Il 25 gennaio 2012, dopo oltre due anni di “cantiere aperto” e di confronto con i diversi stakeholders, la privacy revolution ha messo finalmente le fondamenta. La Commissione europea ha presentato ufficialmente le proposte di revisione delle norme sulla protezione dei dati personali. Si tratta di una proposta di Regolamento (sostitutivo della Direttiva 95/46/CE), che andrà a disciplinare i trattamenti nell’ambito dell’ex I pilastro dell’Unione e di una proposta di Direttiva (sostitutiva della Decisione 2008/977/GAI, ossia la Decisione quadro sulla protezione dati nell’ex III pilastro), relativa ai trattamenti per finalità di giustizia e di polizia. Rispetto ai testi informalmente circolati su Internet alla fine dello scorso anno vi sono evidenti differenze qualitative, soprattutto per quanto riguarda il testo della proposta di Direttiva.
Merita una preliminare considerazione l’impostazione di fondo della nuova disciplina: nel mondo globalizzato, interconnesso e del cloud computing, la protezione dei dati andrà oltre il confine europeo. Con le nuove regole l’Europa ribadisce, infatti, con forza l’importanza della propria normativa prevedendone l’applicazione anche al di fuori del proprio territorio a tutela dei propri cittadini, quando il trattamento dei dati riguarda l’offerta agli stessi di beni e servizi o il controllo dei loro comportamenti (art. 3, 2 della proposta di Regolamento). È evidente, in questa disposizione, la volontà di proteggere i cittadini europei soprattutto rispetto agli aspetti più significativi dei social network, dell’uso di cookies effettuati a fini di profilazione senza il loro consenso e dei sistemi cloud computing. La Kroes, vicepresidente della Commissione europea e responsabile per la Digital Agenda, ha definito (nel corso dell’evento Microsoft “fuelling the European Economy” del 30 gennaio scorso) “cloud-friendly” la riforma europea della protezione dati, sostenendo che gli utenti non dovranno indovinare dove sia collocato il fornitore del servizio: “se una società offre beni o servizi a coloro che risiedono in Europa o ne controlla i comportamenti, allora non dovrebbe importare se tale società sia ubicata a Madrid, Mumbai o Mountain View”, in quanto le nuove regole europee dovrebbero applicarsi in ogni caso.
A leggere la norma e a seguire i ragionamenti provenienti dalla Commissione europea, l’interessato residente in Europa potrà, quindi, contare sulla protezione dei dati che lo riguardano basata sulla normativa europea, a prescindere dalla collocazione del titolare del trattamento.
Ma come si potrà garantire l’efficacia di una siffatta previsione al netto di accordi e/o regole internazionali? Su questi, e su altri aspetti. ci si interroga in questi giorni tra gli addetti ai lavori della protezione dati.
Veniamo ora ad esaminare il contenuto sostanziale della riforma.
La conferenza stampa con cui la Reding (Commissaria alla Giustizia, Diritti fondamentali e Cittadinanza) ha illustrato i punti principali della riforma, ha messo in luce il fil rouge delle nuove regole: la loro immediata applicabilità a tutti gli Stati dell’Unione. Verrà, infatti, introdotto un unico pacchetto di regole valido per tutti gli Stati membri, che inciderà sulle imprese, ponendo fine alla frammentazione e alla gravosità degli oneri amministrativi legati alla gestione della privacy e sui cittadini, rafforzando i loro diritti e rendendoli effettivi anche in un mondo cambiato dall’impatto dello sviluppo tecnologico (si pensi ai nuovi principi quali: l’obbligo di trasparenza dei trattamenti, il consenso esplicito allo stesso, la tutela del cosiddetto diritto all’oblio, specialmente in Internet).
In tal senso anche il keynote speech tenuto dalla Le Bail, Direttore Generale della DG Justice della Commissione europea, durante la quinta edizione della Conferenza internazionale su “Computers, Privacy & Data Protection” intitolata “Data Protection: Coming of Age”, svoltasi a Bruxelles dal 25 al 27 gennaio 2012. La Le Bail ha ritenuto il 25 gennaio 2012 un grande giorno per la protezione dati, da festeggiare proprio per il rafforzamento che il nuovo pacchetto comporta per il business e al tempo stesso per gli individuals, in considerazione dei cambiamenti avutisi in 16 anni (ossia dall’adozione della ormai vecchia Direttiva 95/46/CE), soprattutto in relazione alle nuove tecnologie ed ai trattamenti dei dati in Internet
Il nuovo Regolamento poggia, infatti, le proprie fondamenta proprio sulla constatazione che il progresso tecnologico e la globalizzazione abbiano reso obsoleti i principi della vecchia normativa. La soluzione è quindi un’unica legge (la Le Bail ha parlato di “a single rule”, valida per tutti gli Stati membri), capace anche di rafforzare la fiducia dei consumatori nei servizi online e di promuovere così la crescita economica, la creazione di nuovi posti di lavoro e l’innovazione. Si introduce, inoltre, il principio dell’accountability dei titolari del trattamento: vero cambiamento culturale. La nuova normativa incoraggia, infatti, coloro che trattano i dati personali ad essere responsabili e pro-attivi, sin dalla prima fase del trattamento dati.
