Language of document : ECLI:EU:C:2002:513

CONCLUSIONI DELL'AVVOCATO GENERALE

ANTONIO TIZZANO

presentate il 19 settembre 2002 (1)

Causa C-101/01

Bodil Lindqvist

contro

Åklagarkammaren i Jönköping

(domanda di pronuncia pregiudiziale, proposta dal Göta Hovrätt)

«Direttiva 95/46/CE - Campo di applicazione»

1.
    Con ordinanza del 23 febbraio 2001 l'Hovrätt di Götaland (Svezia) ha sottoposto alla Corte sette quesiti pregiudiziali sull'interpretazione della direttiva del Parlamento europeo e del Consiglio, 95/46/CE del 24 ottobre 1995, relativa alla tutela delle persone fisiche con riguardo al trattamento dei dati personali, nonché alla libera circolazione di tali dati (nel prosieguo, la «direttiva 95/46» o semplicemente la «direttiva») (2). Tali quesiti riguardano in particolare il campo di applicazione della direttiva, il trasferimento di dati a carattere personale verso paesi terzi, la compatibilità della direttiva con i principi generali in materia di libertà di espressione e la possibilità di prevedere in sede nazionale una disciplina più restrittiva di quella comunitaria.

Quadro normativo

La Convenzione europea per la salvaguardia dei diritti dell'uomo e delle libertà fondamentali

2.
    Per ricostruire il quadro giuridico rilevante ai fini della presente causa, vanno anzitutto ricordati gli artt. 8 e 10 della Convenzione europea per la salvaguardia dei diritti dell'uomo e delle libertà fondamentali.

3.
    Il primo dispone in particolare:

«1. Ogni persona ha diritto al rispetto della sua vita privata e familiare, del suo domicilio e della sua corrispondenza.

2. Non può esservi ingerenza di una autorità pubblica nell'esercizio di tale diritto a meno che tale ingerenza sia prevista dalla legge e costituisca una misura che, in una società democratica, è necessaria per la sicurezza nazionale, per la pubblica sicurezza, per il benessere economico del paese, per la difesa dell'ordine e per la prevenzione dei reati, per la protezione della salute o della morale, o per la protezione dei diritti e delle libertà altrui».

4.
    Il secondo dispone invece:

«1. Ogni persona ha diritto alla libertà d'espressione. Tale diritto include la libertà d'opinione e la libertà di ricevere o di comunicare informazioni o idee senza che vi possa essere ingerenza da parte delle autorità pubbliche e senza considerazione di frontiera. Il presente articolo non impedisce agli Stati di sottoporre a un regime di autorizzazione le imprese di radiodiffusione, di cinema o di televisione.

2. L'esercizio di queste libertà, poiché comporta doveri e responsabilità, può essere sottoposto alle formalità, condizioni, restrizioni o sanzioni che sono previste dalla legge e che costituiscono misure necessarie, in una società democratica, per la sicurezza nazionale, per l'integrità territoriale o per la pubblica sicurezza, per la difesa dell'ordine e per la prevenzione dei reati, per la protezione della salute o della morale, per la protezione della reputazione o dei diritti altrui, per impedire la divulgazione di informazioni riservate o per garantire l'autorità e l'imparzialità del potere giudiziario».

La direttiva 95/46

5.
    Sul piano comunitario viene in rilievo la direttiva 95/46, adottata sulla base dell'art. 100 A del Trattato CE (divenuto art. 95 CE) per favorire la libera circolazione dei dati personali attraverso l’armonizzazione delle disposizioni legislative, regolamentari ed amministrative degli Stati membri sulla tutela delle persone fisiche rispetto al trattamento di tali dati.

6.
    Alla base della direttiva vi è l'idea «che il divario nei livelli di tutela dei diritti e delle libertà personali, in particolare della vita privata, garantiti negli Stati membri relativamente al trattamento di dati personali può impedire la trasmissione dei dati stessi fra territori degli Stati membri e che tale divario può pertanto costituire un ostacolo all'esercizio di una serie di attività economiche su scala comunitaria, falsare la concorrenza e ostacolare, nell'adempimento dei loro compiti, le amministrazioni che intervengono nell'applicazione del diritto comunitario» (settimo ‘considerando’). Il legislatore comunitario ha dunque ritenuto «che, per eliminare gli ostacoli alla circolazione dei dati personali, il livello di tutela dei diritti e delle libertà delle persone relativamente al trattamento di tali dati [dovesse] essere equivalente in tutti gli Stati membri». Per far ciò, era a suo giudizio necessaria una misura di armonizzazione a livello comunitario, in quanto l'obiettivo della libera circolazione dei dati personali, «fondamentale per il mercato interno, non [poteva] essere conseguito esclusivamente attraverso l'azione degli Stati membri, tenuto conto in particolare dell'ampia divergenza esistente (...) tra le normative nazionali in materia e della necessità di coordinarle affinché il flusso transfrontaliero di dati personali [fosse] disciplinato in maniera coerente e conforme all'obiettivo del mercato interno ai sensi dell'articolo 7 A del trattato» (ottavo ‘considerando’). In seguito all'adozione di una misura di armonizzazione, invece, «data la protezione equivalente derivante dal ravvicinamento delle legislazioni nazionali, gli Stati membri non [avrebbero potuto] più ostacolare la libera circolazione tra loro di dati personali per ragioni inerenti alla tutela dei diritti e delle libertà delle persone fisiche, segnatamente del diritto alla vita privata» (nono ‘considerando’).

