La Corte di Giustizia delle Comunità europee stabilisce che l’inserimento in una pagina Internet di dati personali da parte di una persona che si trovi in uno Stato membro costituisce un “trattamento di dati personali interamente o parzialmente automatizzato” ai sensi dell’art. 3, n. 1, della direttiva CE 95/46, nel cui ambito di applicazione, pertanto, ricade. Tale operazione, d’altra parte, non si traduce in un “trasferimento verso un paese terzo di dati” (art. 25) per il solo fatto di rendere i dati stessi accessibili a chiunque si colleghi a Internet. Le disposizioni della direttiva 95/46 non determinano, in ogni caso, una restrizione di per sé incompatibile con la libertà di espressione, come garantita, tra l’altro, dall’art. 10 CEDU, ma spetta alle autorità e ai giudici nazionali ricercare il giusto equilibrio tra la libera circolazione dei dati personali, la tutela della vita privata e la libertà di espressione.
CGCE, sentenza 6 novembre 2003, Lindqvist, causa C-101/01
SENTENZA DELLA CORTE
6 novembre 2003 (1)
«Direttiva 95/46/CE – Ambito di applicazione -Pubblicazione dei dati personali su Internet – Luogo della pubblicazione – Nozione di trasferimento di dati personali verso paesi terzi – Libertà d’espressione – Compatibilità con la direttiva 95/46 di una protezione più ampia dei dati personali da parte della normativa di uno Stato membro»
Nel procedimento C-101/01,
avente ad oggetto la domanda di pronuncia pregiudiziale proposta alla Corte, a norma dell’art. 234 CE, dalla Göta Hovrätt (Svezia), nel procedimento penale dinanzi ad essa pendente contro
Bodil Lindqvist,
domanda vertente, in particolare, sull’interpretazione della direttiva del Parlamento europeo e del Consiglio 24 ottobre 1995, 95/46/CE, relativa alla tutela delle persone fisiche con riguardo al trattamento dei dati personali, nonché alla libera circolazione di tali dati (GU L 281, pag. 31),
LA CORTE,
composta dal sig. P. Jann, presidente della Prima Sezione, facente funzione di presidente, dai sigg. C.W.A. Timmermans, C. Gulmann, J.N. Cunha Rodrigues e A. Rosas, presidenti di sezione, D.A.O. Edward (relatore), J.-P. Puissochet, dalla sig.ra F. Macken, e dal sig. S. von Bahr, giudici,
avvocato generale: sig. A. Tizzano
cancelliere: sig. H. von Holstein, cancelliere aggiunto
viste le osservazioni scritte presentate:
– per la sig.ra Lindqvist, dal sig. S. Larsson, advokat;
– per il governo svedese, dal sig. A. Kruse, in qualità di agente;
– per il governo dei Paesi Bassi, dalla sig.ra H.G. Sevenster, in qualità di agente;
– per il governo del Regno Unito, dalla sig.ra G. Amodeo, in qualità di agente, assistita dalla sig.ra J. Stratford, barrister;
– per la Commissione delle Comunità europee, dalla sig.ra L. Ström e dal sig. X. Lewis, in qualità di agenti,
vista la relazione d’udienza,
sentite le osservazioni orali della sig.ra Lindqvist, rappresentata dal sig. S. Larsson, del governo svedese, rappresentato dal sig. A. Kruse e dalla sig.ra B. Hernqvist, in qualità di agente, del governo olandese, rappresentato dalla sig.ra J. van Bakel, in qualità di agente, del governo del Regno Unito, rappresentato dalla sig.ra J. Stratford, della Commissione, rappresentata dalla sig.ra L. Ström e dal sig. X. Lewis, e dell’Autorità di vigilanza AELS, rappresentata dalla sig.ra D. Sif Tynes, in qualità di agente, all’udienza del 30 aprile 2003,
sentite le conclusioni dell’avvocato generale, presentate all’udienza del 19 settembre 2002,
ha pronunciato la seguente
Sentenza
1.
Con ordinanza 23 febbraio 2001, pervenuta in cancelleria il 1° marzo successivo, la Göta Hovrätt (Corte d’appello della regione del Götaland) ha sottoposto alla Corte, ai sensi dell’art. 234 CE, sette questioni pregiudiziali vertenti, in particolare, sull’interpretazione della direttiva del Parlamento europeo e del Consiglio 24 ottobre 1995, 95/46/CE, relativa alla tutela delle persone fisiche con riguardo al trattamento dei dati personali, nonché alla libera circolazione di tali dati (GU L 281, pag. 31).
2.
Tali questioni sono state sollevate nell’ambito di un procedimento penale svoltosi dinanzi al suddetto giudice contro la sig.ra Lindqvist, imputata di aver violato la normativa svedese relativa alla protezione dei dati personali pubblicando nel suo sito Internet dati personali riguardanti un certo numero di persone che lavorano, come lei, in qualità di volontari in una parrocchia della Chiesa protestante di Svezia.
Contesto normativo
La normativa comunitaria
3.
La direttiva 95/46 riguarda, come risulta dall’art. 1, n. 1, la tutela dei diritti e delle libertà fondamentali delle persone fisiche e particolarmente del diritto alla vita privata, con riguardo al trattamento dei dati personali.
4.
L’art. 3 della direttiva 95/46, relativa al suo campo di applicazione, così dispone:
«1. Le disposizioni della presente direttiva si applicano al trattamento di dati personali interamente o parzialmente automatizzato nonché al trattamento non automatizzato di dati personali contenuti o destinati a figurare negli archivi.
2. Le disposizioni della presente direttiva non si applicano ai trattamenti di dati personali:
– effettuati per l’esercizio di attività che non rientrano nel campo di applicazione del diritto comunitario, come quelle previste dai titoli V e VI del trattato sull’Unione europea e comunque ai trattamenti aventi come oggetto la pubblica sicurezza, la difesa, la sicurezza dello Stato (compreso il benessere economico dello Stato, laddove tali trattamenti siano connessi a questioni di sicurezza dello Stato) e le attività dello Stato in materia di diritto penale;
– effettuati da una persona fisica per l’esercizio di attività a carattere esclusivamente personale o domestico».
5.
L’art. 8 della direttiva 95/46, dal titolo «Trattamenti riguardanti categorie particolari di dati», così recita:
«1. Gli Stati membri vietano il trattamento di dati personali che rivelano l’origine razziale o etnica, le opinioni politiche, le convinzioni religiose o filosofiche, l’appartenenza sindacale, nonché il trattamento di dati relativi alla salute e alla vita sessuale.
2. Il paragrafo 1 non si applica qualora:
a) la persona interessata abbia dato il proprio consenso esplicito a tale trattamento, salvo nei casi in cui la legislazione dello Stato membro preveda che il consenso della persona interessata non sia sufficiente per derogare al divieto di cui al paragrafo 1, oppure
b) il trattamento sia necessario, per assolvere gli obblighi e i diritti specifici del responsabile del trattamento in materia di diritto del lavoro, nella misura in cui il trattamento stesso sia autorizzato da norme nazionali che prevedono adeguate garanzie, oppure
c) il trattamento sia necessario per salvaguardare un interesse vitale della persona interessata o di un terzo nel caso in cui la persona interessata è nell’incapacità fisica o giuridica di dare il proprio consenso; o
d) il trattamento sia effettuato, con garanzie adeguate, da una fondazione, un’associazione o qualsiasi altro organismo che non persegua scopi di lucro e rivesta carattere politico, filosofico, religioso o sindacale, nell’ambito del suo scopo lecito e a condizione che riguardi unicamente i suoi membri o le persone che abbiano contatti regolari con la fondazione, l’associazione o l’organismo a motivo del suo oggetto e che i dati non vengano comunicati a terzi senza il consenso delle persone interessate; o
e) il trattamento riguardi dati resi manifestamente pubblici dalla persona interessata o sia necessario per costituire, esercitare o difendere un diritto per via giudiziaria.
