plus valable, du moins pour les recours tendant à engager la responsabilité des personnes publiques, Etat, communes, etc…
Les commentateurs estiment qu’ainsi, le RGPD prévoit une action de groupe. On vise ainsi une procédure de poursuite collective qui permet par exemple à des consommateurs, victimes d’un même préjudice de la part d’un professionnel, de se regrouper et d’agir en justice. Les plaignants peuvent par exemple se défendre avec un seul dossier et un seul avocat. Précisons que ces actions de groue peuvent donner au lieu à des actions devant l’ensemble des juridictions administratives.
En fait, l’action de groupe a été introduite en France dès 2014, dans le domaine de la consommation , et elle a fait l’objet d’une loi n° 2016-1547 du 18 novembre 2016, dite de modernisation de la justice du XXIe siècle, qui a créé un cadre légal commun aux actions de groupe en matière judiciaire et administrative et qui vient modifier profondément, voire bouleverser, les règles traditionnelles, notamment en matière d’intérêt et de qualité pour agir.
Cette loi de 2016, qui a entrainé une modification du code de justice administrative, a été adoptée après l’édiction du RGPD, mais avant son entrée en vigueur, ce qui fait que le code de justice administrative a défini, sur la base de la loi de 2016, avec un grand luxe de détails, la portée des actions de groupe en général et aussi en particulier des actions ouvertes sur le fondement de la loi n° 78-17 du 6 janvier 1978 relative à l’informatique, aux fichiers et aux libertés (article 43 ter).
L’action de groupe prend deux formes : elle peut être exercée en vue soit de l’engagement de la responsabilité de la personne ayant causé le dommage afin d’obtenir la réparation des préjudices subis, soit de la cessation du manquement mentionné au premier alinéa, soit les deux en même temps. Selon le code de justice administrative modifié, lorsque l’action de groupe tend à la cessation d’un manquement, le juge, s’il constate l’existence de ce manquement, dispose d’un pouvoir d’injonction au défendeur de cesser ou de faire cesser ledit manquement et de prendre, dans un délai qu’il fixe, toutes les mesures utiles à cette fin.
Cependant, pour tenir compte du RGPD, la loi du 18 novembre 2016 a dû être modifiée par la loi du 20 juin 2018, avec l’objectif en particulier de préciser les conditions d’application du code de justice administrative relative aux actions de groupe en matière de manquement par une personne publique aux dispositions du RGPD.
L’idée principale à retenir est que l’action de groupe est limitée aux :
1° Les associations régulièrement déclarées depuis cinq ans au moins ayant pour objet statutaire la protection de la vie privée et la protection des données à caractère personnel ;
2° Les associations de défense des consommateurs représentatives au niveau national et agréées,
3° Les organisations syndicales de salariés ou de fonctionnaires représentatives ou les syndicats représentatifs de magistrats de l’ordre judiciaire, lorsque le traitement affecte les intérêts des personnes que les statuts de ces organisations les chargent de défendre.
– L’article 81 du RGPD introduit une sorte de sursis à statuer pour les juridictions européennes au cas où une action contre le même responsable du traitement ou le même sous-traitant est pendante devant la juridiction d’un autre Etat membre, toute juridiction compétente autre que la première juridiction saisie en premier lieu peut « suspendre son action », c’est-à-dire surseoir à statuer. Il y a là, selon le règlement, une possibilité et non une obligation.
Par ailleurs, le RGPD contient, en son article 82, des dispositions spécifiques aux recours en responsabilité : Il confère à toute personne ayant subi un dommage matériel ou moral du fait d’une violation du présent règlement le droit d’obtenir du responsable du traitement ou du sous-traitant réparation du préjudice subi. A vrai dire, et sous réserve de règles relatives à la solidarité et à la subrogation entre plusieurs responsables du traitement ou sous-traitants en cas de dommage causé par un traitement, les règles fondamentales en vigueur dans le droit interne français ne paraissent pas substantiellement modifiées, notamment au niveau des règles d’imputabilité.
3° Les incidences sur l’activité du juge :
Enfin, je me bornerai à évoquer que, dans le cadre des « marges de manœuvre nationales », la loi du 20 juin 2018 précise, en son article 10, « qu’aucune décision de justice impliquant une appréciation sur le comportement d’une personne ne peut avoir pour fondement un traitement automatisé de données à caractère personnel destiné à évaluer certains aspects de la personnalité de cette personne ».
Dans cette optique, l’anonymisation des décisions de justice contenues dans les banques de données devant la juridiction administrative française, qui est en pratique depuis quelques années déjà, va dans le sens du RGPD.
IV JURISPRUDENCE
Je n’ai pas trouvé de jurisprudence récente quant aux questions soulevées par l’entrée en vigueur du RGPD et de la loi du 20 juin 2018, à part la décision du conseil constitutionnel n° 2018-765 DC du 12 juin 2018, évoquée plus haut.
Je me limiterai à citer les quelques décisions suivantes :
– Conseil constitutionnel n°2016-536 QPC du 19 février 2016, Ligue des droits de l’Homme, cons. 11 et 14 : A cet égard, si le contexte de l’état d’urgence justifie l’exercice d’un contrôle juridictionnel a posteriori sur des mesures de perquisition administrative, il ne saurait pour autant permettre la saisie de données informatiques, ni leur exploitation, sans l’autorisation préalable d’un juge :
– 9 mars 2018 : la CNIL, en tant que personnalité chargée de s’assurer du contrôle de la liste noire, et donc ici requérante, saisit le tribunal administratif de Paris pour contester la décision du ministre de l’intérieur selon laquelle 4 publications d’Indymedia, qui revendiquaient des incendies commis dans plusieurs villes de France seraient des incitations au terrorisme. (Source site Nextimpact).
