Unione Europea
Il Parlamento europeo si è consultato su una proposta di decisione relativa alla protezione dei dati personali.
I deputati hanno accolto con favore l’iniziativa, ma suggeriscono numerosi emendamenti volti a limitare il trattamento dei dati personali ai soli casi in cui ciò è strettamente necessario e quando vi è un reale pericolo per la sicurezza pubblica. Chiedono anche sanzioni penali per i privati che, nell’esercizio di una funzione pubblica di raccolta di dati, violano le disposizioni di confidenzialità.
Attualmente, a livello comunitario, vige una direttiva del 1995 che fissa una serie di disposizioni relative alla tutela delle persone fisiche con riguardo al trattamento dei dati personali, nonché alla libera circolazione di tali dati. Tale direttiva, tuttavia, non comprende nel suo campo d’applicazione le questioni relative al cosiddetto terzo pilastro, ossia alle politiche in materia di sicurezza, alla lotta contro la criminalità organizzata e alla cooperazione giudiziaria e di polizia. Pertanto, in questi campi, non esistono norme europee a tutela dei dati personali e la Commissione, nel proporre la decisione ora all’esame del Parlamento, ha tentato di colmare tale lacuna.
Il tema, peraltro, è tornato recentemente d’attualità con la sentenza della Corte di giustizia che chiede l’annullamento del contestatissimo accordo siglato tra l’UE e gli USA in merito al trasferimento dei dati dei passeggeri aerei. La rapida adozione della nuova decisione, pertanto, potrebbe anche condizionare la nuova formulazione di detto accordo.
In tale prospettiva, e visto che è da tempo che i deputati chiedono la definizione di norme europee in questo campo, la relazione di Martine Roure (PSE, FR), nel principio, sostiene la proposta della Commissione. Tuttavia propone 62 emendamenti tesi a limitare il ricorso e l’accesso ai dati personali unicamente per quei casi in cui ciò è strettamente necessario e quando vi è un reale pericolo per la sicurezza pubblica.
Più in particolare, secondo i deputati, la raccolta dei dati e il loro trattamento possono essere effettuati soltanto per il fine specifico assegnato preventivamente a queste operazioni, “se strettamente necessario” ai fini della prevenzione, delle indagini, dell’accertamento o del perseguimento di reati penali, oppure ai fini della prevenzione di minacce alla sicurezza pubblica o a una persona, ma tranne che nei casi in cui su tali considerazioni “prevalga la necessità di tutelare gli interessi o i diritti fondamentali del soggetto a cui i dati si riferiscono”.
Inoltre, gli Stati membri devono garantire che il trattamento dei dati personali è necessario unicamente qualora le autorità competenti possono dimostrare che “non esiste altro modo che abbia un impatto minore sulla persona interessata” e il trattamento dei dati “non è sproporzionato rispetto al reato in questione”. I dati personali forniti a un altro Stato membro, poi, possono essere trattati ulteriormente “solo previo consenso dell’autorità che li ha trasmessi o resi disponibili”.
D’altra parte, i deputati introducono un nuovo paragrafo che impone agli Stati membri di prevedere “specifiche garanzie supplementari” per i dati biometrici e i profili DNA, al fine di garantire che vengano utilizzati “solo sulla base di norme tecniche ben definite e interoperabili”, che il loro livello di precisione sia preso attentamente in considerazione e possa essere facilmente contestato dalla persona interessata e, infine, che sia assicurato “il rispetto della dignità e dell’integrità delle persone”.
E’ anche introdotto un emendamento che tende a distinguere il trattamento dei dati in funzione delle condizioni delle persone interessate: se si tratta di persone “non sospette”, pertanto, i dati devono essere trattati unicamente per le finalità per le quali sono stati raccolti, “per un periodo di tempo limitato” e con “opportune limitazioni per quanto riguarda il loro accesso e la loro trasmissione”.
