Il nuovo Regolamento europeo sulla privacy consentirà l’aggiornamento e l’armonizzazione della disciplina sulla protezione dei dati personali. Ecco quali saranno le novità.
Il progresso tecnologico costante, l’evoluzione delle modalità di raccolta e di trattamento dei dati e le divergenze tra i diversi Stati membri nell’attuazione della direttiva del 1995 sui dati personali hanno fatto maturare un’esigenza di riforma globale della normativa privacy, della quale il nuovo Regolamento europeo sulla privacy è appunto l’espressione. Una volta emanato, il nuovo Regolamento europeo – che dovrebbe essere approvato tra la fine del 2015 e il primo semestre del 2016 – abrogherà la direttiva 95/46 in materia di protezione dei dati personali e, per quanto riguarda il nostro ordinamento, anche le relative disposizioni contenute nel Codice della privacy. Non tutte le norme del Codice saranno però abrogate, rimanendo inalterate quelle di attuazione della Direttiva 2002/58 e quelle della Direttiva 2009/136.
Il nuovo Regolamento europeo sulla privacy consentirà dunque l’aggiornamento e l’armonizzazione della disciplina sulla protezione dei dati personali e, per le caratteristiche intrinseche della fonte regolamentare, sarà applicabile a tutti gli Stati membri in maniera uniforme. Il Garante europeo della protezione dei dati personali ha delineato gli ambiti che necessitano di essere puntualmente regolamentati e che il vigente Codice Privacy, risalente a più di un decennio fa, non avrebbe mai potuto comprendere, dal momento che all’epoca non se ne poteva nemmeno prevedere l’esistenza:
- evoluzione tecnologica – l’avanzare della tecnologia ha reso obsolete alcune delle modalità di raccolta, trattamento e utilizzo dei dati, richiedendone la sostituzione con altre di nuova generazione;
- diritto all’oblio – a partire dalla sentenza della Corte di giustizia del 13 maggio 2014 che ha sdoganato il diritto all’oblio, le richieste di deindicizzazione di articoli – e recentemente anche di cancellazione o modifica dello snippet che compare sotto il link dell’articolo[1] – hanno oberato le “scrivanie” di Google e, di conseguenza, anche quelle del Garante Privacy (che nella maggioranza dei casi non ha accolto le richieste degli interessati). La tutela del diritto all’oblio comporta delle inevitabili ripercussioni sul diritto di espressione e su quello di cronaca. La questione è spinosa e, venendo in contrasto due diritti di rango costituzionale, il bilanciamento che di volta in volta si deve raggiungere non può essere discrezionale ma deve rispondere a precisi criteri (assenza di interesse pubblico all’acquisizione della notizia e non attualità della stessa);
- Big Data – i Big Data costituiscono da tempo un vero e proprio patrimonio informativo e, grazie alle nuove tecniche di re-identificazione, le loro potenzialità non si esplicano solo nei confronti di dati idonei a identificare una persona ma anche con riguardo a dati anonimi. Le dettagliate profilazioni che derivano dall’utilizzo di questi dati sono lesive del diritto alla riservatezza degli interessati, le abitudini e i comportamenti dei quali saranno carpiti da diversi soggetti per le più disparate finalità, una fra tutte quella di influenzarne le scelte;
- social network – data la diffusione dei social network, appare superfluo descrivere i servizi da essi offerti che sono noti, come sono ampiamente conosciuti anche i rischi per la privacy degli utenti iscritti, molti dei quali non ancora maggiorenni. Il Garante ha più volte sottolineato l’importanza di sensibilizzare gli utenti sull’utilizzo dei social, proprio perché non esiste una separazione netta tra vita reale e vita digitale e spesso ciò che accade su Facebook si ripercuote sulla reputazione e sui rapporti e relazioni personali (non virtuali!) del soggetto. Inoltre, una volta immessi, i dati sfuggono al controllo dei soggetti cui si riferiscono e impedirne la diffusione o ottenerne una cancellazione definitiva è quasi impossibile, dal momento che sovente i dati saranno comunque conservati nei server dell’azienda che offre il servizio. I dati, infine, possono anche in questa sede essere trattati per scopi commerciali e finalità di marketing e profilazione. Pertanto, i rischi per gli iscritti non si limitano esclusivamente a una violazione del loro diritto alla riservatezza, ma le informazioni pubblicate da un soggetto possono essere utilizzate per commettere un furto della sua identità o risalire alle sue password e ad altre credenziali.
A questo complesso panorama si aggiunge un altro fattore non di scarsa rilevanza, relativo al fatto che le regole previste per la protezione dei dati in Europa (e soprattutto in Italia, uno degli Stati all’avanguardia in materia di privacy) non sono uguali a quelle vigenti al di fuori del territorio dell’Unione. In Europa il diritto alla protezione dei dati personali è sancito come diritto fondamentale della persona (Trattato di Lisbona e Carta dei diritti fondamentali dell’UE). Il rispetto della sfera di riservatezza di un soggetto è dunque maggiormente sentito e più stringente rispetto alla tutela che viene offerta negli Stati extra-UE. Il problema sorge nel momento in cui la sede principale del titolare del trattamento sia situata in Stati che non prevedono una disciplina ugualmente garantista, con il risultato di svuotare la protezione dei dati personali e il diritto all’autodeterminazione informativa di ogni individuo. Il Regolamento in discussione conterrà, quindi, una clausola tramite la quale si ovvierà all’applicazione di due normative diverse, stabilendo un’unica disciplina alla quale dovrà sottostare qualsiasi soggetto che offre beni e servizi a cittadini dell’Unione europea, anche se non stabilito nel suo territorio.
Tra le maggiori novità del Regolamento si segnala l’introduzione dei principi della “Privacy by design” e “Privacy by default”, l’obbligatorietà in determinati casi di una valutazione d’impatto sulla protezione dei dati personali (Privacy Impact Assessment – PIA) e della notificazione dei casi di violazione dei dati personali all’Autorità di controllo. Per gestire tutti i nuovi adempimenti, poi, sarà introdotta anche la nuova importantissima figura – non contemplata nell’attuale normativa italiana – del Responsabile della protezione dei dati personali (c.d. Data Protection Officer), soggetto interno o esterno con compiti di informazione, sorveglianza e controllo in merito agli adempimenti tecnico-organizzativi e di sicurezza che la normativa impone. Tale figura, tuttavia, da obbligatoria (così come emerso nelle prime versioni del Regolamento europeo, anche già emendate) probabilmente diventerà facoltativa, salvo ripensamenti dell’ultimo minuto.
Il nostro Codice privacy ha dimostrato una buona stabilità che gli ha permesso di resistere negli anni nonostante le tematiche trattate siano caratterizzate da una forte dinamicità. Adesso è però giunto il momento di metterlo a riposo e sostituirlo con una nuova normativa che regolamenti in un’unica fonte, uguale per tutti gli Stati dell’Unione, la nostra vita digitale speriamo non dover attendere troppo.
[1] Provvedimento del Garante Privacy del 18 dicembre 2014, doc.web n.3736353 Il progresso tecnologico costante, l’evoluzione delle modalità di raccolta e di trattamento dei dati e le divergenze tra i diversi Stati membri nell’attuazione della direttiva del 1995 sui dati personali hanno fatto maturare un’esigenza di riforma globale della normativa privacy, della quale il nuovo Regolamento europeo sulla privacy è appunto l’espressione.