– Conseil d’Etat : 3 juin 2013 n° 328634 : le Conseil a décliné sa compétence en premier et dernier ressort pour statuer sur un recours formé contre une décision de la CNIL refusant l’accès aux données d’un fichier à un demandeur par le ministre de l’intérieur. En fait, il ne s’agissait pas d’une véritable décision de la CNIL, qui s’était bornée en l’espèce à notifier une décision du ministre de l’intérieur.
– Conseil d’Etat 7 février 2014 : sur une sanction 150 000 euros prononcée par la CNIL contre Google pour manquement aux règles de protection des données. Pas d’urgence à statuer.
– Conseil d’Etat Ordonnance du 19 février 2008 : premier référé suspension à l’encontre d’une décision de sanction de la CNIL. Le juge des référés rejette la requête d’une demande de suspension de l’exécution d’une décision de la CNIL enjoignant de cesser la mise en œuvre d’un traitement. Le Conseil d’Etat juge que la CNIL est une juridiction au sens de l’article 6-1 de la Convention Européenne des Droits de l’Homme. La CNIL doit donc agir comme un tribunal indépendant et impartial et ses audiences doivent être publiques.
– CONCLUSION
Sujet qui combine la complexité de l’informatique et du droit ! L’impression dominante est la complexité de l’articulation entre le droit national et le droit européen. Le juge national, et dans notre cas, le juge administratif est, bien sûr, chargé de l’application du droit national. Il est aussi chargé, selon le système voulu par les Traités européens, de l’application du droit européen, sous réserve du renvoi à la Cour de justice de l’union européenne, en assurant le cas échéant, la supériorité de ce droit sur les lois et les règlements adoptés au niveau national. Ce système n’est pas simple, mais il fonctionne bien somme toute, sous réserve du délicat problème que peut poser un éventuel conflit pour le juge entre l’application les normes européennes et les normes constitutionnelles de droit interne. En tout cas, dans cette pyramide, le juge administratif tient sa place pour garantir les libertés des citoyens. Mais avec l’entrée en vigueur de ce RGPD, on voit qu’il apparaît nécessaire de faire évoluer la norme européenne dans la matière spéciale de la protection des données. Et dans cette matière, les procédures de contrôle juridictionnel par le juge administratif, qui ces dernières années, ont connu en France, une profonde évolution, essentiellement avec l’introduction dans les années 2000 des procédures de référé suspension et de référé liberté), s’adaptent, aux prix d’une complexité au niveau des normes qui devient toujours plus grande : les dérogations, les exceptions, les procédures particulières se multiplient, au point que l’architecture générale peut devenir difficile à comprendre pour le requérant et pour le praticien lui-même. Est-ce le signe d’une crise du droit ? une crise du contrôle juridictionnel, en particulier du système de dualité de juridictions ? Est-ce un aspect de la crise européenne ? Est-ce simplement une complexité nécessitée par le monde actuel ? Je vous laisse le soin d’y réfléchir

Relazione italiana del prof. avv. Alessandro Dario Cortesi – Saarbrücken – 5/10/2018

I.- La tutela della “privacy”
Il convegno di oggi ha per oggetto la “tutela dei dati personali”; tutela che ha ricevuto nuova attenzione ed impulso a seguito della pubblicazione del Regolamento UE 27 aprile 2016, n. 679.
Un aspetto merita di essere subito chiarito: la tutela dei dati personali è sovente associata a quella della privacy dell’individuo, ma si tratta di due aspetti che devono essere mantenuti distinti e separati.
Il concetto di “privacy”, che viene tradotto in italiano come “privatezza” o “riservatezza” (nella consapevolezza che si tratta di sostantivi che non riescono a rendere l’ampiezza di significato della parola inglese), è di origine anglosassone.
Si tratta di un istituto di fonte tipicamente dottrinale.
I trattati sul diritto alla privacy sono soliti richiamare il (davvero lungimirante) saggio di due giovani avvocati statunitensi, Samuel D. Warren e Louis D. Brandeis, pubblicato il 15 dicembre 1890 sull’Harward Law Review, intitolato appunto “The right to Privacy” , ma si trattò, è ovvio, solo di uno spunto preliminare.
Assai più significativi per il riconoscimento di tale diritto furono gli interventi, di oltre mezzo secolo successivi:
• di William Faulkner, in un’opera intitolata “Privacy” , apparsa negli USA nel 1955, in cui premio Nobel per la letteratura si scagliava con massima veemenza contro il tritacarne mediatico (all’epoca alla spasmodica ricerca dei dettagli della sua vita amorosa);
• e soprattutto di William L. Prosser, in un’opera anch’essa intitolata “Privacy”, apparsa nell’agosto del 1960 sulla California Law Review.
In un curioso rimpallo fra la East Coast e la West Coast degli Stati Uniti, infatti, l’idea iniziale, espressa dai giovani avvocati di Boston, che teorizzavano il “right to be let alone” (ovvero il diritto ad essere lasciati soli per godere della propria intimità, nella determinazione delle proprie scelte di vita, nell’espressione della propria sensibilità, del proprio credo, nella custodia dei propri pensieri ed emozioni), veniva ripresa settanta anni dopo da Prosser, preclaro preside dell’University of California – School of Law di Berkeley, autore di fondamentali monografie sui torts, che così tipizzava le sue possibili violazioni:
a) penetrare in uno spazio chiuso riservato;
b) rivelare in pubblico i fatti privati;
c) mettere qualcuno in cattiva luce;
d) appropriarsi a fini commerciali del nome o dell’immagine di un privato, senza che questi abbia prestato il consenso.