Sul punto non sono mancate osservazioni positive ma anche perplessità da parte dei rappresentati dell’industria presenti alla citata Conferenza internazionale.
L’apprezzamento delle categorie interessate ha, naturalmente, riguardato l’enorme opera di semplificazione realizzata dalla Commissione: in primis l’eliminazione degli obblighi di notifica che gravano in particolar modo sulle piccole e medie imprese; in secondo luogo, il mutuo riconoscimento delle regole vincolanti d’impresa (BCR) autorizzate da ciascuna DPA e lo snellimento delle procedure di trasferimento internazionale dei dati.
Alcune riserve sono state, invece, manifestate in relazione alle difficoltà (in termini di costi e di risorse umane) che possono incontrare le piccole e medie imprese per essere davvero accountable. La realizzazione di misure quali il privacy impact assessment, la privacy by design, la privacy by default, possono infatti richiedere notevoli sforzi che probabilmente le piccole imprese non saranno in grado di sostenere. Di qui la richiesta di una scalability degli obblighi che in fase di applicazione della nuova normativa potrà rendersi necessaria.
Venendo ora allo specifico delle nuove norme, la proposta di Regolamento indubbiamente assicura una maggior protezione dei dati personali. I principali elementi chiave sono così riassumibili:
– inversione dell’onere probatorio circa la liceità del trattamento e l’avvenuta acquisizione del consenso – ove necessario – (art. 5, lett. f), e art. 7)
– introduzione del right to be forgotten (art. 17): viene cioè introdotta la possibilità di cancellare i dati immessi in rete se non sussistono motivi legittimi per mantenerli, permettendo una migliore gestione dei rischi connessi alla protezione dei dati.
– principio di data portability (art. 18): i cittadini avranno un accesso più facile ai loro dati personali, potendoli trasferire da un service provider ad un altro (portabilità dei dati) al fine di favorire la competitività fra servizi.
– principio di accountability (art. 22);
– obbligo di implementare approcci di privacy by design e by default (art. 23);
– eliminazione dell’obbligo di notifica dei trattamenti (sostituito dall’obbligo per il titolare di nominare un data protection officer, in determinate circostanze, ovvero di tenere documentazione a disposizione dell’autorità di controllo e degli interessati: art. 28);
– introduzione dell’obbligo “generalizzato” di notifica dei data breach (art. 31): la notifica, dalle imprese all’Autorità, possibilmente entro 24 ore, di eventuali violazioni di dati, con ciò estendendo l’obbligo che oggi concerne -ai sensi della direttiva 136/2009- le sole aziende fornitrici di servizi di comunicazione elettronica.;
– obbligo di valutazione d’impatto privacy (PIA) (art. 33);
– obblighi di prior authorization e prior consultation (ossia l’obbligo di consultare le Autorità di protezione dati sulla legislazione primaria, cd. “fase ascendente”) (art. 34);
– obbligo di nomina del data protection officer, “incaricato per la protezione dei dati”, che diviene obbligatoria per gli enti pubblici e per le aziende con più di 250 dipendenti (art. 35);
– trasformazione dell’attuale Gruppo articolo 29 (Wpart.29) nell’European Data Protection Board, cui farà capo una procedura di consultazione e coordinamento delle attività delle DPA per casi che hanno effetti ultranazionali in modo da garantire la coerenza (“consistency mechanism”) tra Autorità di protezione dati in caso di misure aventi rilevanza-effetti transnazionali (artt. 57-63).
Se le predette nuove misure hanno trovato un’accoglienza generalmente favorevole (al di là di alcune riserve già avanzate dal settore privato), il nuovo ruolo che la Commissione europea assume in questo Regolamento ha suscitato, invece, non poche perplessità da parte delle Autorità nazionali di protezione dati.
Molti Garanti europei della privacy, riunitisi proprio negli scorsi giorni a Bruxelles per la plenaria del WPart.29 (1-2 febbraio 2012), hanno infatti ritenuto eccessivo il ricorso alla cd. comitatologia presente in diverse disposizioni del Regolamento e, in generale, preoccupante l’affidamento alla Commissione della possibilità di introdurre in futuro nuove norme tramite i delegated acts e implementing acts. Tali previsioni per alcuni Stati (come la Spagna, l’Italia e anche, per certi aspetti, la Germania) sollevano problemi importanti -specialmente in relazione al fatto che il diritto alla protezione dei dati personali è un diritto fondamentale- in quanto finirebbero per conferire alla Commissione (tramite i comitati) un potere di intervento regolamentare al di fuori del circuito parlamentare.