7.
    Ciò posto, il legislatore comunitario ha ritenuto che nel determinare un livello di tutela «equivalente in tutti gli Stati membri» non si potesse prescindere dall'esigenza di salvaguardare «i diritti fondamentali della persona» (terzo ‘considerando’). In tal senso, esso ha in particolare considerato «che le legislazioni nazionali relative al trattamento dei dati personali hanno lo scopo di garantire il rispetto dei diritti e delle libertà fondamentali, in particolare del diritto alla vita privata, riconosciuto anche dall'articolo 8 della Convenzione europea per la salvaguardia dei diritti dell'uomo e delle libertà fondamentali e dai principi generali del diritto comunitario». Su questa base ha ritenuto che «il ravvicinamento di dette legislazioni non [dovesse] avere per effetto un indebolimento della tutela da esse assicurata ma [dovesse] anzi mirare a garantire un elevato grado di tutela nella Comunità» (decimo ‘considerando’).

8.
    Alla luce di tali premesse e motivazioni va dunque letto l'art. 1 della direttiva, che ne definisce in tal modo l'oggetto:

«1. Gli Stati membri garantiscono, conformemente alle disposizioni della presente direttiva, la tutela dei diritti e delle libertà fondamentali delle persone fisiche e particolarmente del diritto alla vita privata, con riguardo al trattamento dei dati personali.

2. Gli Stati membri non possono restringere o vietare la libera circolazione dei dati personali tra Stati membri, per motivi connessi alla tutela garantita a norma del paragrafo 1».

9.
    Quanto alle principali definizioni indicate dall'art. 2 della direttiva, ai presenti fini occorre ricordare che:

a)    per «dati personali» si intende «qualsiasi informazione concernente una persona fisica identificata o identificabile (“persona interessata”); si considera identificabile la persona che può essere identificata, direttamente o indirettamente, in particolare mediante riferimento ad un numero di identificazione o ad uno o più elementi specifici caratteristici della sua identità fisica, fisiologica, psichica, economica, culturale o sociale»;

b)    per «trattamento di dati personali» si intende «qualsiasi operazione o insieme di operazioni compiute con o senza l'ausilio di processi automatizzati e applicate a dati personali, come la raccolta, la registrazione, l'organizzazione, la conservazione, l'elaborazione o la modifica, l'estrazione, la consultazione, l'impiego, la comunicazione mediante trasmissione, diffusione o qualsiasi altra forma di messa a disposizione, il raffronto o l'interconnessione, nonché il congelamento, la cancellazione o la distruzione»;

c)    per «archivio di dati personali» si intende «qualsiasi insieme strutturato di dati personali accessibili, secondo criteri determinati, indipendentemente dal fatto che tale insieme sia centralizzato, decentralizzato o ripartito in modo funzionale o geografico»;

d)    per «responsabile del trattamento» si intende «la persona fisica o giuridica, l'autorità pubblica, il servizio o qualsiasi altro organismo che, da solo o insieme ad altri, determina le finalità e gli strumenti del trattamento di dati personali».

10.
    L'art. 3 definisce il campo di applicazione della direttiva, precisando, al n. 1, che le sue disposizioni «si applicano al trattamento di dati personali interamente o parzialmente automatizzato nonché al trattamento non automatizzato di dati personali contenuti o destinati a figurare negli archivi». Ai sensi del n. 2, sono tuttavia esclusi dal campo di applicazione della direttiva i trattamenti di dati personali:

-    «effettuati per l'esercizio di attività che non rientrano nel campo di applicazione del diritto comunitario, come quelle previste dai titoli V e VI del trattato sull'Unione europea e comunque [i] trattamenti aventi come oggetto la pubblica sicurezza, la difesa, la sicurezza dello Stato (compreso il benessere economico dello Stato, laddove tali trattamenti siano connessi a questioni di sicurezza dello Stato) e le attività dello Stato in materia di diritto penale»;

-    ovvero «effettuati da una persona fisica per l'esercizio di attività a carattere esclusivamente personale o domestico» (3).

11.
    Ai presenti fini, vanno inoltre ricordate alcune disposizioni del capo II della direttiva («condizioni generali di liceità dei trattamenti di dati personali»; artt. 5-21), cominciando dall'art. 7, relativo ai casi in cui «il trattamento di dati personali può essere effettuato». Al riguardo, si deve in particolare segnalare che, accanto ad altre ipotesi che non vengono in rilievo nel caso in esame, alla lett. a) è stabilito che un tale trattamento può essere effettuato quando «la persona interessata ha manifestato il proprio consenso in maniera inequivocabile».