È evidente, quindi, che il diritto alla privacy, nato come baluardo dell’individuo (tutela di livello costituzionale) contro illegittime intromissioni del potere pubblico, si stesse trasformando, nell’interpretazione della dottrina più autorevole, in uno strumento di difesa anche da ingerenze dei privati.
Si trova conferma di tale lettura nella Dichiarazione universale dei diritti dell’uomo, adottata dall’Assemblea Generale delle Nazioni Unite il 10 dicembre 1948, che stabilisce all’art. 12 che “Nessun individuo potrà essere sottoposto ad interferenze arbitrarie [da chiunque perpetrate, quindi – N.d.A.] nella sua vita privata, nella sua famiglia, nella sua casa, nella sua corrispondenza, né a lesioni del suo onore e della sua reputazione. Ogni individuo ha diritto ad essere tutelato dalla legge contro tali interferenze o lesioni”.
Le costituzioni degli Stati europei furono molto più restie nel recepimento delle dottrine anglosassoni, così come le relative giurisprudenze. Soprattutto in Italia, il desiderio di superare le prassi censorie del famigerato Ministero della Cultura Popolare di epoca fascista impedì di riconoscere, expressis verbis, il diritto alla privacy.
La Carta Costituzionale italiana, pubblicata in Gazzetta Ufficiale 27 dicembre 1947, n. 298, sancisce solennemente l’inviolabilità della libertà personale (art. 13), l’inviolabilità del domicilio (art. 14) e di ogni forma di comunicazione (art. 15), la libera manifestazione del pensiero (art. 21), disposizioni che limitano l’intervento pubblico ad ipotesi eccezionali, stabilite dalla legge.
Non viene però esplicitato un diritto del cittadino alla riservatezza e, quanto alla stampa, all’art. 21, secondo comma Cost., si precisa viceversa che essa “non può essere soggetta ad autorizzazioni o censura” .
Una prima esplicitazione del diritto alla riservatezza è rinvenibile, invece, nella Convenzione per la salvaguardia dei diritti dell’uomo e delle libertà fondamentali, firmata a Roma il 4 novembre 1950 e ratificata in Italia con legge 4 agosto 1955, n. 848.
La Convenzione prevede, infatti, all’art. 8 “Diritto al rispetto della vita privata e familiare” che “1. Ogni persona ha diritto al rispetto della sua vita privata e familiare, del suo domicilio e della sua corrispondenza. 2. Non può esservi ingerenza della pubblica autorità nell’esercizio di tale diritto a meno che tale ingerenza sia prevista dalla legge e costituisca una misura che, in una società democratica, è necessaria per la sicurezza nazionale, l’ordine pubblico, il benessere economico del paese, la prevenzione dei reati, la protezione della salute o della morale, o la protezione dei diritti e delle libertà altrui”.
Come si vede, però, ancora a quell’epoca l’attenzione dei giuristi si appuntava principalmente sul diritto alla riservatezza. In Italia, ancora negli anni Cinquanta, la riflessione dottrinale si concentrava sulla tutela delle vittime dell’esposizione mediatica: si avanzavano critiche sull’ingerenza dei media nei casi nostrani Caruso, Petacci, Soraya.
Sono solo le Costituzioni più “giovani” che hanno introdotto delle disposizioni specifiche in materia di privacy.
Si ricordano:
• la Constituição da República Portuguesa del 2 aprile 1976 (cfr. art. 35, più volte novellato);
• la Constitución española del 27 dicembre 1978 (cfr. art. 18, comma 4);
• la Costituzione olandese del 17 febbraio 1983 (cfr. art. 10);
• le Costituzioni dei Länder tedeschi;
• le Costituzioni di molti paesi dell’Europa dell’Est;
• la Costituzione greca (cfr. art. 9A nella sua revisione del 2001).
* * * *
II.- L’emersione nelle Carte dei diritti dell’uomo della distinta tutela dei “dati personali”
Se si procede con un secondo balzo storico, e ci si proietta negli anni Novanta, si registra l’emersione di un secondo approccio, al cui sviluppo le istanze europee hanno contribuito in misura rilevante. Secondo tale visione non vi può essere concreta tutela della vita privata, se non si tutelano anche i dati personali.
Se si esamina ad esempio la Carta dei diritti fondamentali dell’Unione Europea, che in Italia è nota come Carta di Nizza (essendo stata ivi solennemente proclamata il 7 dicembre 2000), si nota che essa non dedica più un solo articolo alla questione, bensì due: il settimo e l’ottavo.
Per inciso, come tutti loro ricorderanno, detta Carta è stata sottoscritta (in versione adattata) a Strasburgo il 12 dicembre 2007 e, ai sensi dell’art. 6 del trattato di Lisbona, ha acquisito il medesimo valore giuridico dei trattati.
Ebbene l’art. 7 della Carta, rubricato “Rispetto della vita privata e familiare” precisa che “Ogni persona ha diritto al rispetto della propria vita privata e familiare, del proprio domicilio e delle proprie comunicazioni”, il che riflette l’approccio anglosassone originario.