3. Il paragrafo 1 non si applica quando il trattamento dei dati è necessario alla prevenzione o alla diagnostica medica, alla somministrazione di cure o alla gestione di centri di cura e quando il trattamento dei medesimi dati viene effettuato da un professionista in campo sanitario soggetto al segreto professionale sancito dalla legislazione nazionale, comprese le norme stabilite dagli organi nazionali competenti, o da un’altra persona ugualmente soggetta a un obbligo di segreto equivalente.
4. Purché siano previste le opportune garanzie, gli Stati membri possono, per motivi di interesse pubblico rilevante, stabilire ulteriori deroghe oltre a quelle previste dal paragrafo 2 sulla base della legislazione nazionale o di una decisione dell’autorità di controllo.
5. I trattamenti riguardanti i dati relativi alle infrazioni, alle condanne penali o alle misure di sicurezza possono essere effettuati solo sotto controllo dell’autorità pubblica, o se vengono fornite opportune garanzie specifiche, sulla base del diritto nazionale, fatte salve le deroghe che possono essere fissate dallo Stato membro in base ad una disposizione nazionale che preveda garanzie appropriate e specifiche. Tuttavia un registro completo delle condanne penali può essere tenuto solo sotto il controllo dell’autorità pubblica.
Gli Stati membri possono prevedere che i trattamenti di dati riguardanti sanzioni amministrative o procedimenti civili siano ugualmente effettuati sotto controllo dell’autorità pubblica.
6. Le deroghe al paragrafo 1 di cui ai paragrafi 4 e 5 sono notificate alla Commissione.
7. Gli Stati membri determinano a quali condizioni un numero nazionale di identificazione o qualsiasi altro mezzo identificativo di portata generale può essere oggetto di trattamento».
6.
L’art. 9 della direttiva 95/46, dal titolo «Trattamenti di dati personali e libertà d’espressione», dispone quanto segue:
«Gli Stati membri prevedono, per il trattamento di dati personali effettuato esclusivamente a scopi giornalistici o di espressione artistica o letteraria, le esenzioni o le deroghe alle disposizioni del presente capo e dei capi IV e VI solo qualora si rivelino necessarie per conciliare il diritto alla vita privata con le norme sulla libertà d’espressione».
7.
L’art. 13 della direttiva 95/46, dal titolo «Deroghe e restrizioni», dispone che gli Stati membri possono adottare restrizioni a taluni obblighi posti dalla direttiva a carico del responsabile del trattamento dei dati, in particolare quanto all’informazione delle persone interessate, qualora le suddette restrizioni siano necessarie alla salvaguardia, ad esempio, della sicurezza dello Stato, della difesa, della pubblica sicurezza, di un rilevante interesse economico o finanziario di uno Stato membro o dell’Unione europea, nonché all’accertamento e al perseguimento di infrazioni penali o di violazioni della deontologia di professioni regolamentate.
8.
L’art. 25 della direttiva 95/46, che figura nel capo IV, intitolato «Trasferimenti di dati personali verso paesi terzi», è formulato come segue:
«1. Gli Stati membri dispongono che il trasferimento verso un paese terzo di dati personali oggetto di un trattamento o destinati a essere oggetto di un trattamento dopo il trasferimento può aver luogo soltanto se il paese terzo di cui trattasi garantisce un livello di protezione adeguato, fatte salve le misure nazionali di attuazione delle altre disposizioni della presente direttiva.
2. L’adeguatezza del livello di protezione garantito da un paese terzo è valutata con riguardo a tutte le circostanze relative ad un trasferimento o ad una categoria di trasferimenti di dati; in particolare sono presi in considerazione la natura dei dati, le finalità del o dei trattamenti previsti, il paese d’origine e il paese di destinazione finale, le norme di diritto, generali o settoriali, vigenti nel paese terzo di cui trattasi, nonché le regole professionali e le misure di sicurezza ivi osservate.
3. Gli Stati membri e la Commissione si comunicano a vicenda i casi in cui, a loro parere, un paese terzo non garantisce un livello di protezione adeguato ai sensi del paragrafo 2.
4. Qualora la Commissione constati, secondo la procedura dell’articolo 31, paragrafo 2, che un paese terzo non garantisce un livello di protezione adeguato ai sensi del paragrafo 2 del presente articolo, gli Stati membri adottano le misure necessarie per impedire ogni trasferimento di dati della stessa natura verso il paese terzo in questione.
5. La Commissione avvia, al momento opportuno, negoziati per porre rimedio alla situazione risultante dalla constatazione di cui al paragrafo 4.
6. La Commissione può constatare, secondo la procedura di cui all’articolo 31, paragrafo 2, che un paese terzo garantisce un livello di protezione adeguato ai sensi del paragrafo 2 del presente articolo, in considerazione della sua legislazione nazionale o dei suoi impegni internazionali, in particolare di quelli assunti in seguito ai negoziati di cui al paragrafo 5, ai fini della tutela della vita privata o delle libertà e dei diritti fondamentali della persona.
Gli Stati membri adottano le misure necessarie per conformarsi alla decisione della Commissione».
9.
Al momento dell’adozione della direttiva 95/46, il Regno di Svezia ha rilasciato, a proposito dell’art. 9 di questa, una dichiarazione iscritta nel verbale del Consiglio (documento del Consiglio 2 febbraio 1995, n. 4649/95), che recita:
«Il Regno di Svezia ritiene che la nozione di espressione artistica e letteraria si riferisca ai mezzi d’espressione anziché al contenuto della comunicazione o alla sua qualità».
10.
La Convenzione europea per la salvaguardia dei diritti dell’uomo e delle libertà fondamentali, firmata a Roma il 4 novembre 1950 (in prosieguo: la «CEDU»), prevede, all’art. 8, il diritto al rispetto della vita privata e familiare e contiene, nell’art. 10, disposizioni relative alla libertà di espressione.
La normativa nazionale
11.
La direttiva 95/46 è stata recepita nell’ordinamento svedese con la Personunppgiftslag, SFS 1998, n. 204 (legge svedese sui dati personali, in prosieguo: la «PUL»).
Causa principale e questioni pregiudiziali
12.
La sig.ra Lindqvist, oltre ad occupare un posto di lavoro subordinato come agente per la manutenzione, esercitava la funzione di formatrice di comunicandi nella parrocchia di Alseda (Svezia). Ella ha seguito un corso di informatica nell’ambito del quale doveva in particolare creare una pagina iniziale in Internet («home page»). Alla fine del 1998, la sig.ra Lindqvist ha creato, a casa sua e con un personal computer, alcune pagine Internet allo scopo di consentire ai parrocchiani che si preparavano alla cresima di ottenere facilmente le informazioni di cui avevano bisogno. A sua richiesta, l’amministratore del sito della Chiesa di Svezia ha creato un collegamento ipertestuale («link») fra tali pagine e il suddetto sito.
13.
Le pagine in questione contenevano informazioni sulla sig.ra Lindqvist e su 18 suoi colleghi della parrocchia, compreso il loro nome e cognome o, talvolta, soltanto il loro nome. La sig.ra Lindqvist ha inoltre descritto, in termini leggermente scherzosi, le mansioni dei colleghi e le loro abitudini nel tempo libero. In molti casi, era inoltre descritta la loro situazione familiare ed erano indicati i recapiti telefonici nonché altre informazioni. Peraltro, era in particolare riferito il fatto che una collega, essendosi ferita ad un piede, era in congedo parziale per malattia.
14.