12.
    All'art. 8 è invece dettato uno speciale regime per determinate categorie di dati sensibili. In particolare, il n. 1 prevede che in linea di principio gli «Stati membri vietano il trattamento di dati personali che rivelano l'origine razziale o etnica, le opinioni politiche, le convinzioni religiose o filosofiche, l'appartenenza sindacale, nonché il trattamento di dati relativi alla salute e alla vita sessuale». Accanto ad altre eccezioni che non vengono qui in rilievo, il n. 2 precisa però che tale disposizione non si applica qualora «la persona interessata abbia dato il proprio consenso esplicito a tale trattamento, salvo nei casi in cui la legislazione dello Stato membro preveda che il consenso della persona interessata non sia sufficiente per derogare al divieto di cui al paragrafo 1».

13.
    Per conciliare le esigenze di tutela rispetto ai trattamenti di dati personali con il principio della libertà d'espressione, l'art. 9 stabilisce poi che gli «Stati membri prevedono, per il trattamento di dati personali effettuato esclusivamente a scopi giornalistici o di espressione artistica o letteraria, le esenzioni o le deroghe alle disposizioni del presente capo e dei capi IV e VI solo qualora si rivelino necessarie per conciliare il diritto alla vita privata con le norme sulla libertà d'espressione».

14.
    Sempre con riferimento alle «condizioni generali di liceità dei trattamenti di dati personali», ai presenti fini conviene inoltre ricordare che, ai sensi dell'art. 18, e salvo eccezioni, i trattamenti di dati personali devono essere preventivamente notificati dai loro responsabili ad apposite autorità di controllo da istituire negli Stati membri.

15.
    Va infine ricordato l'art. 25 della direttiva, secondo cui «il trasferimento verso un paese terzo di dati personali oggetto di un trattamento o destinati a essere oggetto di un trattamento dopo il trasferimento può aver luogo soltanto se il paese terzo di cui trattasi garantisce un livello di protezione adeguato» (n. 1). L'adeguatezza del livello di protezione «è valutata con riguardo a tutte le circostanze relative ad un trasferimento o ad una categoria di trasferimenti di dati; in particolare sono presi in considerazione la natura dei dati, le finalità del o dei trattamenti previsti, il paese d'origine e il paese di destinazione finale, le norme di diritto, generali o settoriali, vigenti nel paese terzo di cui trattasi, nonché le regole professionali e le misure di sicurezza ivi osservate» (n. 2).

La normativa svedese

16.
    La Svezia ha attuato la direttiva 95/46 con la Personuppgiftslag (legge sui dati personali) (4). Ai presenti fini, occorre in particolare sottolineare che, ai sensi dell'art. 49, n. 1, lett. b)-d), di tale legge, in Svezia vengono puniti come reati: l'omessa comunicazione di un trattamento automatizzato di dati personali alla competente autorità di controllo (la Datainspektion); il trattamento di dati sensibili, tra i quali quelli relativi alla salute; ed il trasferimento non autorizzato verso paesi terzi di dati personali sottoposti ad un trattamento. Va inoltre osservato che dai lavori preparatori della Personuppgiftslag risulta che tale legge non è destinata ad avere un ambito di applicazione diverso da quello della direttiva.

Fatti e procedura

17.
    Nell'autunno 1998, al di fuori del suo impiego abituale, la signora Bodil Lindqvist collaborava a titolo gratuito come catechista nella parrocchia di Alseda in Svezia. Nell'ambito di tale attività, per consentire ai parrocchiani di ottenere facilmente le informazioni di cui avevano bisogno, la signora Lindqvist aveva creato una home page in Internet, inserendovi alcuni dati su di sé, su suo marito e su sedici colleghi della parrocchia, identificati, a seconda dei casi, con il solo nome od anche con il cognome. Più specificamente, nella home page erano illustrate, in termini leggermente scherzosi, le mansioni dei colleghi e le loro abitudini nel tempo libero; in alcuni casi, era inoltre descritta la loro situazione familiare ed erano indicati i recapiti telefonici ed altre informazioni personali. Tra le varie informazioni fornite, per quanto qui interessa, era in particolare riferito il fatto che una collega si trovava in congedo parziale per malattia a causa di una ferita ad un piede. A tale home page si poteva accedere anche attraverso il sito internet della Chiesa svedese, nel quale, su richiesta della signora Lindqvist, era stato inserito un apposito link.

18.
    Dell'esistenza della home page la signora Lindqvist non aveva informato i suoi colleghi, ai quali non era stato quindi neppure chiesto il consenso per un trattamento dei loro dati. Della creazione della home page non era stata poi informata neanche la Datainspektion, cui non era stato notificato alcun trattamento di dati personali. La home page ha tuttavia avuto una vita breve, in quanto la signora Lindqvist ha prontamente provveduto ad eliminarla non appena ha saputo che taluni colleghi non apprezzavano la sua iniziativa.