Ma il successivo art. 8, rubricato “Rispetto dei dati di carattere personale” specifica invece che “1. Ogni persona ha diritto alla protezione dei dati di carattere personale che la riguardano. 2. Tali dati devono essere trattati secondo il principio di lealtà, per finalità determinate e in base al consenso della persona interessata o un altro fondamento legittimo previsto per legge. Ogni persona ha diritto di accedere ai dati raccolti che la riguardano e di ottenere la rettifica. 3. Il rispetto di tali regole è soggetto al controllo di un’autorità indipendente”.
* * * *
III.- La centralità dei dati nell’era dell’accesso. I c.d. big data.
Non vi è bisogno di spendere troppe parole per illustrare la pervasività della rivoluzione tecnologica che segna in profondità la società in cui viviamo. Praticamente ogni aspetto della nostra vita è toccato dall’informatica. In altre parole, utilizzando un acronimo invalso nella prassi, tutto è ITC, information and communication technology, tecnologia dell’informazione e della comunicazione.
Non si tratta della prima rivoluzione dell’informazione. Gutenberg intorno al 1439 inventò la stampa (risale al 1455 la pubblicazione della Bibbia, primo libro di una certa rilevanza stampato con caratteri mobili a Magonza). Secondo alcuni storici, nei cinquant’anni compresi tra il 1453 ed il 1503, furono stampati circa 8 milioni di libri, più di quelli che avevano prodotto tutti gli emanuensi d’Europa dalla fondazione di Costantinopoli, ovvero 1200 anni prima.
Oggi vengono processati ogni giorno zettabyte di dati (1 ZB= 1021 byte): basti pensare alle fotografie scattate, alle e-mail scambiate, ai post pubblicati sui social network, ma anche ai dati raccolti dai satelliti, alla criptovaluta trasferita ed alle relative trascrizioni su blockchain.
Oggi come allora l’incremento esponenziale della mole di dati trattati e della velocità con cui si producono è cagionata da innovazioni tecnologiche. Non una soltanto, per la precisione: lo sviluppo di elaboratori elettronici sempre più performanti, la precipitazione del costo delle memorie di massa e dei sensori, il collegamento dei computer in rete (ed in primis internet), la telefonia cellulare (gli smartphone), la compressione dei dati, la globalizzazione, sono tutti fattori concorrenti.
Ma decisivi appaiono la digitalizzazione (digitization), ovvero la conversione di un’informazione in formato digitale, e la c.d. datizzazione (datafication), ovvero la trasformazione in dati pienamente manipolabili.
Per comprendere la differenza fra questi due concetti vi propongo l’esempio dei documenti di testo.
L’acquisizione in formato immagine di una pagina di un libro (scansione/scannerizzazione) ha come risultato un file che riproduce il testo. Quel file può essere copiato, spedito, manipolato (nel senso che l’immagine può essere ridotta, ampliata, tagliata ecc.). Il risultato della scansione non è ancora però un file di testo, compiutamente modificabile dall’utente. Chi usufruisce del file non può copiarne dei brani ed incollarli in un altro documento; non può cancellare delle parole e sostituirle con altre o aggiungere delle righe.
Per ottenere questo risultato non basta uno scanner. È necessario utilizzare un programma di riconoscimento ottico dei caratteri, ovvero un software in grado di riconoscere i segni grafici ed interpretarli quali lettere dell’alfabeto (cd. software OCR – Optical Character Recognition).
Il procedimento da ultimo descritto attua la datizzazione.
Con queste tecniche tutto viene trasformato in dati: intere biblioteche, interi cataloghi musicali, collezioni di fotografie e di audiovisivi. Come anticipava il noto sociologo Jeremy Rifkin, questo consente di passare dall’“era della proprietà”, all’“era dell’accesso” e dà l’abbrivio all’economia della condivisione (sharing economy).
È facile preconizzare che su questa strada che non si registreranno marce indietro.
Si diffonderanno sempre più i c.d. wearable devices (ovvero gli elaboratori indossabili), come i vari orologi e attrezzature fitness, che monitorano in tempo reale lo stato di salute dell’individuo. Ogni cosa sarà dotata di sensori e collegata alla rete (c.d. internet of things). Sono già in commercio elettrodomestici che implementano la c.d. domotica. Alcuni giorni fa ho visto in un negozio persino uno spazzolino da denti che si collega alla rete.
Appositi visori (come i Google Glass) permetteranno di sperimentare la c.d. realtà aumentata, ovvero di ottenere in tempo reale una serie di approfondimenti in relazione a quanto stiamo vedendo (ma nel contempo accenderanno miliardi di telecamere in grado di registrare ogni nostro movimento).
Si diffonderanno i visori di realtà virtuale che ci consentiranno di lavorare, relazionarci con gli altri distanti anche migliaia di chilometri, frequentare lezioni, fare la spesa, assistere a funzioni religiose e magari assistere ai convegni della nostra associazione, rimanendo nella nostra abitazione e condividendo immaginifici spazi in grado di appagare al meglio i nostri sensi.
E poi si svilupperanno i veicoli a guida autonoma, i robot umanoidi e così via.
Tutti queste attrezzature potranno funzionare solo processando enormi moli di dati e contribuiranno a crearne altrettante.
Ma se questi aspetti, seppur futuristici, sono intuiti dalla collettività, altri lo sono assai meno.
L’uomo è abituato da sempre ad assumere delle decisioni fondate su di una serie di informazioni limitata. Il pensiero umano razionale prende le mosse dall’osservazione di determinati fenomeni, formula congetture, estrapola dalla variegata realtà dei dati che ritiene rilevanti, eventualmente analizza delle statistiche (possibilmente rappresentative dell’universo) ed infine verifica se le ipotesi iniziali trovino o meno conferma. Laddove le ipotesi iniziali vengano smentite dalla sperimentazione, si cerca di affinarle, in un ciclo continuo che tende a scoprire una nuova legge naturale (sempre ammesso che la natura segua delle leggi e non sia dominata dal caos).
