La Commissione europea nel gennaio 2012 ha presentato al Parlamento e al Consiglio dell’UE il c.d. “pacchetto protezione dati”, che contiene una proposta di Regolamento in materia di protezione dei dati personali e una proposta di Direttiva, finalizzata alla regolamentazione dei settori di prevenzione, contrasto e repressione dei crimini.
Il nuovo Regolamento dovrà prendere il posto della direttiva del 1995, recepita in Italia, prima con la legge 675/1996 e infine con il Codice Privacy del 2003.
La rubrica #DigitalCrime, a cura di Paolo Galdieri, Avvocato e Docente di Informatica giuridica, alla LUISS di Roma, si occupa del cybercrime dal punto di vista normativo e legale.Clicca qui per leggere tutti i contributi.
L’Unione europea ha infatti avvertito la necessità non solo di aggiornare la disciplina del 1995 ma di migliorarla eliminando quegli obblighi che l’esperienza ha dimostrato essere percepiti come di tipo formale-burocratico inserendo invece attività orientate ad una maggiore consapevolezza dei cittadini interessati e responsabilizzazione dei rischi e dei danni collegati al rilascio e alla circolazione dei propri dati personali, nonché delle scelte relative al trattamento. In altre parole, la UE si è mossa con l’obiettivo di creare un quadro giuridico stabile e coeso abbinato a misure di attuazione utili a garantire lo sviluppo dell’economia digitale. Lo strumento prescelto del Regolamento non è casuale ma individuato appositamente al fine di risolvere o comunque limitare alcune disomogeneità applicative fra i vari Stati membri chiamati a recepire la direttiva attualmente vigente.
Dall’avvio dell’iter di approvazione del testo regolamentare sono passati tre anni e, anche in occasione dell’imminente fine del semestre a guida italiana, è utile formulare alcune brevi considerazioni e valutazioni per individuare a che punto si è arrivati ma anche quanto ancora manca al traguardo e quindi le tappe ancora da percorrere.
I lavori, come prevedibile, sono stati accompagnati da un dibattito molto intenso, all’insegna di tesi e posizioni spesso fortemente confliggenti. La materia è sicuramente complessa e gli interessi giuridici ed economici, contestualmente in gioco e da contemperare, sono assai rilevanti e riguardano non solo il settore privato ma anche il settore pubblico. Basti pensare che la proposta del nuovo Regolamento ha subito nelle Commissioni parlamentari circa 4 mila emendamenti, realizzando un vero e proprio record nella storia del Parlamento europeo.
Nonostante tutto, però, la fase critica dei lavori parlamentari è ormai stata superata, secondo alcuni anche grazie alla pressione mediatica causata dalle note rivelazioni di Edward Snowden.
Successivamente, ulteriori conferme di aver intrapreso un giusto percorso si sono avute con alcune recenti sentenze della Corte di Giustizia europea. Mi riferisco in particolare alla decisione dell’8 aprile 2014 in materia di data retention, che ha evidenziato l’esigenza di maggiori garanzie a tutela della protezione dei dati personali telefonici o telematici conservati a fini di giustizia e soprattutto a quella del 13 maggio successivo sul caso “Costeja Gonzales” che ha stabilito, da un lato, la competenza delle autorità nazionali per i trattamenti di dati personali effettuati da Google e, dall’altro, ha riconosciuto anche il diritto di chiedere, in prima battuta direttamente alla società americana, la cancellazione dei propri dati personali, non più (rilevanti) dai risultati ottenuti tramite il motore di ricerca.
Comunque, tornando alla bozza del nuovo regolamento, se volessimo individuare alcuni tra i punti centrali dello stesso, dobbiamo far riferimento al suo campo di applicazione. Innanzitutto l’applicazione del Regolamento viene estesa anche alle attività svolte da titolari stabiliti fuori dall’UE per i trattamenti dei dati di persone residenti in paesi UE. È da rilevare inoltre il tentativo di escludere dalla proposta della Commissione alcuni settori dell’ambito pubblico, che tuttavia vengono disciplinati dal Trattato di Lisbona, il quale peraltro – è bene evidenziarlo! – non distingue i trattamenti a seconda che questi vengano effettuati in ambito pubblico o privato.