19.
    Per la creazione della home page, e nonostante la sua tempestiva soppressione, nei confronti della signora Lindqvist è stato promosso in Svezia un procedimento penale ai sensi dell'art. 49, n. 1, lett. b)-d) della Personuppgiftslag. Nell'ambito di tale procedimento le è stato in particolare contestato: di aver sottoposto a trattamento automatizzato taluni dati senza prima informarne per iscritto la Datainspektion; di aver trattato dati sensibili, quali quelli relativi alla ferita della collega ed al conseguente congedo parziale per malattia; e di aver trasferito senza autorizzazione verso paesi terzi dati personali sottoposti ad un trattamento.

20.
    La signora Lindqvist ha confermato la veridicità delle circostanze di fatto dedotte dalla pubblica accusa, ma ne ha contestato la rilevanza penale. I suoi argomenti sono stati tuttavia respinti dal giudice adito, che l'ha condannata al pagamento di un'ammenda con una sentenza che è stata successivamente impugnata dalla signora Lindqvist dinanzi alla Hovrätt.

21.
    Considerato che in corso di causa era stata contestata la compatibilità della normativa svedese con le disposizioni della direttiva ed erano state sollevate delicate questioni sull'interpretazione di tali disposizioni, la Hovrätt ha quindi sospeso il giudizio per sottoporre alla Corte di giustizia i seguenti quesiti pregiudiziali:

«1) Se l'indicazione di una persona - con il nome o con il nome e il numero di telefono - in una pagina iniziale su Internet costituisca un comportamento che rientra nell'ambito di applicazione della direttiva. Se il realizzare personalmente una pagina iniziale su Internet e l'inserirvi il nome di un certo numero di persone unitamente a dichiarazioni e affermazioni riguardanti, tra l'altro, la situazione lavorativa di queste ultime e gli interessi da esse coltivati nel tempo libero costituisca un “trattamento di dati personali interamente o parzialmente automatizzato”.

2) Ove la questione precedente venga risolta negativamente, se il redigere, all'interno di una pagina iniziale su Internet, pagine che riguardano specificamente una quindicina di persone e il collegare tali pagine tra di esse in modo da consentire la ricerca nominativa possa essere considerato un “trattamento non automatizzato di dati personali contenuti o destinati a figurare negli archivi” ai sensi dell'art. 3, n. 1, della direttiva.

Per il caso in cui una delle questioni precedenti venga risolta positivamente, la Hovrätt pone anche le questioni seguenti:

3) Se il pubblicare, in una pagina iniziale privata ma accessibile a chiunque ne conosca l'indirizzo, dati del tipo indicato relativi a colleghi di lavoro possa essere considerato un comportamento che non rientra nell'ambito di applicazione della direttiva in forza di una delle eccezioni di cui all'art. 3, n. 2, della stessa.

4) Se l'informazione in una pagina iniziale che un collega di lavoro, di cui viene specificato il nome, si è ferito ad un piede e si trova in congedo parziale per malattia costituisca un dato personale relativo alla salute che, a norma dell'art. 8, n. 1, della direttiva, non può essere trattato.

5) Considerato che in certi casi la direttiva vieta il trasferimento di dati personali verso paesi terzi, se una persona che si trova in Svezia e che, servendosi di un computer, pubblica dati personali in una pagina iniziale caricata su un server in Svezia - di modo che tali dati divengono accessibili ai cittadini di paesi terzi - trasferisca dati verso paesi terzi ai sensi della direttiva. Se la soluzione di tale questione rimanga la stessa anche nel caso in cui, per quanto si sappia, nessuna persona di un paese terzo abbia di fatto preso conoscenza dei dati o nel caso in cui il server di cui trattasi si trovi fisicamente in un paese terzo.

6) Se in un caso come quello di specie si possa ritenere che le disposizioni della direttiva pongano limiti incompatibili con i principi generali in materia di libertà di espressione, o con altre libertà e diritti, vigenti all'interno dell'Unione europea e che trovano corrispondenza, tra l'altro, nell'art. 10 della Convenzione europea per la salvaguardia dei diritti dell'uomo e delle libertà fondamentali.

La Hovrätt desidera infine porre la seguente questione:

7) Se uno Stato membro possa, nelle circostanze indicate nelle questioni precedenti, prevedere una tutela più ampia dei dati personali o ampliare l'ambito di applicazione della direttiva, anche ove non ricorra nessuna delle condizioni di cui all'art. 13 della medesima».

22.
    Nel procedimento che si è successivamente instaurato dinanzi alla Corte, oltre alla signora Lindqvist ed al Regno di Svezia, hanno presentato osservazioni il Regno dei Paesi Bassi, il Regno Unito e la Commissione.

Analisi giuridica

Premessa

23.
    Come si è visto, il giudice a quo sottopone alla Corte numerosi quesiti, relativi: al campo di applicazione della direttiva; all'interpretazione degli artt. 8 e 25; alla validità delle sue disposizioni con riferimento a principi generali del diritto comunitario; ed alla possibilità per gli Stati membri di assicurare un livello di tutela più elevato di quello garantito dalla direttiva.