I big data consentono agli elaboratori di procedere diversamente, di assumere delle decisioni processando praticamente tutti i dati, qualsivoglia variabile, nessuna esclusa. Questo modo di procedere già oggi rende più efficiente il medico diagnostico di IBM rispetto ad un dottore in carne ed ossa; già oggi rende alcuni sistemi esperti, utilizzati dagli studi legali, più efficienti di una schiera dei più preparati legali.
Gli elaboratori sono in grado di individuare delle corrispondenze fra fenomeni che l’uomo non aveva finora mai colto (e che solo la capacità di calcolo delle macchine può disvelare). Si sono così evidenziate delle relazioni fra alcuni sintomi e determinate malattie, o fra la somministrazione di determinate molecole e degli esiti medici positivi: corrispondenze (schemi ripetitivi, in inglese pattern) che raggiungono elevatissimi gradi di probabilità (quasi certezze), ma di cui tuttora si ignora completamente la ratio. In altre parole con queste tecniche siamo in grado di curare malattie, senza sapere come sia possibile.
Passando ad argomenti più vicini ai nostri domini di esperienza, anche a Milano si sono messi alla prova degli algoritmi di c.d. polizia predittiva (ad opera della società Keycrime) in grado, una volta processati moltissimi dati relativi ai reati ed ai soggetti che li hanno commessi (11.000 variabili per ogni reato), di prevedere quando e dove si verificheranno nuovi crimini e quindi di sventarli. L’impiego di tali algoritmi ha consentito di abbattere significativamente il numero delle rapine: le forze dell’ordine si fanno trovare puntuali all’appuntamento con il rapinatore, come se avessero ricevuto una soffiata.
E ancora non è tutto. L’intelligenza artificiale, come sappiamo, rappresenta il tentativo di emulare il cervello umano. La nuova frontiera è quella del c.d. machine learning, ovvero del software che autoapprende (id est che si riprogramma in piena autonomia).
Esiste il concreto rischio che determinate funzioni, anche decisive per la sopravvivenza dell’uomo (si pensi alla gestione del triage nel pronto soccorso), vengano demandate a computer, che dimostrano di ottenere risultati di massima efficienza, in ragione di algoritmi che si aggiornano in tempo reale con una velocità tale che non è fisicamente consentito ad un programmatore umano comprenderne il funzionamento. Presto si porrà quindi questo dilemma: sarà meglio affidarci alle macchine, perché anche se non ne comprendiamo fino in fondo le ragioni, ottengono risultati irraggiungibili dalla mente umana, o mantenere la nostra autonomia?
Preferireste essere giudicati da un giudice in carne ed ossa, nella consapevolezza che la sua umanità porta con sé la possibilità che commetta errori, o dalla fredda lucidità ed imparzialità di un giudice computer (secondo esperienze che vengono già condotte ad es. in Cina)?
* * * *
IV.- Le direttive sulla tutela dei dati personali ed il Regolamento europeo.
Dal momento che la circolazione dei dati, a tacer d’altro, è alla base del commercio elettronico, le istituzioni europee si sono rapidamente rese conto della necessità di armonizzare le nascenti discipline nazionali e ciò innanzitutto per creare un maturo mercato unico europeo .
Non possiamo per ragioni di tempo esaminare nel dettaglio le numerose disposizioni che sono state emanate per perseguire tale scopo.
Fra le principali citiamo:
• la direttiva 1995/46/CE del Parlamento europeo e del Consiglio, del 24 ottobre 1995, relativa alla tutela delle persone fisiche con riguardo al trattamento dei dati personali, nonché alla libera circolazione di tali dati (attuata in Italia con legge 31 dicembre 1996 n. 675) e
• la direttiva 2002/58/CE del Parlamento Europeo e del Consiglio del 12 luglio 2002, relativa al trattamento dei dati personali e alla tutela della vita privata nel settore delle comunicazioni elettroniche (recepita in Italia con Decreto delegato legislativo 30 giugno 2003, n. 196, Codice in materia di protezione dei dati personali).
A distanza di oltre 20 anni dalla precedente fonte europea in argomento, le istituzioni europee hanno operato una scelta diversa: in luogo di un’ulteriore direttiva, si è scelto di emanare il Regolamento (UE) n. 2016/679 del Parlamento europeo e del Consiglio del 27 aprile 2016 (d’ora in poi GDPR).
Il fatto stesso che si sia scelto di riformare la materia attraverso un regolamento (fonte che, a differenza della direttiva, non necessita della mediazione dei singoli Stati, ma si impone direttamente nei loro ordinamenti), prova che la desiderata uniformazione non si sia compiutamente raggiunta, il che è del resto ammesso nel considerando 9 dello stesso GDPR.
Il Regolamento avrà maggiori possibilità di successo? Nutro alcuni dubbi a proposito.
A tacer d’altro l’inasprimento delle sanzioni (che ai sensi degli artt. 83 e 84 dovranno essere effettive, proporzionate e dissuasive), la previsione della figura del Responsabile della protezione dei dati (artt. 37 e ss.), l’esplicitazione dei principi di responsabilizzazione (accountability: considerando 57 e art. 5 c. 2), di protezione dei dati fin dalla progettazione e per impostazione predefinita (art. 25) hanno ridestato l’interesse delle imprese, sensibilizzate al riconoscimento di questi diritti anche se il trattamento è effettuato al di fuori dell’Europa (nei limiti indicati dall’art. 3).
