Lo scorso 25 gennaio, la Commissione Europea ha presentato la bozza del nuovo Regolamento sulla privacy. Il nuovo quadro giuridico contribuirà a una politica più coerente rispetto al diritto fondamentale alla protezione dei dati personali.
Gianluca Pomante
Avvocato esperto in tema di privacy e IT
Dopo un ventennio sostanzialmente fallimentare della disciplina sulla riservatezza dei dati personali di cui alla Direttiva 95/46/CE, recepita dagli Stati Membri senza troppa convinzione, spesso in ritardo e, soprattutto, senza mai adottare le misure necessarie a darle concreta attuazione, l'Unione Europea ha deciso di prendere le redini della situazione e di adottare un Regolamento in materia di protezione dei dati personali.
La Commissione, come si evince dalla relazione introduttiva, ha preso atto che l'Unione Europea ha bisogno di una politica più completa e coerente rispetto al diritto fondamentale alla protezione dei dati personali.
Per tale ragione lo strumento giuridico prescelto, apparentemente di mero aggiornamento, ha, in realtà, la finalità di favorire e accelerare il processo di armonizzazione delle norme esistenti, poiché il Regolamento è immediatamente applicabile ed esecutivo rispetto alle Direttive, che richiedono, invece, una legge di recepimento per essere vincolanti e che, spesso, proprio a causa del filtro normativo, non ottengono piena attuazione delle prescrizioni dell'Unione.
Si legge, infatti, nell'art. 3 della Relazione, che “... l'applicabilità diretta di un regolamento ai sensi dell'art. 288 TFUE ridurrà la frammentazione giuridica ed offrirà maggiore certezza giuridica, grazie all'introduzione di una serie di norme di base armonizzate, migliorando la tutela dei diritti fondamentali delle persone fisiche e contribuendo al corretto funzionamento del mercato interno”.
A ulteriore conferma della gestione fallimentare degli Stati Membri, il riferimento alla sussidiarietà - di cui all'art. 5, par. 3, TUE - che stabilisce l'intervento diretto dell'Unione nel momento in cui gli obiettivi di una determinata azione, concordata a livello comunitario, non riescono a essere perseguiti con efficacia dagli Stati Membri.
In sostanza, una discreta “tirata d'orecchi” agli Stati Europei, ritenuti tutti - senza particolari differenze - responsabili del mancato raggiungimento degli obiettivi programmati.
La Commissione lamenta l'instaurazione di diversi livelli di protezione da parte degli Stati Membri, che creano difficoltà pratiche nella tutela dei dati e nel trasferimento degli stessi, anche all'interno dell'Unione; peraltro, il trasferimento transfrontaliero - anche tra sedi della stessa azienda che operano all'interno e all'esterno dell'Unione - è attualmente basato sulla capacità dei singoli di redigere la contrattualistica e le regole interne (c.d. Corporate Rules) necessarie ad assicurare il medesimo grado di tutela garantito nel territorio dell'Unione da parte dello Stato ricevente.
Il 25 gennaio 2013 la Commissione Europea, con un comunicato stampa, ha presentato ufficialmente la bozza del nuovo quadro giuridico che vincolerà gli Stati Membri, indicando, in sintesi, le maggiori novità rispetto al passato.
Dati genetici e biometrici
Nel comunicato viene rimarcata la natura dei diritti fondamentali che sono alla base della protezione dei dati personali, considerati alla luce della loro funzione sociale e al rispetto della vita privata e familiare.
Alle definizioni fondamentali sono aggiunte quelle relative ai dati genetici e biometrici, finora individuati solo dalla dottrina.
Viene formalizzato il principio - già delineato in passato dal complesso di norme vigenti - dell'applicazione del diritto dell'Unione Europea anche ai trattamenti svolti all'esterno dell'Unione, ove riferiti all'offerta di beni o servizi a cittadini dell'Unione o, comunque, tali da consentire il monitoraggio o la profilazione dei comportamenti di cittadini dell'Unione.
Si stabilisce il diritto degli interessati alla c.d. "portabilità del dato", qualora l'utente intenda trasferire i propri dati personali da un servizio all'altro (come avviene, ad esempio, tra operatori di telefonia fissa e mobile), così come il c.d. “diritto all'oblio”, per consentire un'effettiva selezione delle informazioni che possono circolare rispetto a quelle che, soprattutto sulle reti telematiche, il cittadino ha interesse a rimuovere (ad esempio, attraverso l'anonimizzazione delle sentenze di condanna e fallimento, che restano fruibili per la consultazione ma, a distanza di anni, non è opportuno che abbiano ancora un effetto infamante nei confronti del soggetto che ha ormai scontato il suo debito con la società), con gli ovvi limiti derivanti dal rispetto di norme speciali e dalla necessità di garantire l'esercizio della libertà di espressione, del diritto di cronaca, della ricerca storica e culturale, ecc.
