Privacy: luci e ombre della nuova disciplina Ue. Intervista a Francesco Pizzetti

di |

Italia


Il Garante per la Privacy Francesco Pizzetti

Di seguito l’intervista al Prof. Francesco Pizzetti – Presidente dell’Autorità Garante per la protezione dei dati personali – sulla nuova disciplina “privacy” proposta dalla Commissione. L’intervista è stata pubblicata su Medialaws, sito che offre analisi e approfondimenti tecnici su Leggi e Policy dei Media, offerti in una prospettiva comparativa, con il quale Key4biz ha avviato una collaborazione editoriale.

 

 

La nuova normativa comunitaria in materia di protezione dei dati personali, proposta ufficialmente dalla Commissione qualche giorno fa, è già oggetto di discussione tra  gli addetti ai lavori.

Il Prof. Francesco Pizzetti, Presidente dell’Autorità Garante per la protezione dei dati personali e membro del Comitato scientifico di Medialaws, fa emergere magistralmente, in un’intervista rilasciata a Oreste Pollicino, luci e ombre della nuova disciplina.

 

 

Presidente, concorda sulla scelta, fatta dalla Commissione, della fonte regolamentare per la previsione di una nuova disciplina in materia di dati personali che adegui il portato normativo comunitario al mutamento tecnologico che ha caratterizzato gli ultimi decenni?

 

A differenza di altri componenti del gruppo WPart.29, che ritenevano più opportuno che anche le nuove norme fossero adottate con lo strumento normativo della direttiva, io sono sempre stato favorevole alla scelta del regolamento, almeno per quanto riguarda la disciplina dei trattamento di dati personali relativi alle aree di azione dell’ex primo pilastro. Serve infatti una nuova disciplina che sostituisca le disposizioni della direttiva 95/46, ormai del tutto superate dal mutato contesto tecnologico, e che sia uniforme ed egualmente immediatamente applicabile in tutti gli Stati dell’Unione. Questo è possibile solo adottando un regolamento. Per quanto riguarda invece i trattamenti per finalità di giustizia e di polizia, posso concordare con la Commissione che lo strumento della direttiva sia tuttora quello più adeguato. Le specificità delle materie e le differenze tuttora sussistenti tra le legislazioni degli Stati membri possono giustificare che si punti in questa fase a un processo di armonizzazione fondato, appunto, su una direttiva. Già questo è comunque un passo in avanti importante, perché oggi disponiamo solo di una decisione quadro, per di più limitata a disciplinare solo i trasferimenti dei dati tra gli Stati. La direttiva proposta, invece, non solo si muove nello stesso quadro di principi che sono alla base della proposta di regolamento, ma riguarda anche i dati trattati all’interno di ciascuno Stato, estendendosi così a tutti i trattamenti dati in queste materie. Io esprimo dunque un giudizio sostanzialmente positivo rispetto alla proposta di questa direttiva, e lo stesso fanno le Autorità di molti Paesi più di recente entrati nell’Unione, a cominciare dalla Polonia. Colpisce invece che altre Autorità, che pure avrebbero voluto la direttiva anche nelle materie di ex primo pilastro, giudichino questa proposta non sufficientemente ampia e vincolante.

 

 

Nel processo di consultazione che ha preceduto la proposta di regolamento da parte della Commissione, che ruolo hanno giocato le Autorità nazionali di settore e, in particolare, quella italiana?

 

I Garanti europei per la protezione dei dati personali, riuniti nel gruppo WPart29, hanno dato un apporto fondamentale in attività di collaborazione, consultazione e dialogo che si sono susseguite per due anni, durante i quali abbiamo incontrato per due volte la vicepresidente Reding. In particolare, l’Autorità italiana, insieme a quella inglese, ha collaborato sul tema delle notificazione e ha giocato un ruolo decisivo, all’interno del Wpart29, per quanto riguarda i suggerimenti alla Commissione circa le caratteristiche di independenza e i poteri da attribuire ai Garanti nazionali. Suggerimenti che sono stati in sostanza recepiti anche nella proposta avanzata dalla Commissione.

 

 

Non può però sembrare in contraddizione con la volontà di rendere più indipendenti le Autorità nazionali alla base della nuova disciplina il ruolo di predominio sostanziale che la Commissione si è ritagliata, nella proposta di regolamento, con riguardo ai suoi poteri nei confronti del nuovo European Data Protection Board?