Questi principi innovativi faciliteranno la circolazione dei dati in ambito sovranazionale, ma è lecito dubitare che si raggiungerà, anche tramite il Regolamento, il traguardo di una disciplina davvero uniforme e ciò nonostante il ruolo sempre più forte che sono chiamate a svolgere:
• le Autorità garanti nazionali;
• il Gruppo di lavoro ex articolo 29 (della direttiva 95/46/CE), ora ridenominato European Data Protection Board (in italiano Comitato europeo per la protezione dei dati);
• il Garante Europeo della protezione dei dati.
e nonostante l’attività degli Organismi di certificazione di cui all’art. 43 del GDPR e la redazione dei codici di condotta di cui all’art. 40 GDPR.
Ostacola il raggiungimento di questi obiettivi il dato letterale del GDPR, che risulta assai farraginoso, ripetitivo e talvolta oscuro (problema a cui si aggiunge la complessa traduzione in lingua italiana di alcuni sintagmi che complica l’attività dell’interprete).
Ma soprattutto la consapevolezza che il diritto alla tutela dei dati personali non può essere riconosciuto quale diritto assoluto.
Anche se è accordata all’individuo la facoltà di decidere se e in che misura rendere disponibili informazioni sul proprio conto ed il potere di controllarne la successiva circolazione, la Corte di giustizia in una serie di pronunce (cfr. ad es. sentenza 9 novembre 2010 in cause riunite C-92/09 e C-93/09, Volker und Markus Schecke e Eifert e sentenza 5 maggio 2011, C-543/09) ha chiarito che tale diritto non si può tradurre in una sorta di signoria sui dati personali a sé riferiti, così da orientarne arbitrariamente o capricciosamente la circolazione.
Assai chiaro in questo senso è il considerando 4 del GDPR laddove specifica che “il diritto alla protezione dei dati di carattere personale non è una prerogativa assoluta, ma va considerato alla luce della sua funzione sociale e va contemperato con altri diritti fondamentali, in ossequio al principio di proporzionalità”.
Anche il Regolamento, quindi, riconosce l’esistenza di interessi pubblici confliggenti (cfr. ad es. considerando 16 e 19) e la necessità di operare un bilanciamento, entro degli spazi in cui si concretizzano le scelte politiche nazionali (cfr. art. 2, comma 2 GDPR).
Questa la ragione per cui permangono nel testo del Regolamento frequenti rinvii al diritto degli Stati membri (si vedano, e senza pretese di esaustività, i considerando 8, 10, 19, 121, 129, 142, 146, 152, 153, 154, 155, 163 e gli artt. 6, 8, 9, 14, 15, 28, 29, 32, 36, 37, 38, 39, 40, 42, 43, 49, 53, 54, 62, 80, 85) e si aprono quindi ampi spazi per il permanere di discipline nazionali difformi.
* * * *
V.- L’attuazione in Italia del GDPR
L’attuazione del GDPR in Italia è stata (ed è) tortuosa.
Nonostante il Regolamento europeo offrisse un biennio di tempo per armonizzare le discipline interne, il Governo italiano ha ottenuto una delega in questo senso dal Parlamento solo 6 mesi prima, con legge 25 ottobre 2017 n.163 (legge di delegazione europea 2016-2017, cfr. art. 13).
Il 14 dicembre 2017 la collega dell’Università di Bologna, prof.ssa Giusella Finocchiaro, è stata chiamata dal Ministero della Giustizia a presiedere un Gruppo di lavoro per l’esercizio della delega. In conclusione dei propri lavori, condotti in tempi assai rapidi, il Gruppo di lavoro ha predisposto un articolato interessante. In una logica di accesa semplificazione delle fonti il Gruppo suggeriva, fra l’altro, la completa abrogazione del Codice in materia di protezione dei dati personali.
Personalmente ho appoggiato tale soluzione, ma ho sostenuto, come in verità la maggior parte degli interpreti, che a legge immutata essa fosse di dubbia costituzionalità per eccesso di delega.
Forse anche per questa ragione, l’Esecutivo non ha accolto la proposta del Gruppo di lavoro e la delega, che aveva naturale scadenza il 21 maggio 2018 (pochi giorni prima rispetto al fatidico 25 maggio 2018, termine di piena applicazione del GDPR), non è stata esercitata nei termini (con conseguenze assai problematiche in particolare in relazione alle sanzioni, comprese quelle penali).
Tuttavia l’art. 13 comma 3, prevedeva che il Governo esercitasse la delega secondo le procedure previste dall’art. 32 della legge 24 dicembre 2012, n. 234. Questa norma, a sua volta, specifica che quando gli schemi dei decreti delegati vengano inviati alle Commissioni parlamentari per il previsto parere quando manchino meno di 30 giorni alla scadenza della delega, come è accaduto nel caso di specie, tale scadenza risulti automaticamente prorogata per la durata di tre mesi (quindi fino al 21 agosto 2018).
Questa interpretazione ha consentito al Governo di esercitare la delega in tempi più recenti ed emanare il decreto delegato legislativo 10 agosto 2018, n. 101 (la cui pubblicazione tutti noi cultori della materia abbiamo atteso con ansia questa estate).
La pubblicazione del decreto è avvenuta solo nella Gazzetta Ufficiale 4 settembre 2018, n. 205. Il codice in materia di protezione dei dati personali D. lgs. 196/2003 cit. non solo non è stato abrogato ma è stato radicalmente novellato. Le nuove disposizioni sono entrate in vigore, a seguito della vacatio legis, solo pochi giorni fa e precisamente il 19 settembre 2018.