24.
    Più specificamente con riferimento al campo di applicazione della direttiva, il giudice non sembra avere dubbi sul fatto che nella specie si sia in presenza di un «trattamento di dati personali», né del resto alcun dubbio al riguardo è stato sollevato dalle parti intervenute. E' infatti evidente:

-    da un lato, che le informazioni relative ai colleghi della signora Lindqvist (nome, cognome, numero di telefono, attività lavorativa, hobbies ecc.) costituiscono «dati personali», rientrando in tale categoria «qualsiasi informazione concernente una persona fisica identificata o identificabile» [art. 2, lett. a)];

-    dall'altro, che il fatto di inserire dette informazioni in una home page del tipo di quella in esame dà luogo ad un «trattamento» dei dati personali, posto che anche a tal riguardo la direttiva accoglie una nozione particolarmente ampia, nella quale fa rientrare «qualsiasi operazione o insieme di operazioni compiute con o senza l'ausilio di processi automatizzati e applicate a dati personali, come la raccolta, la registrazione, l'organizzazione, la conservazione, l'elaborazione o la modifica, l'estrazione, la consultazione, l'impiego, la comunicazione mediante trasmissione, diffusione o qualsiasi altra forma di messa a disposizione, il raffronto o l'interconnessione, nonché il congelamento, la cancellazione o la distruzione» [art. 2, lett. b)].

25.
    Non ogni «trattamento di dati personali» rientra però nel campo di applicazione della direttiva. L'art. 3, n. 1, stabilisce infatti che le disposizioni della direttiva si applicano solo al trattamento di dati personali «interamente o parzialmente automatizzato» od al trattamento «non automatizzato di dati personali contenuti o destinati a figurare negli archivi». In termini più generali, poi, ai sensi del n. 2 di tale articolo, le disposizioni della direttiva non si applicano ai trattamenti di dati personali «effettuati per l'esercizio di attività che non rientrano nel campo di applicazione del diritto comunitario» (5) (primo trattino) ed a quelli «effettuati da una persona fisica per l'esercizio di attività a carattere esclusivamente personale o domestico» (secondo trattino).

26.
    Con riferimento ai limiti posti da tali disposizioni al campo di applicazione della direttiva, con i primi tre quesiti il giudice a quo vuole dunque sapere:

i)    se l'inserimento delle informazioni in questione nella home page costituisca un trattamento di dati personali «in tutto o in parte automatizzato» (primo quesito) ovvero un trattamento «non automatizzato di dati personali contenuti o destinati a figurare negli archivi di dati» (secondo quesito);

ii)    se un trattamento di dati personali del tipo di quello in esame sia comunque escluso dal campo di applicazione della direttiva, in quanto effettuato «per l'esercizio di attività che non rientrano nel campo di applicazione del diritto comunitario» ovvero perché effettuato «da una persona fisica per l'esercizio di attività a carattere esclusivamente personale o domestico» (terzo quesito).

27.
    Nonostante il diverso ordine seguito dal giudice a quo, le questioni sollevate con il terzo quesito devono a mio avviso essere risolte in via preliminare. In effetti, dato il carattere più generale dell'art. 3, n. 2, mi pare evidente che anche i trattamenti di dati personali in tutto o in parte automatizzati od i trattamenti non automatizzati di dati personali contenuti o destinati a figurare negli archivi di dati esulano dal campo di applicazione della direttiva se sono effettuati per l'esercizio di attività che non rientrano nel campo di applicazione del diritto comunitario o sono effettuati da una persona fisica per l'esercizio di attività a carattere esclusivamente personale o domestico. Ma così stando le cose, una risposta affermativa al terzo quesito renderebbe allora superfluo l'esame dei primi due. Comincerò dunque dall'esame di quel quesito.

Sul terzo quesito

Argomenti delle parti

28.
    Su tale quesito hanno presentato osservazioni tutte le parti intervenute ad eccezione del Regno Unito, che si è limitato ad esaminare il quinto ed il sesto quesito.

29.
    La signora Lindqvist ritiene che solo i trattamenti di dati personali effettuati nel quadro di attività economiche rientrino nel campo di applicazione della direttiva, la quale non coprirebbe dunque un trattamento (come quello in esame) effettuato senza alcuna remunerazione e al di fuori di qualsiasi attività di carattere economico. In caso contrario, secondo la signora Lindqvist, si porrebbe un problema di validità della direttiva, in quanto l'art. 95 CE (sulla base del quale la direttiva è stata adottata) non consentirebbe di disciplinare a livello comunitario attività che non hanno alcuna attinenza con l'obiettivo della realizzazione del mercato interno. Regolare tali attività con una direttiva di armonizzazione adottata sulla base di tale articolo implicherebbe invero una violazione del principio sancito all'art. 5 CE, secondo cui la «Comunità agisce nei limiti delle competenze che le sono conferite e degli obiettivi che le sono assegnati dal presente trattato».