Dell’esistenza di tali pagine la sig.ra Lindqvist non aveva informato i suoi colleghi, né aveva chiesto il loro consenso, né aveva dichiarato di averle realizzate alla Datainspektion (ente pubblico per la tutela dei dati trasmessi per via informatica). Ella ha eliminato le pagine in questione non appena è venuta a conoscenza del fatto che queste non erano apprezzate da taluni suoi colleghi.
15.
Il Pubblico ministero ha promosso un procedimento penale nei confronti della sig.ra Lindqvist per violazione della PUL ed ha concluso per la sua condanna, in quanto ella aveva:
– sottoposto a trattamento automatizzato taluni dati senza prima informarne per iscritto la Datainspektion (art. 36 della PUL);
– trattato senza autorizzazione dati personali sensibili, e cioè quelli relativi ad una ferita al piede e ad un congedo parziale per malattia (art. 13 della PUL);
– trasferito verso paesi terzi dati personali sottoposti ad un trattamento non autorizzato (art. 33 della PUL).
16.
La sig.ra Lindqvist ha confermato i fatti, ma ha contestato la loro rilevanza penale. Condannata dall’Eksjö tingsrätt (Tribunale di primo grado di Eksjö, Svezia) al pagamento di una ammenda, ella ha impugnato tale decisione dinanzi al giudice a quo.
17.
L’ammenda ammontava a SEK 4 000, tenuto conto dell’applicazione alla somma di SEK 100, calcolata in base alla situazione finanziaria della sig.ra Lindqvist, di un moltiplicatore 40 che rappresenta la severità della pena. La sig.ra Lindqvist è stata inoltre condannata a versare SEK 300 a un fondo svedese destinato ad aiutare le vittime di reati.
18.
Nutrendo dubbi sull’interpretazione del diritto comunitario applicabile in materia, in particolare della direttiva 95/46, la Göta Hovrätt ha deciso di sospendere il procedimento e di sottoporre alla Corte le seguenti questioni pregiudiziali:
«1) Se l’indicazione di una persona – con il nome o con il nome e il numero di telefono – in una pagina iniziale su Internet costituisca un comportamento che rientra nell’ambito di applicazione della direttiva [95/46]. Se il realizzare personalmente una pagina iniziale su Internet e l’inserirvi il nome di un certo numero di persone unitamente a dichiarazioni e affermazioni riguardanti, tra l’altro, la situazione lavorativa di queste ultime e gli interessi da esse coltivati nel tempo libero costituisca un trattamento di dati personali interamente o parzialmente automatizzato.
2) Ove la questione precedente venga risolta negativamente, se il redigere, all’interno di una pagina iniziale su Internet, pagine che riguardano specificamente una quindicina di persone e il collegare tali pagine tra di esse in modo da consentire la ricerca nominativa possa essere considerato un trattamento non automatizzato di dati personali contenuti o destinati a figurare negli archivi ai sensi dell’art. 3, n. 1, della direttiva.
Per il caso in cui una delle questioni precedenti venga risolta positivamente, la Hovrätt pone anche le questioni seguenti:
3) Se il pubblicare, in una pagina iniziale privata ma accessibile a chiunque ne conosca l’indirizzo, dati del tipo indicato relativi a colleghi di lavoro possa essere considerato un comportamento che non rientra nell’ambito di applicazione della direttiva [95/46] in forza di una delle eccezioni di cui all’art. 3, n. 2, della stessa.
4) Se l’informazione, in una pagina iniziale, secondo la quale un collega di lavoro, di cui viene specificato il nome, si è ferito ad un piede e si trova in congedo parziale per malattia costituisca un dato personale relativo alla salute che, a norma dell’art. 8, n. 1, della direttiva, non può essere trattato.
5) Considerato che in certi casi la direttiva [95/46] vieta il trasferimento di dati personali verso paesi terzi, se una persona che si trova in Svezia e che, servendosi di un computer, pubblica dati personali in una pagina iniziale caricata su un server in Svezia – di modo che tali dati divengono accessibili ai cittadini di paesi terzi – trasferisca dati verso paesi terzi ai sensi della direttiva 95/46. Se la soluzione di tale questione rimanga la stessa anche nel caso in cui, per quanto si sappia, nessuna persona di un paese terzo abbia di fatto preso conoscenza dei dati o nel caso in cui il server di cui trattasi si trovi fisicamente in un paese terzo.
6) Se in un caso come quello di specie si possa ritenere che le disposizioni della direttiva [95/46] pongano limiti incompatibili con i principi generali in materia di libertà di espressione, o con altre libertà e diritti, vigenti all’interno dell’Unione europea e che trovano corrispondenza, tra l’altro, nell’art. 10 della Convenzione europea per la salvaguardia dei diritti dell’uomo e delle libertà fondamentali.
La Hovrätt desidera infine porre la seguente questione:
7) Se uno Stato membro possa, nelle circostanze indicate nelle questioni precedenti, prevedere una tutela più ampia dei dati personali o ampliare l’ambito di applicazione della direttiva [95/46], anche ove non ricorra nessuna delle condizioni di cui all’art. 13 della medesima».
Sulla prima questione
19.
Con la prima questione, il giudice del rinvio chiede se l’operazione consistente nel far riferimento, in una pagina Internet, a diverse persone e nell’identificarle vuoi con il loro nome, vuoi con altri mezzi, ad esempio con il loro numero telefonico, o fornendo informazioni riguardanti la loro situazione lavorativa e gli interessi da esse coltivati nel tempo libero costituisca un «trattamento di dati personali interamente o parzialmente automatizzato» ai sensi dell’art. 3, n. 1, della direttiva 95/46.
Osservazioni presentate alla Corte
20.
Secondo la sig.ra Lindqvist, non è ragionevole ritenere che la semplice menzione del nome di una persona o di dati personali in un testo contenuto in una pagina Internet costituisca un trattamento automatizzato di dati. Per contro, l’indicazione di siffatti dati in una parola chiave dei marcatori («meta tags») di una pagina Internet, che consente di procedere ad un’indicizzazione e di trovare tale pagina mediante un motore di ricerca, potrebbe costituire un trattamento del genere.
21.
Il governo svedese sostiene che la nozione di «trattamento di dati personali interamente o parzialmente automatizzato», come contemplato dall’art. 3, n. 1, della direttiva 95/46, comprende qualsiasi trattamento informatico, cioè in formato binario. Di conseguenza, ove un dato personale venga trattato mediante computer, indipendentemente dal fatto che ciò avvenga, ad esempio, mediante un programma di trattamento di testo o al fine di inserirlo in una pagina Internet, esso costituirebbe oggetto di un trattamento rientrante nell’ambito della direttiva 95/46.
22.
Il governo dei Paesi Bassi fa valere che l’inserimento di dati personali in una pagina Internet si effettua con l’ausilio di un computer e di un server, il che costituirebbe una caratteristica rilevante dell’automatizzazione, di guisa che si dovrebbe ritenere che tali dati costituiscano oggetto di un trattamento automatizzato.
23.
La Commissione sostiene che la direttiva 95/46 si applica a qualsiasi trattamento di dati personali riconducibile all’art. 3 della stessa, indipendentemente dai mezzi tecnici utilizzati. La messa a disposizione di dati personali su Internet costituirebbe di conseguenza un trattamento automatizzato, in tutto o in parte, a condizione che non esistano limitazioni tecniche che riducano il trattamento ad una operazione esclusivamente manuale. Una pagina Internet rientrerebbe quindi, per sua stessa natura, nell’ambito di applicazione della direttiva 95/46.
Soluzione della Corte
24.