* * * *
VI.- Il ruolo dell’amministrazione
Non vi è dubbio che le pubbliche amministrazioni detengano sterminate moli di dati. Basti pensare ai censimenti dell’istituto nazionale di statistica, all’anagrafe della popolazione, alle liste elettorali, ai dati catastali, al pubblico registro automobilistico, alle dichiarazioni dei redditi, alle cartelle mediche.
Atteso che le pubbliche amministrazioni conservano i dati personali solo in quanto indispensabili per l’esercizio delle funzioni amministrative, si tratta di trattamenti legittimati a prescindere dal consenso dell’interessato e ciò in forza dell’art. 6, comma 1 GDPR, lettere c) (obbligo legale del titolare del trattamento), d) (salvaguardia di interessi vitali) e soprattutto e) (esecuzione di un compito di interesse pubblico o connesso all’esercizio di pubblici poteri).
La superfluità del consenso semplifica le cose, ma le pubbliche amministrazioni devono comunque individuare un ufficio che si occupi dell’adeguamento al GDPR (in primis che si occupi della tenuta del registro dei trattamenti, art. 30 GDPR e dell’aggiornamento delle informative, artt. 13 e 14 GDPR), il che costituisce un processo continuo. Esse devono nominare un Responsabile della protezione dei dati personali (art. 37 GDPR), figura peraltro con caratteristiche assolutamente peculiari, che viene tipicamente nominata a seguito di procedura ad evidenza pubblica (integrando un appalto di servizi).
E soprattutto devono implementare adeguate misure di sicurezza per fronteggiare aggressioni di qualsiasi genere, non solo quelle di hackers e cyberterroristi, ma anche quelle, spesso assai trascurate, che utilizzano tecniche di c.d. ingegneria sociale (social engineering).
Se Facebook, che investe milioni di dollari in sicurezza – notizia di qualche giorno fa –, ha registrato negli ultimi giorni la violazione dei dati personali di 90 milioni di account (fra cui quello del vostro relatore di oggi), possiamo immaginare che difese implementino i nostri comuni più piccoli. Non si tratta di rischi solo teorici: alcune anagrafi sono state colpite ad es. dai c.d. cryptoransomware, software che criptano tutti i dati e chiedono un “riscatto” in bitcoin…
Vi sono poi interi settori di trattamento che sono regolati da disposizioni specifiche (cfr. Capo IX GDPR). Si pensi, ex plurimis, ai dati personali in ambito penale (disciplinati dal D. lgs. 18 maggio 2018, n. 51), ai dati in ambito sanitario, ai dati trattati ai fini di archiviazione nel pubblico interesse, di ricerca scientifica o storica o ai fini statistici (cfr. art. 89 GDPR).
Le maggiori criticità che le amministrazioni devono affrontare sono rappresentate tuttavia, secondo la mia esperienza, dalle intersezioni fra la disciplina della tutela dei dati personali e le disposizioni in tema di:
1) accesso alla documentazione amministrativa (su cui v. prossimo paragrafo);
2) trasparenza (disciplinata in Italia dal Decreto legislativo 14 marzo 2013, n. 33 di Riordino della disciplina riguardante il diritto di accesso civico e gli obblighi di pubblicità, trasparenza e diffusione di informazioni da parte delle pubbliche amministrazioni);
3) dematerializzazione della documentazione amministrativa (disciplinata in particolare dal Decreto legislativo, 7 marzo 2005, n. 82, c.d. Codice dell’Amministrazione Digitale).
Dal punto di vista organizzativo, l’art. 17, comma 1 del Codice dell’Amministrazione Digitale prevede la nomina del Responsabile della transizione digitale dell’amministrazione. Detto soggetto dovrà ovviamente confrontarsi con i responsabili sopra citati e con altre funzioni apicali indicate nello stesso Codice (cfr. art. 44 comma 1-ter CAD).
Anche se l’art. 20, comma 3 del GDPR esclude il diritto alla portabilità dei dati necessari per l’esecuzione di un compito di interesse pubblico, il Codice dell’amministrazione digitale, all’art. 50, continua a richiedere che i dati siano “formati, raccolti, conservati, resi disponibili ed accessibili” secondo modalità che consentano l’utilizzo da parte delle altre pubbliche amministrazioni e dei privati. E non potrebbe essere altrimenti: la partecipazione al procedimento amministrativo informatico (art. 4 CAD), la partecipazione democratica elettronica (art. 9 CAD), non sarebbero altrimenti predicabili.
Si comprende così la ragione per cui l’art. 68 CAD richieda, per la scelta del software da parte delle pubbliche amministrazioni, di valutare comparativamente le varie soluzioni disponibili, considerando anche l’utilizzo del free software (di formati non proprietari).
Si applica, invece, anche alle pubbliche amministrazioni l’art. 22 GDPR che dispone che “L’interessato ha il diritto di non essere sottoposto ad una decisione basata unicamente sul trattamento automatizzato, compresa la profilazione, che produca effetti giuridici che lo riguardano o che incida in modo analogo significativamente sulla sua persona”. Il comma 3 prescrive “il diritto di ottenere l’intervento umano da parte del titolare del trattamento, di esprimere la propria opinione e di contestare la decisione”.
Si tratta a mio avviso di una delle disposizioni più significative del Regolamento Europeo, che rappresenta una difesa nei confronti di quelle che sono state qualificate ad es. da Cathy O’Neil, in una recente opera , come “armi di distruzione matematica” (si pensi all’esempio del triage ospedaliero di cui sopra), ma, per le amministrazioni che hanno in corso processi di digitalizzazione ed efficientamento delle proprie funzioni, può segnare un rilevante ostacolo.