30.
    Pur se con qualche dubbio, anche il governo svedese sembra ritenere che la pubblicazione di dati personali su una home page creata da una persona fisica nell’esercizio della propria libertà d'espressione e senza alcun nesso con qualsivoglia attività professionale o commerciale non rientri nel campo di applicazione del diritto comunitario. Quanto invece alla portata del secondo trattino dell'art. 3, n. 2, tale governo ritiene che la diffusione di dati personali per mezzo di Internet non possa essere qualificata come «attività a carattere esclusivamente personale o domestico», in quanto comporta la trasmissione di questi a un numero indeterminato di persone.

31.
    Il governo olandese, da parte sua, non ritiene che il trattamento in esame esuli dal campo di applicazione della direttiva in forza dei limiti posti dalle due disposizioni di cui all'art. 3, n. 2. In particolare, anch'esso esclude che l'attività in questione sia di natura puramente personale o domestica, in quanto implica la diffusione di dati personali ad un numero di persone indeterminabile ed illimitato.

32.
    Secondo la Commissione, infine, il campo di applicazione della direttiva andrebbe interpretato estensivamente, in modo da farvi rientrare un trattamento del tipo di quello in esame. Con riferimento al primo trattino dell'art. 3, n. 2, la Commissione sottolinea in particolare che il diritto comunitario non si limita a disciplinare attività di carattere economico ed osserva, tra l'altro, che l'art. 6 del Trattato UE impone il rispetto dei diritti fondamentali in quanto principi generali dell'ordinamento comunitario. Essa osserva poi che, come risulta dai suoi ‘considerando’, la direttiva mira anche a contribuire al progresso sociale ed al benessere degli individui, non potendosi del resto escludere che essa intenda regolamentare la libera circolazione dei dati personali anche come esercizio di un'attività sociale compiuta nel quadro dell'integrazione e del funzionamento del mercato interno. Secondo la Commissione, inoltre, l'attività in esame ricadrebbe nell'ambito di applicazione del diritto comunitario anche perché, ai sensi dell'art. 49 CE, la signora Lindqvist sarebbe «destinataria di servizi» (6) connessi all'utilizzo di Internet (in particolare di servizi di telecomunicazioni). La Commissione osserva infine che nel caso in esame non si sarebbe in presenza di «attività a carattere esclusivamente personale o domestico»: in primo luogo, perché una home page sarebbe accessibile da parte di chiunque utilizzi un motore di ricerca, e non solo da chi già ne conosce l'indirizzo; in secondo luogo, perché tali attività sarebbero per definizione soltanto quelle concernenti la vita privata di chi tratta i dati.

Valutazione

33.
    Come più volte sottolineato, si deve qui valutare se un trattamento di dati personali del tipo di quello in esame sia sottratto al campo di applicazione della direttiva ai sensi dell'art. 3, n. 2, in quanto effettuato «per l'esercizio di attività che non rientrano nel campo di applicazione del diritto comunitario» ovvero perché effettuato «da una persona fisica per l'esercizio di attività a carattere esclusivamente personale o domestico».

34.
    Cominciando dal secondo aspetto, condivido il giudizio della Commissione e dei governi di Svezia e Paesi Bassi, secondo cui un trattamento come quello in esame non può ritenersi effettuato per l’esercizio di «attività a carattere esclusivamente personale o domestico». Ritengo, in effetti, che in tale categoria rientrino solo attività come «la corrispondenza e la compilazione di elenchi di indirizzi» (menzionate a titolo di esempio al dodicesimo ‘considerando’), e cioè attività chiaramente private e riservate, destinate a restare confinate nella sfera personale o domestica degli interessati. Non credo quindi che possa considerarsi tale un'attività che presenta una forte connotazione sociale, quale l'attività di catechesi svolta dalla signora Lindqvist in seno alla comunità parrocchiale. E ciò tanto più se si considera che il trattamento effettuato dalla signora Lindqvist travalica chiaramente la sua sfera personale e domestica, comportando addirittura la pubblicazione di dati personali su una home page accessibile da chiunque, da qualsiasi parte del mondo, anche grazie ad un apposito link inserito in un sito noto al pubblico (e comunque facilmente rintracciabile con un motore di ricerca) quale quello della Chiesa svedese.

35.
    Sono invece d'accordo con la signora Lindqvist sul fatto che il trattamento di cui trattasi sia effettuato «per l'esercizio di attività che non rientrano nel campo di applicazione del diritto comunitario».

36.
    In proposito osservo infatti che la home page in questione è stata creata dalla signora Lindqvist, senza alcun intento di sfruttamento economico, esclusivamente come supporto per l'attività di catechesi svolta, a titolo gratuito e al di fuori di qualsiasi rapporto lavorativo, in seno alla comunità parrocchiale. Il trattamento di dati personali di cui si discute è stato dunque effettuato per un'attività di carattere non economico, che non presenta nessun legame (o quanto meno nessun legame diretto) con l'esercizio delle libertà fondamentali garantite dal Trattato e non forma oggetto di alcuna specifica disciplina a livello comunitario. Se ne deve pertanto dedurre, a mio avviso, che tale trattamento è effettuato per l'esercizio di un'attività che non rientra nel campo di applicazione del diritto comunitario, ai sensi dell'art. 3, n. 2, della direttiva.