La nozione di «dati personali» accolta nell’art. 3, n. 1, della direttiva 95/46 comprende, conformemente alla definizione che figura nell’art. 2, lett. a), di questa, «qualsiasi informazione concernente una persona fisica identificata o identificabile». Tale nozione ricomprende certamente il nome di una persona accostato al suo recapito telefonico o ad informazioni relative alla sua situazione lavorativa o ai suoi passatempo.
25.
Quanto alla nozione di «trattamento» di siffatti dati, accolta dall’art. 3, n. 1, della direttiva 95/46, essa comprende, in conformità alla definizione che figura nell’art. 2, lett. b), di questa, «qualsiasi operazione o insieme di operazioni compiute con o senza l’ausilio di processi automatizzati e applicate a dati personali». Quest’ultima disposizione indica diversi esempi di operazioni del genere, tra i quali figurano la comunicazione mediante trasmissione, la diffusione o qualsiasi altra forma di messa a disposizione di dati. Ne consegue che l’operazione consistente nel far comparire in una pagina Internet dati personali va considerata come un trattamento del genere.
26.
Resta da stabilire se tale trattamento sia «automatizzato in tutto o in parte». In proposito, occorre rilevare che far apparire delle informazioni in un pagina Internet impone, secondo i procedimenti tecnici e informatici attualmente applicati, di realizzare un’operazione di caricamento di questa pagina su un server nonché le operazioni necessarie per rendere questa pagina accessibile a coloro che si sono collegati ad Internet. Tali operazioni vengono effettuate, almeno in parte, in modo automatizzato.
27.
La prima questione va quindi risolta nel senso che l’operazione consistente nel fare riferimento, in una pagina Internet, a diverse persone e nell’identificarle vuoi mediante il loro nome, vuoi con altri mezzi, ad esempio indicando il loro numero di telefono o informazioni relative alla loro situazione lavorativa e ai loro passatempo, costituisce un «trattamento di dati personali interamente o parzialmente automatizzato», ai sensi dell’art. 3, n. 1, della direttiva 95/46.
Sulla seconda questione
28.
Dato che la prima questione è stata risolta in senso affermativo, non occorre risolvere la seconda questione, che è stata posta solo per il caso di soluzione negativa della prima.
Sulla terza questione
29.
Con la terza questione, il giudice a quo chiede in sostanza se un trattamento di dati personali come quello che è oggetto della prima questione rientri in una delle eccezioni previste dell’art. 3, n. 2, della direttiva 95/46.
Osservazioni presentate alla Corte
30.
La sig.ra Lindqvist sostiene che un privato il quale, facendo uso della sua libertà di espressione, crei pagine Internet nell’ambito di un’attività a scopo non lucrativo o del suo tempo libero non esercita un’attività economica ed esula quindi dall’applicazione del diritto comunitario. Ove la Corte dovesse pronunciarsi in senso contrario, si porrebbe allora la questione della validità della direttiva 95/46, giacché, adottandola, il legislatore comunitario avrebbe ecceduto le competenze conferitegli dall’art. 100 A del Trattato CE (divenuto, in seguito a modifica, art. 95 CE). Infatti, il ravvicinamento delle legislazioni, che avrebbe come scopo l’instaurazione e il funzionamento del mercato interno, non potrebbe servire come fondamento giuridico per misure comunitarie che disciplinano il diritto dei privati alla libertà di espressione su Internet.
31.
Il governo svedese fa valere che, nel trasporre la direttiva 95/46 nell’ordinamento interno, il legislatore svedese ha ritenuto che il trattamento di dati personali da parte di una persona fisica, consistente nel trasmettere tali dati ad un numero indeterminato di destinatari, ad esempio via Internet, non potesse essere qualificato come «attività a carattere esclusivamente personale o domestico», ai sensi dell’art. 3, n. 2, secondo trattino, della direttiva 95/46. Per contro, tale governo non esclude che l’eccezione prevista nel primo trattino di tale paragrafo contempli il caso in cui una persona fisica pubblichi dati personali in una pagina Internet nel solo ambito dell’esercizio della propria libertà d’espressione e senza alcun nesso con un’attività professionale o commerciale.
32.
Secondo il governo dei Paesi Bassi, un trattamento automatizzato di dati come quello in questione nella causa principale non rientra in alcuna delle eccezioni di cui all’art. 3, n. 2, della direttiva 95/46. Per quanto riguarda più in particolare l’eccezione prevista al secondo trattino di tale paragrafo, esso rileva che il creatore di una pagina Internet porta i dati che vi sono stati introdotti a conoscenza di un gruppo di persone che è, in linea di principio, indeterminato.
33.
La Commissione fa valere che una pagina Internet come quella di cui trattasi nella causa principale non può essere considerata esclusa dall’ambito di applicazione della direttiva 95/46 in forza dell’art. 3, n. 2, di questa, ma costituisce, tenuto conto delle finalità di tale pagina Internet nella causa principale, una creazione artistica o letteraria ai sensi dell’art. 9 della detta direttiva.
34.
Essa rileva che l’art. 3, n. 2, primo trattino, della direttiva 95/46 si presta a due interpretazioni diverse. L’una consisterebbe nel limitare la portata di tale disposizione ai settori citati come esempi, e cioè ad attività che rientrano sostanzialmente in quelli che si è convenuto di denominare il secondo e il terzo pilastro. L’altra interpretazione consisterebbe nell’escludere dall’ambito di applicazione della direttiva 95/46 l’esercizio di qualsiasi attività che non ricada nell’ambito del diritto comunitario.
35.
La Commissione sostiene che il diritto comunitario non si limita alle sole attività economiche collegate alle quattro libertà fondamentali. Riferendosi al fondamento giuridico della direttiva 95/46, al suo obiettivo, all’art. 6 UE, alla Carta dei diritti fondamentali dell’Unione europea, proclamata a Nizza il 18 dicembre 2000 (GU C 364, pag. 1), e alla Convenzione del Consiglio d’Europa 28 gennaio 1981 sulla protezione delle persone rispetto al trattamento automatizzato di dati di carattere personale, essa conclude che tale direttiva mira a disciplinare la libertà di circolazione di dati personali come esercizio non soltanto di un’attività economica, ma anche di un’attività sociale nell’ambito dell’integrazione e del funzionamento del mercato interno.
36.
Essa aggiunge che escludere in generale dall’ambito di applicazione della direttiva 95/46 le pagine Internet che non contengono alcuna connotazione commerciale o di prestazione di servizi potrebbe comportare gravi problemi di delimitazione. Un gran numero di pagine Internet contenenti dati personali, destinate a stigmatizzare talune persone a scopi particolari, potrebbe allora trovarsi escluso dall’ambito d’applicazione di tale direttiva.
Soluzione della Corte
37.
L’art. 3, n. 2, della direttiva 95/46 prevede due eccezioni all’ambito di applicazione della stessa.
38.
La prima eccezione riguarda i trattamenti di dati personali effettuati per l’esercizio di attività che non rientrano nel campo di applicazione del diritto comunitario, come quelle previste dai titoli V e VI del Trattato sull’Unione europea e comunque i trattamenti aventi ad oggetto la pubblica sicurezza, la difesa, la sicurezza dello Stato (compreso il benessere economico dello Stato, laddove tali trattamenti siano connessi a questioni di sicurezza dello Stato) e le attività dello Stato in materia di diritto penale.
39.
Essendo le attività della sig.ra Lindqvist di cui trattasi nella causa principale sostanzialmente non economiche ma a carattere religioso e svolte a titolo di volontariato, occorre accertare se esse costituiscano trattamenti di dati personali «effettuati per l’esercizio di attività che non rientrano nel campo di applicazione del diritto comunitario» ai sensi dell’art. 3, n. 2, primo trattino, della direttiva 95/46.
40.