 

Se intende fare riferimento al potere di ultima istanza che la Commissione, ai sensi della nuova disciplina, può ora esercitare rispetto alle decisioni dell’European Data Protection Board, il nuovo organismo che va a sostituire l’attuale Wpart 29, concordo con lei. Non si può negare, infatti, che mentre il regolamento rafforza l’indipendenza delle Autorità rispetto agli Stati, sottopone poi le decisioni del Board al possibile esercizio, da parte della Commissione, di un potere di ultima istanza chiaramente incompatibile con l’indipendenza delle Autorità, che deve essere preservata anche a livello europeo, soprattutto perchè siamo in materia di tutela di un diritto fondamentale. Del resto, proprio questo è stato uno dei punti su cui di più si è espresso il dissenso della stragrande maggioranza delle Autorità garanti nazionali. Molte Autorità hanno manifestato anche forti preoccupazioni per i riflessi che ciò può determinare anche nell’ambito degli ordinamenti nazionali.

 

 

Ci sono altri punti del regolamento in cui, a suo avviso, emerge un ruolo eccessivamente accentratore da parte della Commissione?

 

Si, per esempio ritengo, e vanno nello stesso senso le reazioni dei Garanti europei per la protezione dei dati personali, riunitisi proprio negli scorsi giorni a Bruxelles per la plenaria del WPart.29 (1-2 febbraio 2012), che sia da considerarsi eccessivo il potere dato alla Commissione di approvare con atti delegati e col ricorso alla Comitologia, norme derogatorie dello stesso regolamento quando questo sia reso necessario dal manifestarsi di nuove esigenze. La stessa considerazione vale rispetto ai poteri di empowerment esercitati attraverso implementing acts attribuiti alla Commissione. Molti, e io fra questi, hanno osservato che questo consentirà di disciplinare la materia senza ricorso al normale circuito Parlamento e Consiglio, con conseguenti forti problemi di democraticità delle decisioni e di possibili violazioni del sistema delle fonti europee e anche nazionali. Inoltre, come è stato giustamente segnalato da Manuela Siano qualche giorno fa proprio su Medialaws, per alcuni Stati (come il Portogallo, la Spagna, l’Italia e anche, per certi aspetti, la Germania) tali previsioni, sollevano problemi importanti, specialmente in relazione al fatto che il diritto alla protezione dei dati personali è riconosciuto dal Trattato di Lisbona come un diritto fondamentale. Il che rafforza i timori che alcune Corti costituzionali possano eccepire sul fatto che la Commissione abbia poteri normativi derogatori così ampi e che il loro esercizio sia limitato soltanto dal ricorso alla procedura di Comitologia. Le stesse preoccupazioni, per le medesime ragioni, sono state manifestate da alcun Stati, e in particolare dalla Spagna, dalla Francia e dall’Italia, rispetto alle norme, sempre contenute nella proposta di regolamento, relative al rapporto tra il sistema detto “one stop shop” e la competenza dei giudici nazionali. Proprio perché si tratta di norme in materia di tutela di un diritto fondamentale, ci si chiede se il fatto di prevedere, in alcuni casi, la competenza di un’Autorità indipendente diversa da quella nazionale, in un contesto in cui comunque il ricorso contro le eventuali determinazioni dovrà essere sempre posto davanti al giudice nazionale, sarà accettato da tutti e, soprattutto, se tutte le Corti costituzionali lo riterranno compatibile con gli ordinamenti interni.

 

 

Alle luce delle ben note differenze di sensibilità e di tutela giuridica esistenti tra il modello di protezione di dati personali fatto proprio dall’Europa e quello che caratterizza l’esperienza statunitense, come giudica la volontà, che emerge chiaramente dalle disposizioni del regolamento, di prevedere un’applicazione extraterritoriale a favore di tutti i soggetti residenti nell’Unione, della disciplina prevista?

 

A leggere le dichiarazioni della vice presidente dell’Esecutivo comunitario, Viviane Reding, si capisce che l’idea alla base della proposta della Commissione è quella secondo la quale il rafforzamento della protezione dei dati può aumentare la fiducia degli utenti. Ottime intenzioni, ma la bontà di una nuova disciplina normativa deve essere valutata sulla base del suo impatto effettivo sul contesto in cui opera. In altre parole, al di là delle buone intenzioni e delle dichiarazioni solenni, quello che è veramente cruciale per ottenere un miglioramento delle modalità di tutela dei dati personali è il livello di effettività che caratterizzerà la disciplina. Con riferimento al punto specifico oggetto della sua domanda, si possono nutrire dei seri dubbi riguardo all’enforceability in concreto del principio proclamato all’art. 3, c. 2 del regolamento, a norma del quale la nuova disciplina si applica al trattamento di dati personali di cui sono titolari soggetti residenti nell’Unione europea allorchè il trattamento dei dati riguarda l’offerta agli stessi soggetti di beni e servizi o il controllo dei loro comportamenti.