Riguardo alle relazioni con i paesi terzi, una delle principali preoccupazioni dei deputati riguarda la possibilità che le autorità possano chiedere accesso a dati personali di cittadini comunitari in nome della lotta al terrorismo o alla criminalità organizzata. Pertanto, un emendamento vieta questo tipo di operazioni, fatti salvi i caso in cui la trasmissione è “prevista da una legge che chiaramente la rende obbligatoria” ed è necessaria allo scopo per cui tali dati sono stati raccolti. Inoltre, il paese terzo o l’organismo internazionale deve assicurare “un adeguato livello di protezione dei dati”.
La valutazione di questo livello, è specificato, va realizzata esaminando il tipo di dati, gli scopi e la durata del trattamento per cui sono stati trasmessi, il paese d’origine e quello di destinazione finale, le norme generali e settoriali del diritto in vigore nel paese terzo, le norme professionali e di sicurezza applicabili in tali ambiti, nonché l’esistenza di sufficienti salvaguardie da parte del destinatario della trasmissione. In via eccezionale, tuttavia, è possibile trasferire dei dati verso paesi che non garantiscono un adeguato livello di protezione “soltanto se assolutamente necessario per salvaguardare gli interessi essenziali di uno Stato membro” o per “prevenire una grave e imminente minaccia a una persona specifica o a più persone”.
I deputati suggeriscono anche un emendamento volto ad attribuire ai cittadini il diritto di contrassegnare quei dati che li riguardano ritenuti non precisi. Propongono poi che delle sanzioni penali possano essere inflitte a coloro che commettono reati che comportano violazioni gravi delle disposizioni adottate in base alla decisione in esame, non solo se tali reati sono commessi intenzionalmente, come proposto dalla Commissione, ma anche se sono frutto di una “negligenza grave”. Infine, inseriscono un nuovo paragrafo che impone agli Stati membri di prevedere sanzioni penali effettive, proporzionate e dissuasive per le infrazioni commesse da privati che raccolgono o elaborano dati di carattere personale nel contesto di un funzione pubblica, in particolare se tali violazioni riguardano disposizioni sulla confidenzialità e sulla sicurezza del trattamento dei dati.
La Carta dei diritti fondamentali dell’Unione europea riconosce esplicitamente il diritto alla privacy (articolo 7) e il diritto alla protezione dei dati personali (articolo 8). Tali dati devono essere trattati in modo corretto, per specifiche finalità e sulla base del consenso della persona interessata o su un’altra base legittima prevista dalla legge. Ognuno ha il diritto di accedere ai dati raccolti che lo riguardano e di ottenerne la rettifica. Il rispetto di tali regole è soggetto al controllo di un’autorità indipendente.
La direttiva 95/46/CE relativa alla tutela delle persone fisiche con riguardo al trattamento dei dati personali, nonché alla libera circolazione di tali dati contiene norme fondamentali sulla legittimità del trattamento dei dati personali e sui diritti della persona cui tali dati si riferiscono. Essa prevede disposizioni concernenti i ricorsi giurisdizionali, la responsabilità e le sanzioni, il trasferimento dei dati personali a paesi terzi, i codici di condotta, le specifiche autorità di controllo e il gruppo di lavoro e infine le norme comunitarie d’esecuzione. Tuttavia, la direttiva non si applica alle attività che non rientrano nel campo di applicazione della Comunità come quelle previste dal titolo VI del trattato sull’Unione europea (cooperazione giudiziaria e di polizia in materia penale). Pertanto, gli Stati membri sono autorizzati a decidere essi stessi quali siano le norme più adeguate per il trattamento e la protezione dei dati.
In questo ambito, invece, la protezione dei dati personali è disciplinata da diversi strumenti specifici e, in particolare, da strumenti che istituiscono sistemi comuni di informazioni a livello europeo come la convenzione di applicazione dell’accordo di Schengen,
Inoltre, occorre tener conto dell’articolo 8 della convenzione sulla protezione dei diritti umani e delle libertà fondamentali e della convenzione del Consiglio d’Europa sulla protezione delle persone rispetto al trattamento automatizzato di dati di carattere personale, compreso il suo protocollo aggiuntivo relativo alle autorità di controllo e i flussi transfrontalieri. Tutti gli Stati membri partecipano alla convenzione ma non tutti hanno firmato il protocollo aggiuntivo.
