A Christmas’ Carol: privacy del passato, del presente e del futuro

0

1. La privacy del passato (ovvero, il diritto all’identità personale, riproposto in ambiente ‘digitale’)

La sentenza del Tribunal de Grande Instance di Parigi del 24 novembre 2010.

Con una recente pronuncia, i giudici del Tribunale civile francese hanno esaminato il tema della violazione del diritto all’immagine (di cui all’art. 8 della Convenzione europea dei diritti dell’uomo e delle libertà fondamentali) conseguente alla creazione di un ‘falso profilo’ sul social network Facebook. In sentenza si afferma che ogni persona, anche nota, ha diritto al rispetto della propria identità personale e della propria immagine (non prevalendo, su tale diritto, nel caso di specie, il diritto alla libertà di espressione, di cui all’art. 10 della stessa Convenzione); la realizzazione del falso profilo personale, comportante l’illecita compressione di questo diritto, costituisce, pertanto, fatto illecito che deve essere risarcito. Il testo della sentenza è disponibile al sito web: http://legalis.net/spip.php?page=jurisprudence-decision&id_article=3042

2. La privacy del presente (ovvero, della crescente interrelazione tra ‘economia digitale’, diritto dei consumatori e [diritto alla]protezione dei dati personali)

Il discorso del Vice-Presidente della Commissione europea, responsabile per la Digital Agenda, Neelie Kroes, “cloud computing e protezione dati”.

In data 25 novembre, alla Conferenza “Les Assises du Numérique” presso l’Università Paris-Dauphine, il Commissario ha illustrato la sua posizione in merito alla tematica del c.d. cloud computing. In breve, il Commissario Kroes – nell’ottica della realizzazione del mercato unico dei prodotti e servizi della “economia digitale” – invita a trovare soluzioni all’istanza fondamentale della protezione dei dati personali che non limitino tuttavia eccessivamente la diffusione dei servizi telematici. Si tratta, in pratica, di applicare i principi della “privacy by design”, dell’armonizzazione delle notificazioni, e di un più esteso ricorso alle binding corporate rules, nonché ad iniziative di auto-regolamentazione e a codici di condotta da parte degli operatori.

Dal punto di vista del commercio internazionale, la Kroes evidenzia il fatto che i requisiti di protezione dati europei siano – ingiustamente – considerati al tempo stesso come: a) da parte dei produttori extra UE, una forma di protezionismo all’ingresso di prodotti e servizi extra UE; b) per gli operatori commerciali UE, una fonte di svantaggio competitivo, collegato all’adempimento degli oneri amministrativi derivanti dall’applicazione della normativa privacy.

In realtà, la sicurezza della protezione dati è requisito, imprescindibile, di qualità del prodotto/servizio informatico fornito dal fornitore (cloud supplier), che dovrebbe essere monitorato, in particolare, dallo Stato in cui ha sede tale fornitore (e dove si trovano i server/il “cloud”). Nella prima metà del 2011 la Commissione formulerà la strategia europea per il cloud computing.

Per quanto concerne la revisione generale della direttiva 96/45/CE, la Commissaria individua la ratio di tale riforma essenzialmente nell’adeguamento della normativa all’innovazione tecnologica, e delinea i seguenti punti chiave: – la trasparenza sulle modalità di trattamento dei dati e l’informazione ai consumatori/titolari; la necessità e proporzionalità dei trattamenti; il diritto all’oblio/anonimizzazione; e, infine, due punti molto legati all’ottica mercato interno, ovvero: la portabilità dei dati nel passaggio da un fornitore di servizi ad un altro; l’eliminazione degli oneri amministrativi eccessivi [nota: pur riconosciuto come diritto fondamentale/assoluto, il diritto alla protezione dei dati personali assume – in ambito “agenda digitale” – una connotazione consumeristica o pro-concorrenziale funzionale alla promozione del mercato unico delle nuove tecnologie]. Il testo del discorso è consultabile al sito web:

http://europa.eu/rapid/pressReleasesAction.do?reference=SPEECH/10/686&format=HTML&aged=0&language=EN&guiLanguage=en

Il Report on the impact of advertising on consumer behavior (2010/2052(INI)).

Il 9 novembre la Commissione Mercato Interno e Protezione dei Consumatori (IMCO) del Parlamento europeo ha adottato il rapporto (che fa riferimento al parere del 22 giugno su online behavioural advertising del Working Party Article 29 [il Gruppo di lavoro delle Autorità per la protezione dei dati personali europee]) che analizza le pratiche commerciali scorrette nel campo della pubblicità, evidenziando i problemi posti dalle nuove tecniche di marketing e dall’utilizzo a tal fine delle nuove tecnologie.