Privacy in azienda:
la figura del Data Protection Officer
L'obbligo di notificare l'esistenza di determinati trattamenti alle autorità nazionali viene sostituito dalla nomina del Data Protection Officer per tutti i soggetti pubblici e per quelli privati con un determinato numero di dipendenti, mentre viene introdotto il Documento di valutazione dell'impatto della privacy, che dovrà essere modellato sulla realtà aziendale e istituzionale realizzando misure di sicurezza fisiche, logiche e organizzative adeguate e programmandone l'evoluzione futura, secondo un concetto di “privacy by design” che modifica l'attuale approccio conservativo per spingere il titolare del trattamento a modificare la propria struttura in funzione dei diritti da garantire, costituendo una vera e propria task force di soggetti, coordinati dal Data Protection Officer, che dovranno assicurare il rispetto delle norme e l'effettiva tutela dei dati.
Non a caso il nuovo Regolamento prevede, infatti, per il titolare del trattamento, l'onere di notificare all'Autorità competente le violazioni di dati personali accertate, sia per adottare eventuali misure di contrasto alla diffusione e al trattamento illecito dei dati - che potrebbero non essere alla portata del singolo titolare, già danneggiato dall'evento - che per verificare l'effettivo rispetto delle misure di sicurezza da parte di quest'ultimo.
L'analisi dettagliata delle novità introdotte dal Regolamento consente di fare numerose riflessioni.
Innanzitutto l'attenzione, in termini di responsabilità, viene spostata terminologicamente dal titolare al responsabile del trattamento, la cui figura viene notevolmente accentuata e richiamata dalle numerose prescrizioni.
Ciò non significa che la responsabilità del titolare viene attenuata, ma che la figura del responsabile del trattamento, prima sussidiaria e soggetta al rispetto delle prescrizioni imposte dal Titolare, viene elevata al rango di consulente esperto, che affianca il titolare nelle decisioni e ne condivide la responsabilità dell'eventuale evento lesivo.
Tra le definizioni vengono meno quelle di dato sensibile e giudiziario, che per molto tempo hanno distinto i dati che meritavano particolare attenzione rispetto ad altri.
Il legislatore comunitario preferisce chiarire il concetto di dato “generico”, “genetico”, “biometrico” e “relativo alla salute”, rinviando poi agli articoli 8 e 9 l'individuazione dei trattamenti che riguardano particolari categorie di dati personali che meritano maggiore attenzione.
Minori più protetti
L'art. 8 sembra plasmato per il controllo dei dati dei minori in relazione all'uso disinvolto nei social network e in ogni altro servizio della società “liquida” di Internet, che aumenta esponenzialmente il rischio di trattamento illecito e diminuisce le possibilità di controllo e recupero delle informazioni.
In particolare, viene uniformato il concetto di minore degli anni 18 - che, in precedenza, avrebbe potuto risentire del limite legale eventualmente abbassato o innalzato dalle singole legislazioni nazionali - mentre il trattamento dei minori di anni tredici viene subordinato necessariamente al consenso del genitore o del tutore, con onere a carico del responsabile del trattamento di individuare le modalità di acquisizione di un consenso verificabile e giuridicamente rilevante.
Per il Legislatore Europeo, in sostanza, il minore di anni 18 che abbia, tuttavia, compiuto il tredicesimo anno di età è riconosciuto capace di cedere i propri dati ma non di contrarre (come specificato dal paragrafo 2 del medesimo art. 8), in assenza del consenso del genitore.
Circostanza che, in ogni caso, determina un'emancipazione parziale di rango comunitario che contrasta con quella prevista dagli Ordinamenti dei singoli Stati.
Sebbene, finora, l'attività di cessione dei dati in rete, da parte del minore, sia stata tollerata per ragioni di opportunità, l'onere di preservare il minore da qualsiasi trattamento illecito dei dati gravava integralmente sul soggetto che erogava il relativo servizio (basato, peraltro, su un contratto solitamente nullo, perché sottoscritto online dal minore stesso).
L'inserimento di una tale norma nel Regolamento Comunitario potrebbe permettere alle aziende più smaliziate di acquisire i dati personali dei minori in assoluta tranquillità, con evidente rischio di sottovalutazione delle conseguenze da parte dell'interessato.
Al contrario, in assenza del Regolamento, qualsiasi cessione di dati realizzata dal minore è radicalmente nulla, per la mancanza di capacità di agire in capo all'interessato - con onere, quindi, a carico del titolare, di acquisire il consenso del genitore.
I trattamenti particolari
L'art. 9 definisce i trattamenti particolari, ai quali occorre prestare la massima attenzione: vengono individuati i dati personali relativi alla razza, all'origine etnica, alle opinioni politiche e religiose, all'appartenenza sindacale.
Qualche perplessità desta il concetto di “convinzione personale”, che appare troppo generico per poter essere tutelato in modo efficace e che apre la strada a un probabile contenzioso, in relazione al rapporto di lavoro e al diritto di informazione e di critica.
Tra i dati particolari vengono inseriti anche quelli già definiti - relativi allo stato di salute, al patrimonio genetico, alle caratteristiche biometriche - e individuati quelli relativi alla vita sessuale, alle condanne penali, all'applicazione di misure di sicurezza.
Per l'impatto che potrebbero avere sulla vita di relazione dell'individuo, alla luce dei principi espressi dal Regolamento, sarebbe opportuno considerare dati particolari anche quelli relativi alla situazione finanziaria e patrimoniale della persona fisica, con particolare riferimento alle situazioni di indebitamento ed esposizione finanziaria, così come quelli relativi a eventuali misure di cautelari e di prevenzione applicate dall'Autorità Giudiziaria, che sembrano stranamente esclusi dal Regolamento.