La Corte ha già dichiarato, a proposito della direttiva 95/46, fondata sull’art. 100 A del Trattato, che il ricorso a questa base giuridica non presuppone l’esistenza di un nesso effettivo con la libera circolazione tra Stati membri in ciascuna delle situazioni previste dall’atto fondato su tale base (v. sentenza 20 maggio 2003, cause riunite C-465/00, C-138/01, e C-139/01, Österreichischer Rundfunk e a., Racc. pag. I-0000, punto 41 e giurisprudenza ivi cit.).
41.
Un’interpretazione in senso contrario rischierebbe di rendere particolarmente incerti ed aleatori i limiti del campo di applicazione della detta direttiva, il che sarebbe contrario al suo obiettivo essenziale, che è quello di ravvicinare le disposizioni legislative, regolamentari, ed amministrative degli Stati membri per eliminare gli ostacoli al funzionamento del mercato interno derivanti proprio dalle disparità esistenti tra le normative nazionali (sentenza Österreichischer Rundfunk e a., cit. punto 42).
42.
Di conseguenza, non sarebbe appropriato interpretare l’espressione «attività che non rientrano nel campo di applicazione del diritto comunitario» in modo da attribuirle una portata tale che sarebbe necessario verificare, caso per caso, se l’attività specifica in questione incida direttamente sulla libera circolazione tra gli Stati membri.
43.
Le attività indicate, a mo’ di esempio, nell’art. 3, n. 2, primo trattino, della direttiva 95/46 (e cioè le attività previste nei titoli V e VI del Trattato sull’Unione europea nonché i trattamenti aventi ad oggetto la pubblica sicurezza, la difesa, la sicurezza dello Stato e le attività relative a settori del diritto penale) sono, in tutti i casi, attività proprie degli Stati o delle autorità statali, ed estranee ai settori di attività dei singoli.
44.
Si deve quindi ritenere che le attività menzionate a titolo esemplificativo nell’art. 3, n. 2, primo trattino, della direttiva 95/46 siano destinate a definire la portata dell’eccezione ivi prevista, di guisa che detta eccezione si applica solo alle attività che vi sono così espressamente menzionate e che possono essere ascritte alla stessa categoria (eiusdem generis).
45.
Ora, attività a titolo di volontoriato o religioso, come quelle esercitate dalla sig.ra Lindqvist, non sono equiparabili alle attività indicate nell’art. 3, n. 2, primo trattino, della direttiva 95/46 e non sono quindi comprese in tale eccezione.
46.
Per quanto riguarda l’eccezione di cui all’art. 3, n. 2, secondo trattino, della direttiva 95/46, il dodicesimo considerando di questa, relativo a tale eccezione, menziona, a titolo di esempio di trattamento di dati effettuato da una persona fisica nell’esercizio di attività a carattere esclusivamente personale o domestico, la corrispondenza e la compilazione di elenchi di indirizzi.
47.
Tale eccezione deve quindi interpretarsi nel senso che comprende unicamente le attività che si inseriscano nell’ambito della vita privata o familiare dei singoli, il che manifestamente non avviene nel caso del trattamento di dati personali consistente nella loro pubblicazione su Internet di modo da rendere tali dati accessibili ad un numero indefinito di persone.
48.
La terza questione va quindi risolta nel senso che un trattamento di dati personali come quello menzionato nella soluzione della prima questione non rientra in alcuna delle eccezioni che figurano nell’art. 3, n. 2, della direttiva 95/46.
Sulla quarta questione
49.
Con la quarta questione, il giudice del rinvio chiede se l’indicazione del fatto che una persona si è ferita ad un piede e si trova in congedo parziale per malattia costituisca un dato personale relativo alla salute ai sensi dell’art. 8, n. 1, della direttiva 95/46.
50.
In considerazione dell’oggetto di tale direttiva, occorre dare all’espressione «dati relativi alla salute» utilizzata nell’art. 8, n. 1, un’interpretazione ampia di guisa che comprenda informazioni riguardanti tutti gli aspetti, tanto fisici quanto psichici, della salute di una persona.
51.
La quarta questione va quindi risolta nel senso che l’indicazione del fatto che una persona si è ferita ad un piede e si trova in congedo parziale per malattia costituisce un dato personale relativo alla salute ai sensi dell’art. 8, n. 1, della direttiva 95/46.
Sulla quinta questione
52.
Con la quinta questione, il giudice a quo chiede in sostanza se si configuri un «trasferimento di dati personali verso paesi terzi» ai sensi dell’art. 25 della direttiva 95/46 nel caso in cui una persona che si trovi in uno Stato membro inserisca in una pagina Internet – caricata presso una persona fisica o giuridica che ospita il sito Internet sul quale la pagina può essere consultata (in prosieguo: il «fornitore di servizi di ospitalità») («web hosting provider») e che risiede nello stesso o in un altro Stato membro – dati personali, rendendoli così accessibili a chiunque si colleghi ad Internet, compresi coloro che si trovano in paesi terzi. Il giudice a quo chiede inoltre se la soluzione di tale questione rimanga la stessa anche nel caso in cui, in realtà, nessuna persona di un paese terzo abbia di fatto preso conoscenza di tali dati o nel caso in cui il server in cui la pagina è caricata si trovi, fisicamente, in un paese terzo.
Osservazioni presentate alla Corte
53.
La Commissione e il governo svedese ritengono che l’inserimento, con l’aiuto di un computer, di dati personali in una pagina Internet, di guisa che questi divengano accessibili a cittadini di paesi terzi, costituisca un trasferimento di dati verso paesi terzi ai sensi della direttiva 95/46. La risposta sarebbe la stessa se nessun cittadino di un paese terzo prendesse effettivamente conoscenza dei suddetti dati o se il server in cui essi sono caricati si trovasse, fisicamente, nel paese terzo.
54.
Il governo olandese ricorda che la nozione di «trasferimento» non è definita dalla direttiva 95/46. Esso ritiene, da un parte, che tale nozione debba essere intesa come riferita a un atto inteso deliberatamente a trasferire dati personali dal territorio di uno Stato membro verso un paese terzo, e, dall’altra, che non possa essere operata una distinzione tra le diverse forme nelle quali i dati sono resi accessibili a terzi. Esso ne conclude che l’introduzione di dati personali in una pagina Internet mediante un computer non può considerarsi come un trasferimento verso un paese terzo di dati personali ai sensi dell’art. 25 della direttiva 95/46.
55.
Il governo del Regno Unito afferma che l’art. 25 della direttiva 95/46 riguarda i trasferimenti di dati verso paesi terzi e non la loro accessibilità a partire da paesi terzi. La nozione di «trasferimento» implicherebbe la trasmissione di un dato da una persona che si trova in un luogo preciso ad una terza persona che si trova in un altro luogo. Sarebbe solo nel caso di un siffatto trasferimento che l’art. 25 della direttiva 95/46 impone agli Stati membri di provvedere all’adeguatezza del livello di tutela dei dati personali in un paese terzo.
Soluzione della Corte
56.
La direttiva 95/46 non definisce, né all’art. 25 né in alcun’altra disposizione, in particolare all’art. 2, la nozione di «trasferimento verso un paese terzo».
57.
Al fine di stabilire se l’inserimento in una pagina Internet di dati personali, per il solo fatto di rendere tali dati accessibili alle persone che si trovano in un paese terzo, costituisca un «trasferimento» di dati verso un paese terzo ai sensi dell’art. 25 della direttiva 95/46, occorre tener conto, da una parte, della natura tecnica delle operazioni così effettuate e, dall’altra, dell’obiettivo nonché della sistematica del capo IV della suddetta direttiva, in cui figura l’art. 25.
58.