Inoltre, molte Autorità hanno fortemente criticato il potere di ultima istanza che la Commissione può esercitare anche rispetto alle decisioni del nuovo European Data Protection Board in relazione a singoli casi o problemi. Ciò sembra vanificare la stessa indipendenza delle Autorità che il Regolamento stesso riconosce in altre disposizioni. Il ruolo della Commissione, così rafforzato, può persino far pensare a un’accentramento della materia della protezione dati più forte a livello europeo rispetto agli Stati membri e sostanzialmente tale da rendere le Autorità della privacy nazionali degli “uffici periferici” di un sistema unico europeo.
Sono necessarie, dunque, riflessioni ulteriori.
***
Non minori sono i problemi che pone l’altro testo normativo presentato dalla Commissione. Si tratta della proposta di Direttiva, sostitutiva della Decisione Quadro 2008/977/GAI, che stabilisce le norme relative alla protezione delle persone fisiche con riguardo al trattamento dei dati personali effettuato solo da parte delle autorità competenti ai fini di prevenzione, ricerca, accertamento e perseguimento dei reati o l’esecuzione delle sanzioni penali.
Va sottolineato che le disposizioni di questo secondo nuovo strumento regolano, in via generale, tutti i trattamenti di dati personali per tali finalità “istituzionali”, mentre la precedente Decisione Quadro disciplina attualmente solo lo scambio di dati fra autorità competenti ed il trattamento successivo dei dati scambiati in tale contesto. La Direttiva si applicherà cioè non solo ai trattamenti transfrontalieri dei dati ma anche ai trattamenti interni (“domestic processing of personal data”). Si tratta, dunque, di un importante passo in avanti che va nella direzione indicata dal Trattato di Lisbona, in qualche modo chiudendo il cerchio di tutele che si era iniziato a tracciare con il Trattato di Maastricht del 1992 ed il Trattato di Amsterdam del 1997.
La Direttiva riprende la logica del Regolamento che richiama in molte delle sue previsioni, a cominciare dalle definizioni di interessato, dato personale, trattamento, titolare del trattamento ecc.. Essa contiene disposizioni specifiche sulle responsabilità dei titolari e sugli obblighi che ad essi incombono in materia di trasparenza ed accesso, e fissa i criteri di legittimità dei trattamenti in oggetto nonché meccanismi di mutua cooperazione ed i poteri delle autorità nazionali di controllo.
Pertanto, il titolare del trattamento è soggetto in linea generale alle stesse disposizioni del Regolamento: obbligo di implementare un approccio di privacy by design e privacy by default; valutazione di impatto privacy per i nuovi trattamenti; obbligo di previa autorizzazione da parte della DPA; nomina di un privacy officer; obbligo di notificare eventuali violazioni dei dati (personal data breaches), ecc.
Va anche notato come siano molto dettagliate le disposizioni in materia di misure di sicurezza (fisiche e logiche), a differenza di quanto genericamente previsto nella Decisione Quadro.
Nella Direttiva, vi sono inoltre norme specifiche disciplinano i trasferimenti extra-Ue. Tuttavia, non si menzionano naturalmente strumenti quali clausole contrattuali o BCR, bensì solo il criterio dell’adeguatezza del Paese terzo ovvero (in assenza di tale adeguatezza) il soddisfacimento di specifiche condizioni (interesse pubblico, interessi vitali, interessi superiori dello Stato richiedente) che devono però essere fissate con legge nazionale.
Si tratta, però, di disposizioni che appaiono ancora troppo generiche e sulle quali molte Autorità nazionali di protezione dati (specialmente quelle degli Stati di più antica appartenenza all’Unione) ritengono dovrebbero essere apportate modifiche importanti nella direzione della tutela dei diritti dei cittadini. In particolare, l’Autorità irlandese, nella già citata recentissima riunione plenaria del WPart.29, è giunta persino a chiedere che la Commissione assicuri, o con questa Direttiva o con una terza proposta, la protezione dati nell’ambito della sicurezza esterna (e cioè dell’ex II pilastro dell’Unione). In ogni caso, merita sottolineare che la proposta di Direttiva rappresenta, anche allo stato attuale, un importante innovazione positiva per molti Paesi degli ultimi allargamenti, primo tra tutti la Polonia.
In attesa di ulteriori feedback dai prossimi incontri del WPart.29 (sia in relazione al Regolamento che alla Direttiva), per il momento non resta che sperare che le Autorità di protezione dati nazionali siano davvero risolute a tracciare il perimetro della privacy revolution da protagoniste, fino a riempirne col tempo tutta l’area, sfruttando i maggiori poteri che la nuova riforma attribuisce alle stesse e, al tempo stesso, trovando una modalità di “buona convivenza” con i nuovi organi e il nuovo ruolo della Commissione.
2 Comments
complimenti e benvenuta a bordo!
Bisogna standardizzare le regole per il conferimento dati formando un gruppo di lavoro IETF. In questo modo, la normativa potrà essere “messa in pratica”. Le distribuzioni dei principali sistemi operativi potranno comprendere le parti software necessarie al trattamento dei dati secondo le regole della privacy, in Europa come in Canada e Australia e, su base volontaria, negli altri paesi.