37.
    Mi sembra del resto forzata la tesi della Commissione secondo cui l'attività in questione rientrerebbe nel campo di applicazione del diritto comunitario, perché nel suo svolgimento la signora Lindqvist sarebbe destinataria di numerosi servizi connessi all'utilizzo di Internet (in particolare di servizi di telecomunicazioni) e si avvarrebbe dunque dei diritti conferiti dall'art. 49 CE. A parte infatti che dall'ordinanza di rinvio e dagli atti di causa non emerge alcun elemento transfrontaliero che possa giustificare l'applicazione dell'art. 49 nel caso di specie (7), mi pare fin troppo evidente che l'art. 3, n. 2, della direttiva sarebbe completamente svuotato di significato se si dovessero far rientrare nel campo di applicazione del diritto comunitario tutte le attività, anche non economiche, per il cui esercizio ci si avvale di servizi di telecomunicazioni o di servizi di altro genere. Se si seguisse tale logica, si dovrebbero allora assoggettare alla direttiva, ogniqualvolta per il loro svolgimento si ricorra a detti servizi, anche le attività «previste dai titoli V e VI del trattato sull'Unione europea», che invece sono espressamente menzionate dall'art. 3, n. 2, quali esempi di «attività che non rientrano nel campo di applicazione del diritto comunitario».

38.
    Ma forzato mi sembra anche il tentativo della Commissione di far rientrare l'attività della signora Lindqvist nel campo di applicazione della direttiva per il fatto che questa non si limiterebbe a perseguire fini economici, ma si porrebbe anche obiettivi connessi ad esigenze di carattere sociale ed alla tutela dei diritti fondamentali.

39.
    Al riguardo, conviene ricordare che la direttiva è stata adottata sulla base dell'art. 100 A del Trattato per favorire la libera circolazione dei dati personali attraverso l'armonizzazione delle disposizioni legislative, regolamentari ed amministrative degli Stati membri sulla tutela delle persone fisiche rispetto al trattamento di tali dati. Il legislatore comunitario ha in particolare voluto stabilire un livello di tutela «equivalente in tutti gli Stati membri», al fine di eliminare gli ostacoli alla circolazione dei dati personali derivanti dal «divario nei livelli di tutela dei diritti e delle libertà personali, in particolare della vita privata, garantiti negli Stati membri» (settimo ed ottavo ‘considerando’) (8). Ciò in quanto, una volta adottata la direttiva di armonizzazione, «data la protezione equivalente derivante dal ravvicinamento delle legislazioni nazionali, gli Stati membri non [avrebbero potuto] più ostacolare la libera circolazione tra loro di dati personali per ragioni inerenti alla tutela dei diritti e delle libertà delle persone fisiche, segnatamente del diritto alla vita privata» (nono ‘considerando’).

40.
    E' ben vero che nel determinare il livello di tutela «equivalente in tutti gli Stati membri» il legislatore ha tenuto conto dell'esigenza di «promuovere il progresso economico e sociale» e (soprattutto) di salvaguardare «i diritti fondamentali della persona» (secondo e terzo ‘considerando’), nell'intento di garantire un «elevato grado» di detta tutela (decimo ‘considerando’). Ma tutto ciò sempre nel quadro e al fine della realizzazione dell’obiettivo principale della direttiva, e cioè al fine di favorire la libera circolazione dei dati personali, in quanto ritenuta «fondamentale per il mercato interno» (ottavo ‘considerando’).

41.
    La promozione del progresso economico e sociale e la salvaguardia dei diritti fondamentali rappresentano dunque importanti valori ed esigenze di cui il legislatore comunitario ha tenuto conto nel delineare la disciplina armonizzata necessaria per l'instaurazione ed il funzionamento del mercato interno, ma non autonomi obiettivi della direttiva. Diversamente, si dovrebbe ritenere che la direttiva intenda tutelare gli individui rispetto al trattamento dei dati personali anche a prescindere dall'obiettivo di favorire la libera circolazione di tali dati, con l'incongrua conseguenza di far rientrare nel suo campo di applicazione pure trattamenti effettuati per l'esercizio di attività che abbiano qualche rilevanza sociale ma che non presentino alcun rapporto con l'instaurazione ed il funzionamento del mercato interno.

42.
    D'altra parte, come ha sottolineato la signora Lindqvist, se si attribuissero alla direttiva, oltre al fine di favorire la libera circolazione dei dati personali nel mercato interno, anche ulteriori ed autonomi obiettivi connessi ad esigenze di carattere sociale ed alla tutela dei diritti fondamentali (in particolare del diritto alla vita privata), si rischierebbe di mettere in causa la stessa validità della direttiva, dato che la sua base giuridica risulterebbe in tal caso palesemente inadeguata. L'art. 100 A non potrebbe infatti essere invocato a fondamento di misure che trascendessero le specifiche finalità menzionate in tale disposizione, e cioè per misure che non fossero giustificate dall'obiettivo di favorire «l'instaurazione ed il funzionamento del mercato interno».