Le informazioni che si trovano su Internet possono essere consultate da un numero indefinito di persone residenti in molteplici luoghi e in qualsiasi momento. Il carattere ubiquitario di tali informazioni risulta in particolare dal fatto che i mezzi tecnici usati nell’ambito di Internet sono relativamente semplici e sempre meno costosi.
59.
Secondo le modalità di uso di Internet, quali sono divenute disponibili a singoli come la sig.ra Lindqvist negli anni ’90, l’autore di una pagina destinata ad essere pubblicata in Internet trasmette i dati che costituiscono tale pagina al suo fornitore di servizi di ospitalità («web hosting provider»). Quest’ultimo gestisce l’infrastruttura informatica necessaria per garantire il caricamento di tali dati e la connessione del server che ospita il sito Internet. Ciò consente la successiva trasmissione di tali dati a chiunque sia collegato ad Internet e chieda di ottenerli. I computer che costituiscono questa infrastruttura informatica possono essere situati, e spesso lo sono, in uno o più paesi diversi da quello del luogo in cui ha sede il fornitore di servizi di ospitalità, senza che la clientela di questo ne abbia o possa ragionevolmente prenderne conoscenza.
60.
Dagli atti di causa risulta che, per ottenere le informazioni che figurano sulle pagine Internet nelle quali la sig.ra Lindqvist aveva inserito dati relativi ai suoi colleghi, un utente di Internet doveva non soltanto collegarsi a questo ma anche effettuare, con un procedimento personale, le azioni necessarie per consultare le suddette pagine. In altri termini, le pagine Internet della sig.ra Lindqvist non contenevano i meccanismi tecnici che avrebbero consentito l’invio automatico di tali informazioni a persone che non avessero deliberatamente cercato di accedere a dette pagine.
61.
Ne consegue che, in circostanze come quelle del caso di specie, i dati personali che giungono al computer di una persona che si trova in un paese terzo, provenienti da una persona che li ha caricati su un sito Internet, non sono stati trasferiti direttamente tra queste due persone ma attraverso l’infrastruttura informatica del fornitore di servizi di ospitalità in cui la pagina è caricata.
62.
E’ in tale contesto che occorre accertare se il legislatore comunitario avesse l’intenzione, ai fini dell’applicazione del capo IV della direttiva 95/46, di ricomprendere nella nozione di «trasferimento verso un paese terzo di dati personali», ai sensi dell’art. 25 della stessa direttiva, operazioni come quelle effettuate dalla sig.ra Lindqvist. Va rilevato che la quinta questione posta dal giudice a quo riguarda solo tali operazioni, restando escluse quelle effettuate dai fornitori di servizi di ospitalità.
63.
Il capo IV della direttiva 95/46, nel quale figura l’art. 25, predispone un regime speciale, implicante norme specifiche, che mira a garantire un controllo da parte degli Stati membri sui trasferimenti di dati personali verso i paesi terzi. Tale capitolo istituisce un regime complementare al regime generale attuato dal capo II della suddetta direttiva, riguardante la liceità di trattamenti di dati personali.
64.
L’obiettivo del capo IV viene definito nei considerando da cinquantasei a sessanta della direttiva 95/46, i quali dispongono in particolare che, se la tutela delle persone garantita nella Comunità da questa direttiva non osta al trasferimento di dati personali verso paesi terzi che garantiscano un livello di protezione adeguato, l’adeguatezza deve essere valutata in funzione di tutte le circostanze relative ad un trasferimento o ad una categoria di trasferimenti. Quando un paese terzo non offre un livello di protezione adeguato, il trasferimento di dati personali verso tale paese dev’essere vietato.
65.
L’art. 25 della direttiva 95/46 impone, da parte sua, agli Stati membri ed alla Commissione vari obblighi di controllo sui trasferimenti di dati personali verso i paesi terzi, tenuto conto del livello di protezione concesso a siffatti dati in ciascuno di tali paesi.
66.
In particolare, l’art. 25, n. 4, della direttiva 95/46 prevede che, qualora la Commissione constati che un paese terzo non garantisce un livello di protezione adeguato, gli Stati membri adottano le misure necessarie per impedire ogni trasferimento di dati personali verso il paese terzo in questione.
67.
Il capo IV della direttiva 95/46 non contiene alcuna disposizione riguardante l’uso di Internet. Esso non precisa in particolare i criteri che consentono di determinare se, per quanto riguarda le operazioni effettuate mediante fornitori di servizi di ospitalità, occorra basarsi sul luogo di stabilimento del fornitore o sul suo domicilio professionale ovvero sul o sui luoghi in cui sono situati i computer che costituiscono l’infrastruttura informatica del fornitore.
68.
Tenuto conto, da una parte, dello stato dello sviluppo di Internet all’epoca dell’elaborazione della direttiva 95/46 e, dall’altra, della mancanza, nel suo capo IV, di criteri applicabili all’uso di Internet, non si può presumere che il legislatore comunitario avesse l’intenzione di includere prospettivamente nella nozione di «trasferimenti verso un paese terzo di dati personali» l’inserimento, da parte di una persona che si trovi nella situazione della sig.ra Lindqvist, di dati in una pagina Internet, anche se questi sono così resi accessibili alle persone di paesi terzi in possesso dei mezzi tecnici per consultarli.
69.
Qualora l’art. 25 della direttiva 95/46 venisse interpretato nel senso che si configura un «trasferimento verso un paese terzo di dati personali» ogni volta che dati personali vengono caricati in una pagina Internet, tale trasferimento sarebbe necessariamente un trasferimento verso tutti i paesi terzi in cui esistono i mezzi tecnici necessari per accedere ad Internet. Il regime speciale previsto dal capo IV della suddetta direttiva diverrebbe quindi necessariamente, per quanto riguarda le operazioni su Internet, un regime di applicazione generale. Infatti, non appena la Commissione constatasse, ai sensi dell’art. 25, n. 4, della direttiva 95/46, che un solo paese terzo non garantisce un livello di protezione adeguato, gli Stati membri sarebbero tenuti ad impedire qualsiasi immissione in Internet di dati personali.
70.
Di conseguenza, occorre concludere che l’art. 25 della direttiva 95/46 dev’essere interpretato nel senso che operazioni come quelle effettuate dalla sig.ra Lindqvist non costituiscono di per sé un «trasferimento verso un paese terzo di dati». Non è quindi necessario accertare se una persona di un paese terzo abbia avuto accesso alla pagina Internet di cui trattasi o se il server di tale fornitore si trovi fisicamente in un paese terzo.
71.
La quinta questione va quindi risolta nel senso che non si configura un «trasferimento verso un paese terzo di dati» ai sensi dell’art. 25 della direttiva 95/46 allorché una persona che si trovi in uno Stato membro inserisce in una pagina Internet – caricata presso il suo fornitore di servizi di ospitalità («web hosting provider»), stabilito nello Stato stesso o in un altro Stato membro – dati personali, rendendoli così accessibili a chiunque si colleghi ad Internet, compresi coloro che si trovano in paesi terzi.
Sulla sesta questione
72.
Con la sesta questione, il giudice a quo chiede se si debba ritenere che le disposizioni della direttiva 95/46 pongano, in un caso come quello della fattispecie nella causa principale, limiti incompatibili con il principio generale della libertà d’espressione o con altre libertà e diritti, vigenti all’interno dell’Unione europea e che trovano corrispondenza, in particolare, nel diritto sancito dall’art. 10 della CEDU.
Osservazioni presentate alla Corte
73.