Pur riconoscendo il ruolo svolto dalla pubblicità nel mercato interno quale stimolo per la competitività e l’innovazione, bisogna, infatti, limitare il rischio che le tecniche di marketing possano tradursi in pratiche commerciali scorrette ed invasive (si pensi, ad esempio, a forme di pubblicità “mirate” che ricorrono a profilazione tramite cookies e “consumer tracking”, a dati di geolocalizzazione, o a forme di marketing “occulto” tramite social networks, etc.).

Dal rapporto si rilevano in particolare: la classificazione delle pubblicità mirate in tre gruppi (contestuale, personalizzata, comportamentale); l’analisi dei rischi posti da ciascuna pratica alla protezione dei dati personali; la proposta di misure concrete per prevenire tali rischi (anche attraverso la maggiore trasparenza/consapevolezza dei consumatori sull’utilizzo di tali tecniche e la garanzia della possibilità di opporsi ad esse), proteggendo così le persone (soprattutto i minori) al contempo nella duplice veste di consumatori e di soggetti interessati al trattamento.

Per maggiori informazioni, si rinvia alla scheda informativa sul Report (che sarà sottoposto a votazione in Plenaria come risoluzione del Parlamento europeo), disponibile al sito web della Commissione Mercato Interno e Protezione dei Consumatori (IMCO) del Parlamento europeo:

http://www.europarl.europa.eu/sides/getDoc.do?pubRef=-%2f%2fEP%2f%2fTEXT%2bIM-PRESS%2b20101108IPR92641%2b0%2bDOC%2bXML%2bV0%2f%2fEN&language=EN

3. La privacy del futuro (ovvero, la revisione della Direttiva 95/46)

La Comunicazione della Commissione europea: “A comprehensive approach on data protection in the European Union

E’ stata pubblicata sul sito della Direzione Generale Giustizia della Commissione europea la Comunicazione della Commissione europea del 4 novembre sulla revisione della Direttiva 95/46/CE. La consultazione pubblica, avente ad oggetto la citata Comunicazione, è aperta dal 4 novembre 2010 al 15 gennaio 2011. Per maggiori informazioni, si rinvia al sito web della Direzione Generale Giustizia della Commissione europea:

http://ec.europa.eu/justice/news/consulting_public/news_consulting_0006_en.htm

I motivi alla base della revisione sono sostanzialmente relativi alle innovazioni tecnologiche (impatto delle nuove tecnologie; quali il cloud computing, accentuata globalizzazione nel trasferimento dei dati; utilizzo di tecniche di behavioural advertising sempre più sofisticate). Al mutato contesto tecnologico occorre aggiungere le innovazioni del quadro giuridico (entrata in vigore del Trattato di Lisbona, valore giuridico vincolante della Carta dei diritti fondamentali dell’Unione europea), che postulano la messa a punto di una cornice normativa coerente e comune per il trattamento di dati personali nel contesto di tutte le politiche dell’Unione europea (ad inclusione, pertanto, di quelle del c.d. ex terzo pilastro: cooperazione di polizia e giudiziaria in materia penale).

Nel rispondere a tali novità tecnologiche e normative, la Commissione si propone di:

(i)        riformulare/precisare il concetto di dato personale, includendo, ad esempio, dati sulla geo-localizzazione ed altri non contemplati dalla Direttiva;

(ii)       aumentare il grado di trasparenza che i titolari del trattamento hanno l’obbligo di assicurare agli interessati, anche in funzione della tipologia di dato personale oggetto di trattamento, eventualmente definendo modelli di informativa uniformi a livello europeo (“privacy information notices” – “EU standard form”);

(iii)      estendere al contesto della Direttiva l’obbligo (previsto dalla Direttiva e-privacy di recente modificata) di segnalazione delle violazioni degli obblighi in materia di protezione dati pregiudizievoli per gli interessati (“general personal data breach notification”);

(iv)      garantire un più effettivo controllo, da parte degli interessati, sul trattamento dei propri dati (diritto di accesso, rettifica, blocco, cancellazione);

(v)       sensibilizzare l’opinione pubblica sull’importanza della tematica protezione dati, eventualmente co-finanziando attraverso il budget dell’UE attività volte ad aumentare il grado di conoscenza dell’argomento da parte del pubblico (“awareness-raising activities”);

(vi)      definire/aggiornare la nozione di consenso informato;

(vii)     aggiornare la nozione di “dati sensibili”;

(viii)    esaminare l’effettività delle sanzioni.

Inoltre, da un punto di vista più generale, la proposta della Commissione mira ad ottenere una riforma del quadro regolamentare che garantisca: maggiore armonizzazione tra le normative nazionali di recepimento; la revisione  e semplificazione del sistema di notifiche (“uniform EU-wide registration form”); certezza giuridica in merito al diritto nazionale applicabile; la compliance dei titolari del trattamento, anche attraverso sistemi di controllo e responsabilità interni (c.d. “accountability”), tenendo comunque conto delle dimensioni dei soggetti responsabili, della specificità dei rischi posti dal trattamento, dell’utilizzo di tecnologie “privacy-friendly” (“privacy by design”) certificate a livello europeo (“EU certification schemes” – “privacy seals”), della adozione di codici di condotta e di iniziative di auto-regolamentazione.

