Unione Europea
Di seguito il contributo di Alessandro Mantelero del Politecnico di Torino, pubblicato su Medialaws, sito che offre analisi e approfondimenti tecnici su Leggi e Policy dei Media, offerti in una prospettiva comparativa, con il quale Key4biz ha avviato una collaborazione editoriale.
Circola ormai da un mese la draft version (Version 56 del 29/11/2011) della proposta di Regolamento comunitario “on the protection of individuals with regard to the processing of personal data and on the free movement of such data (General Data Protection Regulation)” che, vista l’ampiezza (91 articoli), non può certo essere condensata in poche righe, né pare opportuno aggiungere un’ulteriore sintesi del provvedimento a quelle già disponibili, a partire dall’Explanatory memorandum che lo accompagna. Con il presente contributo si vogliono dunque solamente formulare alcune brevi riflessioni su quella che appare l’impostazione di fondo della nuova disciplina comunitaria e sulle possibili conseguenze che la stessa potrebbe avere sullo scenario globale, fermo restando che la bozza sarà oggetto di revisioni e che la proposta definitiva (prevista per fine gennaio) dovrà poi superare l’iter legislativo.
La premessa generale è che in un mondo interconnesso, che evolve verso il paradigma del cloud computing, qualsiasi regolamentazione inerente il trattamento dati che riguardi nazioni “importatrici” o “esportatrici” di informazioni finisce necessariamente per provocare riflessi e conseguenze sull’intero “info-sistema” mondiale. Che siano dunque gli stati occidentali, forti delle loro multinazionali ricche di asset informativi, o quelli orientali, forti del contributo significativo dato dalle proprie imprese ai processi di outsourcing informatico, a dettare nuove regole, quest’ultime producono effetti diretti sui flussi informativi e sulla loro gestione.
Ad oggi nel conflitto mondiale tra i modelli regolatori, quello europeo dettato dalla dir. 95/46/CE pare prevalere per capacità espansiva, tanto da aver contribuito ad indurre gli Stati Uniti ad una faticosa revisione del loro tradizionale approccio, nel tentativo di affermare la propria leadership in materia. A tal riguardo le linee guida di riforma statunitensi portano ad un parziale riavvicinamento fra le due sponde dell’Atlantico, ma proprio mentre questo avviene l’Unione Europea rivede “a rialzo” il proprio modello di tutela dei dati personali e lo fa attraverso un regolamento, ovvero uno strumento che se da un lato risulta gradito alle multinazionali per l’uniformità che esso comporta (uniformità agognata e mai raggiunta in oltre quindici anni), nel contempo limita fortemente i margini di flessibilità rispetto ai dettami comunitari.
Non solo, con il nuovo regolamento, almeno nell’attuale versione, l’EU ribadisce con forza il primato della propria normativa prevedendone l’applicazione anche al di fuori del proprio territorio a tutela dei propri cittadini: “this Regulation applies to the processing of personal data of data subjects residing in the Union not carried out in the context of the activities of an establishment of a controller in the Union, where the processing activities are directed to such data subjects, or serve to monitor the behaviour of such data subjects” (art. 2.2). In materia di data protection ritorna dunque alla mente l’antico “civis romanus sum”.
Tale scelta, da tempo anticipata a livello comunitario, risulta coerente sia sotto il profilo sistematico che di politica del diritto. Quanto al primo aspetto, essendo il diritto sui dati riconosciuto in ambito europeo come espressione di un diritto fondamentale della personalità (art. 16 Treaty on the Functioning of the European Union), è conseguenza plausibile che, specie nello scenario privo di frontiere cui si è accennato, una reale ed efficace tutela dello stesso non possa più essere garantita da un criterio territoriale rispetto ad informazioni che sono a tal punto indifferenti ai confini delle nazioni che, in molti casi, non è nemmeno noto ai gestori delle stesse il luogo in cui si trovino (v. considerando 14). Con riguardo invece alle ragioni di politica del diritto, poiché l’EU non vanta imprese detentrici di significative quote di mercato nei settori nevralgici dell’ICT (eccetto le società di telecomunicazioni) ed ha subito la “colonizzazione” da parte dei grandi players statunitensi (Microsoft, Google, Akamay, PayPal, solo per citarne alcuni), dominanti inoltre nel settore del cloud verso cui stanno migrando i data base delle imprese europee, un’efficace tutela dei propri cittadini può essere attualmente assicurata solo mediante lo strumento normativo. Perché ciò avvenga quest’ultimo deve però essere necessariamente modellato in maniera tale da imporsi anche agli operatori stranieri, prescindendo dal ruolo che gli stessi rivestono nella catena di trattamento dei dati e dell’apporto offerto in termini strumentali.
Coerentemente con l’impostazione di fondo a difesa del modello comunitario di tutela dei dati personali ed onde evitarne l’indebolimento, la bozza di regolamento ribadisce l’indirizzo della dir. 95/46/CE in materia di flussi transfrontalieri (art. 37 ss.) e consolida le prassi vigenti (recependo ed affinando lo strumento delle binding corporate rules, art. 40). Nel perseguire analoga finalità vengono poi posti stringenti limiti all’accesso ai dati da parte delle autorità di Paesi terzi (art. 42), introducendo una disposizione che risulta essere evidente epifania del contrasto in atto fra le due sponde dell’Atlantico circa i poteri di accesso delle autorità statunitensi rispetto ai dati trattati nel territorio dell’UE da parte di multinazionali statunitensi o loro controllate. Tali limiti alla circolazione dei dati a tutela dei diritti riconosciuti dall’UE vengono poi rafforzati mediante specifici strumenti sanzionatori: tanto il trasferimento illegittimo dei dati verso Paesi terzi (o organismi internazionali) quanto la disclosure non autorizzata vengono significativamente puniti con una sanzione amministrativa da centomila ad un milione di euro che per le imprese può però essere elevata sino al 5% del fatturato annuale realizzato su scala mondiale.
Sulla pietra angolare dell’art. 2 si erge poi l’intero impianto della nuova normativa che indubbiamente evolve verso una maggior protezione dei dati personali e vede i suoi elementi chiave nell’inversione dell’onere probatorio circa la liceità del trattamento [art. 4 (1) (f)] e l’avvenuta acquisizione del consenso – ove necessario – (art. 7), nella data portability, nella data protection impact assessment, nell’istituzione del data protection officer (art. 32), nella previsione di procedure di audit, negli obblighi di conservazione della documentazione inerente il trattamento, nella privacy by default e by design, nel rafforzamento del coordinamento europeo delle autorità nazionali preposte a sovrintendere alla protezione dati.
Non pare questo il luogo per esaminare i tanti e rilevanti aspetti elencati, tanto più tenuto conto che diverse disposizioni potrebbero mutare nel corso dell’iter legislativo. Va tuttavia rilevato come l’incidenza notevole che l’insieme delle nuove previsioni è destinata ad avere sul vigente contesto normativo chiarisce in maniera inequivoca la portata dell’effetto combinato del rafforzamento della tutela e della sua estensione operativa anche oltre i confini comunitari. Il nuovo quadro che va delineandosi pare infatti comportare una non semplice interazione con i modelli presenti negli altri ordinamenti, a partire da quello statunitense. Conflitto inasprito su alcuni punti (si pensi all’ampiezza del right to be forgotten ed alla generalizzazione della data protection impact assessment) ove le scelte comunitarie paiono forse andare oltre nell’assicurare la tutela dei dati personali, tutela che, non va dimenticato, già ad oggi pone i cittadini comunitari in una posizione decisamente migliore rispetto a quella riconosciuta agli appartenenti a tante altre nazioni.