La sig.ra Lindqvist, riferendosi in particolare alla sentenza 6 marzo 2001, causa C-274/99 P, Connolly/Commissione (Racc. pag. I-1611), fa valere che la direttiva 95/46 e la PUL, in quanto prevedono condizioni di previo consenso e di previa notifica ad un’autorità di controllo nonché il principio del divieto di trattamento dei dati personali di natura sensibile, sono contrarie al principio generale della libertà di espressione riconosciuto nel diritto comunitario. Più in particolare, sostiene che la definizione di «trattamento di dati personali, automatizzati in tutto o in parte» non soddisfa i criteri di prevedibilità e di precisione.
74.
Inoltre, a suo avviso, il semplice fatto di citare per nome una persona fisica, di rivelare il suo recapito telefonico e le sue condizioni di lavoro nonché di dare informazioni sul suo stato di salute e sugli interessi coltivati nel tempo libero, informazioni che sarebbero pubbliche, notorie o banali, non è costitutivo di una violazione sostanziale del diritto al rispetto della vita privata. La sig.ra Lindqvist ritiene che, comunque, gli obblighi imposti dalla direttiva 95/46 siano sproporzionati rispetto all’obiettivo perseguito di proteggere la reputazione e la vita privata altrui.
75.
Il governo svedese considera che la direttiva 95/46 consente di soppesare gli interessi in questione e, quindi, di salvaguardare la libertà di espressione e la protezione della vita privata. Esso aggiunge che solo il giudice nazionale può, tenuto conto delle circostanze di ciascun singolo caso, valutare la proporzionalità della restrizione all’esercizio del diritto alla libertà di espressione che l’applicazione delle norme dirette alla tutela dei diritti altrui comporta.
76.
Il governo olandese ricorda che tanto la libertà di espressione quanto il diritto al rispetto della vita privata fanno parte dei principi generali del diritto di cui la Corte garantisce il rispetto e che la CEDU non stabilisce alcuna gerarchia tra i diversi diritti fondamentali. Esso ritiene quindi che il giudice nazionale debba sforzarsi di conciliare i diversi diritti fondamentali in questione prendendo in considerazione le circostanze del caso di specie.
77.
Il governo del Regno Unito rileva che la sua proposta di soluzione della quinta questione, esposta al punto 55 della presente sentenza, si concilia perfettamente con i diritti fondamentali e consente di evitare di recare pregiudizio in modo sproporzionato alla libertà di espressione. Esso aggiunge che un’interpretazione che abbia l’effetto di assoggettare la pubblicazione di dati personali in una forma particolare, vale a dire in una pagina Internet, a restrizioni molto più severe di quelle applicabili alle pubblicazioni realizzate in altre forme, come quelle su carta, sarebbe difficile da giustificare.
78.
La Commissione sostiene anch’essa che la direttiva 95/46 non implica una restrizione contraria al principio generale della libertà di espressione o ad altri diritti e libertà applicabili nell’Unione europea, corrispondenti in particolare al diritto sancito dall’art. 10 della CEDU.
Soluzione della Corte
79.
Dal settimo considerando della direttiva 95/46 risulta che l’instaurazione e il funzionamento del mercato interno possono essere gravemente perturbati dal divario esistente tra i regimi nazionali applicabili al trattamento dei dati personali. Secondo il terzo considerando della stessa direttiva, l’armonizzazione di tali regimi nazionali deve avere come obiettivi non solo la libera circolazione di tali dati tra Stati membri ma anche la salvaguardia dei diritti fondamentali dalla persona. Tali obiettivi possono evidentemente essere confliggenti.
80.
Da una parte, l’integrazione economica e sociale derivante dall’instaurazione e dal funzionamento del mercato interno comporterà necessariamente un sensibile un aumento dei flussi di dati personali tra tutti i soggetti della vita economica e sociale degli Stati membri, siano essi imprese o amministrazioni degli Stati membri. I suddetti soggetti hanno, in una certa misura, bisogno di disporre di dati personali per effettuare le loro transazioni o per assolvere i loro compiti nell’ambito dello spazio senza frontiere costituito dal mercato interno.
81.
D’altra parte, le persone interessate dal trattamento di dati personali chiedono giustamente che tali dati siano protetti in modo efficace.
82.
I meccanismi che consentono di conciliare questi diversi diritti e interessi sono contenuti, in primo luogo, nella stessa direttiva 95/46, in quanto essa prevede norme che determinano in quali situazioni ed in qual misura il trattamento dei dati personali è lecito e quali salvaguardie devono essere previste. In secondo luogo, essi risultano dall’adozione, da parte degli Stati membri, di disposizioni nazionali che garantiscono la trasposizione di tale direttiva e dall’eventuale applicazione di queste da parte delle autorità nazionali.
83.
Quanto alla stessa direttiva 95/46, le sue disposizioni sono per forza di cose relativamente generiche, visto ch’essa deve applicarsi a un gran numero di situazioni molto diverse. Pertanto, contrariamente a quanto assume la sig.ra Lindqvist, giustamente tale direttiva contiene norme caratterizzate da una certa elasticità e lascia in numerosi casi agli Stati membri il compito di decidere dei dettagli o di scegliere tra più opzioni.
84.
E’ vero che gli Stati membri dispongono sotto molti aspetti di un margine di manovra al fine di trasporre la direttiva 95/46. Tuttavia, niente consente di ritenere che il regime che questa contempla manchi di prevedibilità o che le sue disposizioni siano, in quanto tali, in contrasto con i principi generali del diritto comunitario e, in particolare, con i diritti fondamentali tutelati dall’ordinamento giuridico comunitario.
85.
E’ quindi, piuttosto, nella fase dell’attuazione sul piano nazionale della normativa che traspone la direttiva 95/46 in singoli casi di specie che dev’esser trovato un giusto equilibrio tra i diritti e gli interessi di cui trattasi.
86.
In tale contesto, i diritti fondamentali assumono una particolare rilevanza, come dimostra la causa principale, in cui in sostanza è necessario soppesare, da una parte, la libertà di espressione della sig.ra Lindqvist nell’ambito del suo lavoro come formatrice di comunicandi nonché la libertà di esercitare attività che contribuiscono alla vita religiosa, e, dall’altra, la tutela della vita privata delle persone a proposito delle quali la sig.ra Lindqvist ha inserito dati sul suo sito Internet.
87.
Di conseguenza, incombe alle autorità e ai giudici degli Stati membri non solo interpretare il loro diritto nazionale in modo conforme alla direttiva 95/46, ma anche provvedere a non fondarsi su un’interpretazione di quest’ultima che entri in conflitto con i diritti fondamentali tutelati dall’ordinamento giuridico comunitario o con gli altri principi generali del diritto comunitario, come, ad esempio, il principio di proporzionalità.
88.
Anche se la tutela della vita privata richiede l’applicazione di sanzioni efficaci nei confronti di coloro che trattano dati personali in modo non conforme della direttiva 95/46, siffatte sanzioni devono pur sempre osservare il principio di proporzionalità. Ciò vale a maggior ragione in quanto l’ambito dell’applicazione della direttiva 95/46 appare molto ampio e gli obblighi delle persone che procedono a trattamenti di dati personali sono numerosi e ingenti.
89.
In applicazione del principio di proporzionalità, incombe al giudice a quo prendere in considerazione tutte le circostanze della causa di cui è adito, in particolare la durata della violazione delle norme che attuano la direttiva 95/46 nonché la rilevanza, per gli interessati, della tutela dei dati divulgati.
90.
La sesta questione va quindi risolta nel senso che le disposizioni della direttiva 95/46 non pongono, di per sé, una restrizione incompatibile con il principio generale di libertà di espressione o con altri diritti e libertà, vigenti dall’Unione europea e che trovano corrispondenza, tra l’altro, nell’art. 10 della CEDU. Spetta alle autorità e ai giudici nazionali incaricati di applicare la normativa nazionale che traspone la direttiva 95/46 garantire il giusto equilibrio tra i diritti e gli interessi in gioco, ivi compresi i diritti fondamentali tutelati dall’ordinamento giuridico comunitario.