43.
    Ricordo a tal proposito che proprio recentemente nella nota sentenza che ha annullato la direttiva 98/43/CE (9) per difetto di base giuridica, la Corte ha avuto appunto modo di chiarire che «le misure di cui all'art. 100 A, n. 1, del Trattato sono destinate a migliorare le condizioni di instaurazione e di funzionamento del mercato interno. Interpretare tale articolo nel senso che attribuisca al legislatore comunitario una competenza generale a disciplinare il mercato interno non solo sarebbe contrario al tenore stesso delle disposizioni citate, ma sarebbe altresì incompatibile con il principio sancito all'art. 3 B del Trattato CE (divenuto art. 5 CE), secondo cui le competenze della Comunità sono competenze di attribuzione» (10). Con specifico riferimento poi alla tutela dei diritti fondamentali, ricordo che nel noto parere 2/94, successivo all'adozione della direttiva, la Corte ha esplicitamente affermato che «nessuna disposizione del Trattato attribui[va] alle istituzioni comunitarie, in termini generali, il potere di dettare norme in materia di diritti dell'uomo (11).

44.
    Alla luce dell'insieme delle considerazioni che precedono, propongo dunque di rispondere al presente quesito che, ai sensi dell'art. 3, n. 2, primo trattino, della direttiva, non rientra nel campo di applicazione della direttiva stessa un trattamento di dati personali consistente nella creazione, senza alcun intento di sfruttamento economico, di una home page del tipo di quella in esame, che sia destinata esclusivamente a supportare l'attività di catechesi svolta, a titolo gratuito e al di fuori di qualsiasi rapporto lavorativo, in seno alla comunità parrocchiale.

Sugli altri quesiti

45.
    Essendo giunto alla conclusione che un trattamento di dati personali del tipo di quello in esame non rientra nel campo di applicazione della direttiva, non credo che debbano essere esaminati gli altri quesiti formulati dal giudice a quo.

Conclusioni

46.
    Alla luce delle considerazioni dianzi esposte, propongo dunque di rispondere all'Hovrätt di Götaland nei seguenti termini:

«Ai sensi dell'art. 3, n. 2, primo trattino, della direttiva 95/46/CE, non rientra nel campo di applicazione della direttiva stessa un trattamento di dati personali consistente nella creazione, senza alcun intento di sfruttamento economico, di una home page del tipo di quella in esame, che sia destinata esclusivamente a supportare l'attività di catechesi svolta, a titolo gratuito e al di fuori di qualsiasi rapporto lavorativo, in seno alla comunità parrocchiale».

    


1: -     Lingua originale: l'italiano.


2: -     GU L 281, pag. 31.


3: -     Come esempi di attività «a carattere esclusivamente personale o domestico», al dodicesimo ‘considerando’ sono in particolare menzionate «la corrispondenza e la compilazione di elenchi di indirizzi».


4: -     Personuppgiftslag, Svensk författningssamling (SFS) 1998:204.


5: -     A titolo di esempio la disposizione in esame cita le attività «previste dai titoli V e VI del trattato sull'Unione europea». Viene poi aggiunto che sono comunque esclusi i «trattamenti aventi come oggetto la pubblica sicurezza, la difesa, la sicurezza dello Stato (compreso il benessere economico dello Stato, laddove tali trattamenti siano connessi a questioni di sicurezza dello Stato) e le attività dello Stato in materia di diritto penale».


6: -     Al riguardo la Commissione richiama in particolare, per analogia, le note sentenze 31 gennaio 1984, cause riunite 286/82 e 26/83, Luisi e Carbone (Racc. pag. 377), e 2 febbraio 1989, causa 186/87, Cowan (Racc. pag. 195).


7: -     Tra tante, v. da ultimo le sentenze 9 settembre 1999, causa C-108/98, RI.SAN. (Racc. pag. I-5219, punto 23); 21 ottobre 1999, causa C-97/98, Jägerskiöld (Racc. pag. I-7319, punto 42); e 11 aprile 2000, cause riunite C-51/96 e C-191/97, Deliège (Racc. pag. I-2549, punto 58).


8: -     Al settimo ‘considerando’ è in particolare sottolineato che tale divario avrebbe potuto «costituire un ostacolo all'esercizio di una serie di attività economiche su scala comunitaria, falsare la concorrenza e ostacolare, nell'adempimento dei loro compiti, le amministrazioni che intervengono nell'applicazione del diritto comunitario».


9: -    Direttiva 98/43/CE del Parlamento europeo e del Consiglio, del 6 luglio 1998, sul ravvicinamento delle disposizioni legislative, regolamentari e amministrative degli Stati membri in materia di pubblicità e di sponsorizzazione a favore dei prodotti del tabacco (GU L 213, pag. 9).


10: -     Sentenza 5 ottobre 2000, causa C-376/98, Germania/Parlamento e Consiglio (Racc. pag. I-8419, punto 83).


11: -     Parere 2/94 del 28 marzo 1996 (Racc. pag. I-1759, punto 27).