 

 

Se capisco bene, dunque, una delle lacune più evidenti della proposta della Commissione è la sua mancanza di flessibilità?

 

Esattamente. In un contesto in cui i problemi che emergono sono sempre più di natura transnazionale e di livello globale, avrebbe di molto giovato non costituire, come mi sembra si sia fatto invece con questa nuova disciplina, una “fortezza europea” della privacy poco incline ad aprirsi a modalità e forme di accordi internazionali. Accordi che invece, anche alla luce dell’esperienza maturata in questi anni dall’Autorità garante italiana e da tutte altre Autorità consorelle, costituiscono spesso le modalità più adeguate a garantire una protezione effettiva dei dati personali degli utenti.

 

 

Potrebbe quindi sostenersi che l’approccio normativo della Commissione rischia di fare emergere un modello europeo di protezione dei dati personali eccessivamente rigido, autoreferenziale e miope nei confronti dell’opportunità di adeguarsi, volta per volta, alle esigenze che si vanno ponendo alla luce delle modiche dello scenario internazionale e globale di riferimento?

 

Si, e questo è certamente l’aspetto più deludente della proposta. Si è molto opportunamente  cercato di facilitare il trasferimento dei dati dall’Unione verso Paesi terzi e viceversa, e anche di assicurare una tutela dei cittadini europei rispetto a trattamenti di dati fatti all’estero quando riguardino la offerta di beni o servizi o la profilazione dei nostri cittadini. Manca però ogni clausola di flessibilità che consenta in futuro di trovare un possibile punto di equilibrio tra la esigenza di tenere alto il nostro sistema di protezione dei dati e quella di concorrere a elaborare e approvare una normativa di protezione internazionalmente riconosciuta e applicata in tutto il mondo globalizzato. Insomma, quello che è mancato nella proposta della Commissione è, se vogliamo fare una comparazione con il nostro testo costituzionale, la sensibilità a una apertura nei confronti di cooperazioni a livello sovranazionale e internazionale che invece ha caratterizzato la lungimiranza dei nostri Costituenti quando hanno approvato il dettato degli artt. 10 e 11 della nostra Costituzione. Peccato che la Commissione non abbia guardato con maggiore attenzione anche alle indicazioni che, in questo senso, potevano provenire dalle tradizioni costituzionali comuni degli Stati membri. Insomma il regolamento è come una fortezza che prevede si entrate e uscite verso l’esterno, dotandole di ponti levatoi e corpi di guardia adeguati, mentre forse oggi si avrebbe bisogno di una regolazione improntata anche a principi di flessibilità e di evoluzione verso l’obbiettivo irrinunciabile di giungere a una regolazione internazionale che davvero possa tutelare efficacemente i cittadini nell’era della comunicazione globale. Per ora possiamo dire che l’occasione è stata in parte mancata, ma che proprio per questo c’è ancora molto da lavorare.

 

 

Insomma ancora molti i nodi da sciogliere?

 

Si molti, e ho cercato di indicare qui quelli che a me sembrano i punti principali su cui dovremo impegnarci. Non ho detto invece delle molte “luci” che questo regolamento presenta, specialmente per quanto riguarda numerosi nuovi strumenti, opportuni e innovativi. Si pensi all’estensione della figura del Privacy Officer, nonché alla introduzione dei principi di privacy by design e di privacy impact assessment, così come del principio di accountability. Non meno importanti, poi, le nuove tutele legate all’obbligo di denuncia delle cosiddette “serious breaches”, che costituiscono una tutela molto avanzata e potenzialmente molto efficace. Dunque dobbiamo essere grati alla Commissione per lo sforzo fatto. Ora tocca al Parlamento, al Consiglio e a tutta l’opinione pubblica europea fare la propria parte. Le Autorità continueranno ad accompagnare con il loro consiglio e la loro vigile attenzione tutto il processo, fino alla definitiva approvazione di questi strumenti.