Per quanto concerne il trattamento dati nell’ambito della cooperazione di polizia e giudiziaria in materia penale (che sarà oggetto di una consultazione pubblica nel 2011), la Comunicazione sottolinea che la Decisione Quadro 2008/977 presenta non poche criticità (ambito di applicazione limitato ai dati trasmessi nell’ambito della cooperazione tra Stati membri, e non esteso a trattamenti meramente interni ad uno stesso Stato membro; armonizzazione di tipo “minimo”; problemi di coerenza con altri strumenti legislativi). La riforma del quadro regolamentare si propone di superare tali criticità, estendendo, per quanto possibile, tenuto conto delle specificità del settore, le regole generali previste dalla novellata Direttiva.

Per quanto riguarda il trasferimento dei dati extra-UE, la proposta è volta: al riesame delle procedure per la valutazione del livello di “adeguatezza” degli Stati terzi (“adequacy procedure”), nonché in merito di clausole contrattuali standard (BCR) per i trasferimenti infragruppo; al rafforzamento della cooperazione con organismi internazionali attivi sullo stesso tema (OCSE, Consiglio d’Europa, Nazioni Unite).

Infine, si promuove il rafforzamento della architettura istituzionale: garanzie di effettiva indipendenza della Autorità per la protezione dati; rafforzamento del ruolo ed ampliamento delle funzioni del Gruppo Articolo 29.

La Commissione europea si propone di presentare la prima bozza della proposta legislativa di revisione della Direttiva nel corso del 2011 e, al contempo, di attivarsi per un più effettivo controllo delle infrazioni nei confronti degli Stati membri.

Il discorso del Vice-Presidente della Commissione europea, responsabile per giustizia, diritti fondamentali e cittadinanza, Viviane Reding: il 30 novembre, alla Conferenza “European data protection and privacy”, organizzata dalla c.d. ‘business community’, il Commissario Reding ha evidenziato che la revisione della Direttiva 95/46 rappresenta innanzitutto la risposta al mutato scenario tecnologico, ove (con riferimento soprattutto al web, ai social network) occorre assicurare il diritto all’oblio ed il pieno controllo dei titolari sui propri dati. Dal lato degli operatori economici la Direttiva dovrebbe portare alla semplificazione e all’ulteriore armonizzazione degli oneri amministrativi, con riferimento in particolare alle notificazioni. Occorre, inoltre, il rafforzamento delle Autorità nazionali di protezione dati, le quali dovrebbero garantire una risposta unitaria a livello europeo in casi quale quello Google Street-view, ove, invece, si è registrata una diversità di risposte e di tutele per i cittadini da parte delle autorità competenti degli Stati membri. [L’Autorità per la protezione dei  dati personali del Regno Unito (Information Commissioner’s Office – ICO), in merito al caso Google Street-view, per quanto di competenza dell’Authority anglosassone, ha deciso, pur constatata la rilevanza dell’illecito trattamento (in particolare, la raccolta illecita di c.d. payload data, comprendenti messaggi e-mail, URLs e passwords), di non comminare sanzioni pecuniarie, e ciò in considerazione dell’impegno assunto dalla società Google di evitare il ripetersi dei fatti oggetto di contestazione ed alla successiva verifica (“consensual audit”) sul rispetto di tale impegno da parte dell’ICO. Per maggiori informazioni sulla decisione dell’ICO sul caso Google Street-view, si rinvia al relativo comunicato stampa del 3 novembre, disponibile al sito web dell’Information Commissioner’s Office:

http://www.ico.gov.uk/~/media/documents/pressreleases/2010/google_inc_street_view_press_release_03112010.ashx

Per la reazione del Garante per la protezione dei dati personali, si rinvia alla decisione del 9 settembre (che dispone il blocco del trattamento dei payload data raccolti sul territorio italiano e la trasmissione degli atti all’autorità giudiziaria per la valutazione dei profili penali), disponibile al sito web della stessa Autorità Garante:

http://www.garanteprivacy.it/garante/doc.jsp?ID=1750529 ]

Le novellate disposizioni della Direttiva (riformulate in modo più preciso e dettagliato) dovrebbero finalmente assicurare la tutela del diritto fondamentale alla protezione dei dati personali e la circolazione di tali dati (e quindi lo sviluppo delle attività economiche che ne presuppongono lo scambio) nel mercato unico, assicurando la necessaria certezza giuridica per gli operatori e i cittadini anche sotto il profilo, di innegabile complessità, della tutela dei dati personali.

Il discorso è disponibile al sito web della Commissione europea:

http://europa.eu/rapid/pressReleasesAction.do?reference=SPEECH/10/700

Share this article!
Share.

About Author

Leave A Reply