* * * *
VII.- La tutela giurisdizionale
Volgendo lo sguardo alla tutela giurisdizionale, la scelta del legislatore italiano è stata tradizionalmente quella di attribuire le controversie relative alla protezione dei dati personali al Giudice ordinario.
È prevista, invero, anche una forma di tutela amministrativa ai sensi degli artt. 140-bis e ss. del Codice per la tutela dei dati personali: si può presentare reclamo all’Autorità Garante, che decide entro nove mesi. Ma avverso la decisione del Garante è comunque ammesso ricorso giurisdizionale (cfr. art. 143, u.c. Codice).
L’art. 10 del D. lgs. 1° settembre 2011 n. 150, nel testo che è stato vigente dal 6 ottobre 2011 al 18 settembre 2018, prevedeva la competenza del tribunale del luogo ove avesse residenza il titolare del trattamento dei dati. A seguito della novella del 2018, risulta competente in alternativa il Tribunale del luogo di residenza dell’interessato (scelta più razionale, che avvicina queste controversie a quelle che concernono la tutela dei consumatori).
Il rito da seguirsi è quello semplificato del lavoro, ma la sentenza che definisce il giudizio non è appellabile e ricorre per lo più una disposizione eccezionale per il nostro ordinamento: il Giudice ordinario può sospendere il provvedimento e prescrivere l’adizione di misure ritenute necessarie all’Amministrazione titolare o responsabile dei dati (nonché condannare al risarcimento dei danni) e ciò “anche in deroga al divieto di cui all’articolo 4 della legge 20 marzo 1865, n. 2248, allegato E)”. È pacifico, quindi, che il Giudice civile possa in quest’ipotesi annullare/riformare il provvedimento amministrativo.
Se queste peculiarità hanno superato, con un tratto di penna, ampi dibattiti dottrinali, i limiti contenuti nella legge delega per l’attuazione del GDPR non hanno consentito al legislatore delegato di superare un’aporia sistematica che appare evidente da un confronto di diritto comparato.
Il capo V della legge 7 agosto 1990 n. 241, che contiene le disposizioni generali sul procedimento amministrativo, è dedicato al diritto di accesso dell’interessato (mediante presa visione e estrazione di copia) di documenti amministrativi.
Questi documenti possono contenere dati personali propri del soggetto interessato ovvero di soggetti terzi. In entrambi i casi, possono entrare in conflitto le competenze dell’Amministrazione a cui viene rivolta l’istanza di accesso (ovvero del Difensore civico ex art. 25 legge 241/1990 o della Commissione per l’accesso ai documenti amministrativi, incardinata presso la Presidenza del Consiglio dei Ministri ex art. 27 legge 241/1990), con le competenze dell’Autorità Garante della Tutela dei dati personali.
Laddove accada, il comma 4 dell’art. 25 della legge 241/1990, nel testo risultante da una serie di modifiche, prevede queste forme di raccordo: “Se l’accesso è negato o differito per motivi inerenti ai dati personali che si riferiscono a soggetti terzi, la Commissione provvede, sentito il Garante per la protezione dei dati personali, il quale si pronuncia entro il termine di dieci giorni dalla richiesta, decorso inutilmente il quale il parere si intende reso. Qualora un procedimento di cui alla sezione III del capo I del titolo I della parte III del decreto legislativo 30 giugno 2003, n. 196, o di cui agli articoli 154, 157, 158, 159 e 160 del medesimo decreto legislativo n. 196 del 2003, relativo al trattamento pubblico di dati personali da parte di una pubblica amministrazione, interessi l’accesso ai documenti amministrativi, il Garante per la protezione dei dati personali chiede il parere, obbligatorio e non vincolante, della Commissione per l’accesso ai documenti amministrativi. La richiesta di parere sospende il termine per la pronuncia del Garante sino all’acquisizione del parere, e comunque per non oltre quindici giorni. Decorso inutilmente detto termine, il Garante adotta la propria decisione”.
Se in qualche misura il problema può ritenersi così risolto nella fase amministrativa/procedimentale, esso persiste in ambito giurisdizionale.
In caso di diniego di accesso agli atti amministrativi, infatti, l’interessato può promuovere ricorso giurisdizionale. Sennonché la scelta operata dal legislatore in questo caso è quella opposta a quella sopra indicata: queste controversie sono attribuite alla giurisdizione esclusiva del Giudice amministrativo (cfr. art. 116 del D. lgs. 2 luglio 2010 n. 104, Codice del processo amministrativo).
Può quindi capitare che, mentre il Giudice amministrativo sta decidendo se sia o meno corretto il provvedimento di un Ente pubblico che neghi l’accesso alla documentazione amministrativa, il soggetto dei cui dati si discute (il controinteressato nel ricorso davanti al Tribunale amministrativo regionale) promuova un parallelo ricorso avanti al Giudice ordinario per ottenere la rettifica o la cancellazione dei dati stessi.
Le due Autorità giurisdizionali potrebbero decidere in modo difforme e, dal momento che eccezionalmente entrambe hanno facoltà di impartire ordini all’Amministrazione, quest’ultima potrebbe vedersi rivolgere indicazioni opposte.

Prof. Avv. Alessandro Dario Cortesi
Professore a contratto di informatica giuridica
Università Cattolica del Sacro Cuore Milano
Facoltà di Giurisprudenza