A 21 anni dal varo della precedente direttiva e dopo oltre 4 anni di negoziati, il Parlamento europeo ha infine approvato il nuovo Regolamento europeo sulla protezione dei dati, che introdurrà una legislazione armonizzata in tutti e 28 gli Stati dell’Unione. In Italia, prenderà il posto dell’attuale Codice Privacy. Una legislazione che, soprattutto sarà adeguata all’era digitale, fornendo ai 500 milioni di cittadini europei “maggiore controllo sulle proprie informazioni private in un mondo digitalizzato fatto di smartphone, social media, internet banking e trasferimenti globali”.
Il tortuoso e travagliato iter per aggiornare la direttiva sulla protezione dei dati personali, risalente al 1995, è partito a gennaio 2012. L’obiettivo della riforma, faticosamente raggiunto, era quello di porre fine alla frammentazione e alla gravosità degli oneri amministrativi, promettendo alle imprese risparmi per circa 2,3 miliardi di euro l’anno. Ma ci saranno anche pesanti multe – fino al 4% del fatturato – per le aziende che non si adegueranno nonché standard minimi per l’utilizzo dei dati a fini giudiziari e di polizia stabilendo, per la prima volta, norme minime per il trattamento dei dati a fini di polizia all’interno di ogni Stato membro.
La riforma si compone di due strumenti:
Un regolamento che istituisce un quadro generale dell’Unione per la protezione dei dati. Permetterà alle persone di controllare meglio i loro dati personali e consentirà alle aziende di sfruttare al meglio le opportunità del mercato unico digitale riducendo la burocrazia e beneficiando del rafforzamento del rapporto di fiducia coi consumatori. Nello specifico, include disposizioni più stringenti per quanto riguarda il diritto all’oblio; impone condizioni per un “consenso chiaro” per il trattamento dei dati privati; regola lo scambio di informazioni personali tra piattaforme concorrenti come i social network. Include inoltre disposizioni sul diritto di venire a conoscenza della violazione (hackering) dei propri dati personali e affinché le informazioni relative alle politiche di privacy siano indicate con un linguaggio chiaro e semplice.
Una direttiva relativa al trattamento dei dati a fini di prevenzione, indagine, accertamento o perseguimento dei reati e nell’ambito delle connesse attività giudiziarie. Farà in modo, in particolare, che i dati di vittime, testimoni e sospettati di crimini, siano debitamente tutelati nell’ambito di un’indagine penale o di una azione di contrasto. Allo stesso tempo, leggi più armonizzate faciliteranno la cooperazione transfrontaliera di polizia e pubblici ministeri per contrastare criminalità e terrorismo in modo più efficace in tutta Europa.
Soddisfazione è stata espressa da Viviane Reding, eurodeputata ed ex vice-presidente della Commissione europea che ha proposto le modifiche nel 2012.
“Questo – ha detto – è un giorno storico per l’Europa. Questa riforma mira a ripristinare la fiducia nel settore dei servizi digitali riaccendendo in tal modo il motore della crescita di domani”.
“Di fronte alla natura transnazionale della rivoluzione digitale e della lotta contro il terrorismo, regole uguali in tutta la Ue sono l’unica soluzione per i nostri problemi”
“Non ci può essere libertà senza sicurezza e nessuna sicurezza senza libertà”, ha aggiunto la Reding, sottolineando che l’approvazione della riforma “invia un segnale forte sul fatto che la sicurezza nazionale e la protezione dei dati possono e devono andare di pari passo”.
#EUdataP package is a historic victory for#EU citizens & a stepping stone towards a truly European digital single market #DSM @Europarl_EN
— Viviane Reding (@VivianeRedingEU) 13 aprile 2016
Il regolamento entrerà in vigore 20 giorni dopo la pubblicazione nella Gazzetta ufficiale dell’Unione europea, verosimilmente entro la fine di giugno, e le sue disposizioni saranno applicabili in tutti gli Stati membri due anni dopo tale data.
Per il Garante Privacy italiano Antonello Soro, “L’approvazione del Regolamento e della Direttiva rappresentano per l’Unione un traguardo importante, atteso da tempo. Ma si pongono anche come una sfida sia per le Autorità Garanti sia per imprese, soggetti pubblici, liberi professionisti chiamati ad un ruolo di grande rilievo e responsabilità nel garantire un sempre più elevato grado di tutela delle persone che vivono e operano nell’Unione. Un percorso verso una più ampia tutela, soprattutto nel mondo digitale – ha concluso Soro – che si apre già da subito e che vedrà l’Autorità italiana impegnata in un dialogo costante con tutti gli attori in campo e con le altre Autorità Garanti europee”.
Il nuovo Regolamento dovrà essere rispettato anche dalle aziende che hanno sede al di fuori dell’Unione Europea. Sul piano delle sanzioni per le aziende che non rispetteranno le norme, con riferimento, in particolare, alle web company che trattano i dati dei cittadini, le autorità nazionali indipendenti di protezione dei dati potranno comminare sanzioni pecuniarie pari al 4% del fatturato mondiale annuo.
“La regolamentazione farà anche chiarezza per le imprese, stabilendo un solo regolamento valido in tutta Europa. Le nuove norme danno maggiore fiducia, certezza legale e competizione leale”, ha sottolineato Jan Philippe Albrecht (Verdi, DE), che ha guidato la legislazione in Parlamento.
Great news, EU #dataprotection rules adopted in #EPlenary – will help to foster trust in online services for consumers & businesses #EUdataP
— Andrus Ansip (@Ansip_EU) 14 aprile 2016
Il Parlamento, nella sua seduta plenaria odierna ha approvato anche la nuova direttiva che regola l’utilizzo dei dati del codice di prenotazione (PNR) ai fini di prevenzione, accertamento, indagine e azione penale nei confronti dei reati di terrorismo e dei reati gravi. Con questa decisione, le compagnie aeree saranno obbligate a comunicare alle autorità i dati dei passeggeri per tutti i voli provenienti da Paesi terzi verso l’Unione Europea e viceversa.
I dati PNR riguardano le informazioni fornite dai passeggeri e raccolte dalle compagnie aeree durante la prenotazione dei voli e le procedure di check-in, come: data o date previste di viaggio; itinerario di viaggio;
informazioni relative al biglietto; indirizzo ed estremi dei passeggeri; informazioni relative al bagaglio; informazioni relative alle modalità di pagamento.
Sono dati che le compagnie aeree già raccolgono e trattano a fini commerciali.
La proposta dovrà ora essere formalmente approvata dal Consiglio. Una volta pubblicata nella Gazzetta ufficiale dell’UE, gli Stati membri avranno tempo due anni per recepire la direttiva nella loro legislazione nazionale.
“Abbiamo adottato un nuovo importante strumento per la lotta contro i terroristi e i trafficanti. Attraverso la raccolta, la condivisione e l’analisi delle informazioni dei PNR le nostre agenzie di intelligence sono in grado di rilevare modelli di comportamento sospetti, che necessitano di verifica”, ha sottolineato il relatore Timothy Kirkhope (ECR, UK) .
Uno strumento che tuttavia non ha mancato di suscitare critiche e perplessità da parte di chi teme abusi sulle modalità di raccolta e la conservazione dei dati.
#EUPNR & #EUdataP #dataprotection votes today in #EPlenary crucial steps for #EU citizens, their security and protection of their privacy
— EP President (@EP_President) 14 aprile 2016