Sulla settima questione
91.
Con la settima questione il giudice del rinvio chiede, in sostanza, se gli Stati membri possano prevedere una tutela più ampia dei dati personali o ampliare l’ambito in applicazione della direttiva 95/46.
Osservazioni presentate alla Corte
92.
Il governo svedese sostiene che la direttiva 95/46 non si limita a fissare condizioni minime di protezione dei dati personali. Gli Stati membri sarebbero, nell’ambito della trasposizione di tale direttiva, tenuti a realizzare il livello di protezione stabilito da questa e non sarebbero legittimati a prevedere una tutela più ampia o meno ampia. Tuttavia, occorrerebbe tener conto del margine di discrezionalità di cui dispongono gli Stati membri al momento della suddetta trasposizione, allorché precisano nel loro ordinamento interno le condizioni generali di liceità del trattamento dei dati personali.
93.
Il governo dei Paesi Bassi assume che la direttiva 95/46 non osta a che gli Stati membri prevedano una protezione più ampia in taluni settori. Risulterebbe, ad esempio, dagli artt. 10, 11, n. 1, 14, primo comma, lett. a), 17, n. 3, 18, n. 5 e 19, n. 1, della suddetta direttiva che gli Stati membri possono prevedere una tutela più ampia. Inoltre, gli Stati membri sarebbero liberi di applicare il principi della direttiva 95/46 anche ad attività che non rientrano nell’ambito di applicazione di questa.
94.
La Commissione sostiene che la direttiva 95/46 è fondata sull’art. 100 A del Trattato o che, ove uno Stato membro voglia mantenere o istituire una normativa che deroghi ad una siffatta direttiva di armonizzazione, esso è tenuta a notificarla alla Commissione ai sensi dell’art. 95 CE, n. 4 o n. 5. La Commissione afferma quindi che uno Stato membro non può prevedere una protezione dei dati personali più estesa o un ambito di applicazione più ampio di quelli che risultano dalla suddetta direttiva.
Soluzione della Corte
95.
La direttiva 95/46 mira, come risulta in particolare dal suo ottavo considerando, a rendere equivalente in tutti gli Stati membri il livello di tutela dei diritti e delle libertà delle persone riguardo al trattamento dei dati personali. Il decimo considerando aggiunge che il ravvicinamento delle legislazioni nazionali applicabili in materia non deve avere per effetto un indebolimento della tutela da esse assicurate, ma deve anzi mirare a garantire un elevato grado di tutela nella Comunità.
96.
L’armonizzazione delle suddette legislazioni nazionali non si limita quindi ad un’armonizzazione minima, ma sfocia in un’armonizzazione che, in linea di principio, è completa. In quest’ottica la direttiva 95/46 intende garantire la libera circolazione dei dati personali, pur garantendo un alto livello di tutela dei diritti e degli interessi delle persone cui si riferiscono tali dati.
97.
Vero è che la direttiva 95/46 riconosce agli Stati membri un margine di manovra in taluni settori e che essa li autorizza a mantenere o a istituire regimi particolari per situazioni specifiche, come dimostrano molte delle sue disposizioni. Tuttavia, siffatte possibilità devono essere usate nel modo previsto dalla direttiva 95/46 ed in conformità del suo obiettivo, che consiste nel mantenere un equilibrio tra la libera circolazione dei dati personali e la tutela della vita privata.
98.
Per contro, nulla impedisce che uno Stato membro estenda la portata della normativa nazionale di attuazione della direttiva 95/46 a settori non compresi nell’ambito di applicazione di quest’ultima, qualora non vi osti alcun’altra disposizione del diritto comunitario.
99.
Alla luce di queste considerazioni, la settima questione va risolta nel senso che le misure adottate dagli Stati membri per garantire la protezione dei dati personali devono essere conformi tanto alle disposizioni della direttiva 95/46 quanto al suo obiettivo, consistente nel mantenere un equilibrio tra la libera circolazione dei dati personali e la tutela della vita privata. Per contro, nulla impedisce che uno Stato membro estenda la portata della normativa nazionale di attuazione della direttiva 95/46 a settori non compresi nell’ambito di applicazione di quest’ultima, qualora non vi osti alcun’altra disposizione del diritto comunitario.
Sulle spese
100.
Le spese sostenute dai governi svedese, dei Paesi Bassi e del Regno Unito, nonché dalla Commissione e dall’Autorità di vigilanza AELS, che hanno presentato osservazioni alla Corte, non possono dar luogo a rifusione. Nei confronti delle parti nella causa principale il presente procedimento costituisce un incidente sollevato dinanzi al giudice nazionale, cui spetta quindi statuire sulle spese.
Per questi motivi,
LA CORTE
pronunciandosi sulle questioni sottopostele dalla Göta Hovrätt con ordinanza 23 febbraio 2001, dichiara:
1) L’operazione consistente nel fare riferimento, in una pagina Internet, a diverse persone e nell’identificarle vuoi con il loro nome, vuoi con altri mezzi, ad esempio indicando il loro numero di telefono o informazioni relative alla loro situazione lavorativa e ai loro passatempo, costituisce un «trattamento di dati personali interamente o parzialmente automatizzato», ai sensi dell’art. 3, n. 1, della direttiva del Parlamento europeo e del Consiglio 24 ottobre 1995, 95/46/CE, relativa alla tutela delle persone fisiche con riguardo al trattamento dei dati personali, nonché alla libera circolazione di tali dati.
2) Un siffatto trattamento di dati personali non rientra in alcuna delle eccezioni che figurano nell’art. 3, n. 2, della direttiva 95/46.
3) L’indicazione del fatto che una persona si è ferita ad un piede e si trova in congedo parziale per malattia costituisce un dato personale relativo alla salute ai sensi dell’art. 8, n. 1, della direttiva 95/46.
4) Non si configura un «trasferimento verso un paese terzo di dati» ai sensi dell’art. 25 della direttiva 95/46 allorché una persona che si trovi in uno Stato membro inserisce in una pagina Internet – caricata presso una persona fisica o giuridica che ospita («web hosting») il sito Internet nel quale la pagina può essere consultata e che è stabilita nello Stato stesso o in un altro Stato membro – dati personali, rendendoli così accessibili a chiunque si colleghi ad Internet, compresi coloro che si trovano in paesi terzi.
5) Le disposizioni della direttiva 95/46 non pongono, di per sé, una restrizione incompatibile con il principio generale di libertà di espressione, o con altri diritti e libertà vigenti all’interno dell’Unione europea e che trovano corrispondenza, tra l’altro, nell’art. 10 della Convenzione europea per la salvaguardia dei diritti dell’uomo e delle libertà fondamentali, firmata a Roma il 4 novembre 1950. Spetta alle autorità e ai giudici nazionali incaricati di applicare la normativa interna che traspone la direttiva 95/46 garantire il giusto equilibrio tra i diritti e gli interessi in gioco, ivi compresi i diritti fondamentali tutelati dall’ordinamento giuridico comunitario.
6) Le misure adottate dagli Stati membri per garantire la protezione dei dati personali devono essere conformi tanto alle disposizioni della direttiva 95/46 quanto al suo obiettivo, consistente nel mantenere un equilibrio tra la libera circolazione dei dati personali e la tutela della vita privata. Per contro, nulla impedisce che uno Stato membro estenda la portata della normativa nazionale di attuazione della direttiva 95/46 a settori non compresi nell’ambito di applicazione di quest’ultima, qualora non vi osti alcun’altra disposizione del diritto comunitario.
Così deciso e pronunciato a Lussemburgo il 6 novembre 2003.
1: Lingua processuale: lo svedese.