Altro aspetto rilevante è il cd. One stop shop mechanism. Qui entrano in gioco le attività private svolte da soggetti che hanno più stabilimenti in ambito europeo e per i quali la Commissione ha proposto la competenza centralizzata dell’autorità garante dello Stato membro ove è situato il cd. principale stabilimento. Ciò ha causato ampi dibattiti sul punto, emergendo soprattutto la fondamentale esigenza di armonizzare la tutela dei diritti dell’interessato e di garantire un criterio di prossimità rispetto al cittadino, in modo tale che le decisioni possano essere prese nella maniera più aperta e più vicina possibile al cittadino.
L’altro aspetto di sicura novità è dato dal tentativo di attenuare la severità della disciplina a vantaggio di una maggiore tutela della libertà d’impresa e di iniziativa economica dei titolari del trattamento, mirando a un bilanciamento comunque non agevole. Il quadro normativo proposto tende a definire gli obiettivi e le garanzie, lasciando, però maggiore flessibilità e riconoscendo ai titolari accountability e quindi responsabilità su attività e decisioni nell’ambito del trattamento dei dati degli interessati. Basti pensare come con l’avvento dei big data cambino persino principi fondamentali, come quelli di informativa e consenso e, ancor più nello specifico, quelli di opt-in e opt-out. Inoltre, non si può trascurare come oggi i nostri dati vengano conservati in contenitori immensi, dove si perdono le generalità (come in particolare nome e cognome) o tanto più le identità degli interessati, diventando per lo più dati aggregati in forma anonima.
Come è noto, il sistema legislativo europeo si fonda sul potere di legiferare condiviso tra il Parlamento europeo, in rappresentanza dei popoli, e il Consiglio dell’UE, in rappresentanza dei Governi, il che comporta che nessuno dei due può adottare un atto legislativo prescindendo dall’accordo dell’altro e da determinate maggioranze. In tale ottica, mentre il Consiglio ha vissuto una situazione di stallo con una prolungata fase di blocco causata da forti apprensioni e differenti vedute tra alcuni Stati, il Parlamento europeo, il 12 marzo scorso, ha votato un proprio rapporto in prima lettura. Sintetizzando, potremmo dire che il Parlamento ha operato in due direzioni. Da un lato, ha mantenuto invariate molte delle impostazioni della proposta della Commissione UE, come ad esempio in materia di consenso, portabilità dei dati, privacy officer, notifica generalizzata dei data breach.
Dall’altro, però, ha snellito alcune disposizioni del progetto di Regolamento. Questo è il caso del diritto all’oblio, mutato in un diritto alla rettifica o alla limitazione del trattamento in forma rafforzata; del trasferimento dei dati personali verso Paesi terzi, dove sono stati resi più stringenti i requisiti richiesti; delle sanzioni amministrative, con l’individuazione di una griglia di criteri da osservare nella quantificazione degli importi, valida per le autorità nazionali di controllo; del Comitato europeo della protezione dati, che sostituirà il “Gruppo Articolo 29”.
Il semestre di Presidenza italiana si è trovato ad lavorare su alcuni temi ancora al centro del dibattito, come: l’applicazione territoriale del regolamento e il cd. “one stop shop”; la definizione di “stabilimento principale” e di “binding corporate rules”; particolari tipologie di trattamento, come quelli per finalità giornalistiche o per esercizio della libertà di espressione.
Se volessimo fare delle previsioni sul tempo di approvazione del nuovo regolamento, dovremmo comunque tenere presente quanto già successo con i negoziati della direttiva 1995 che durarono circa 5 anni. L’auspicio è che il negoziato da parte del Consiglio UE possa avvenire nel primo semestre 2015, a guida lettone. Ciò porterebbe a definire il quadro complessivo delle misure di attuazione nel 2017 e, presumibilmente, la completa operatività dal 2020. Ciò, tuttavia, chiaramente implica che i lavori di oggi, e quindi le regole e le tecniche normative elaborate, dovranno essere in grado di resistere agli attacchi del tempo.
