scarica l`articolo completo

Protezione dei dati personali: L’Unione Europea
vara il pacchetto “Protection Data”
di Pietro Lucania
http://www.europarl.it/it/succede_pe/news_2016/february_2016/isole_ue.html
Dopo quattro anni di intensi dibattiti spesso contrastanti è stato pubblicato sulla Gazzetta
Ufficiale dell'Unione Europea, il Regolamento sulla protezione dei dati “GDPR”, ossia EU
General Data Protection Regulation, contenente i testi del Regolamento europeo in
materia di protezione dei dati personali1, della Direttiva “LEPD” (Law Enforcement
Protection Data) che regola i trattamenti di dati personali nei settori di prevenzione,
contrasto e repressione dei crimini2 e della Direttiva sull’uso dei dati del codice di
prenotazione PNR3
Il Regolamento reca la data del 27 aprile 2016, pubblicato nella Gazzetta ufficiale
dell'Unione Europea il 4 maggio 2016, è entrato in vigore il ventesimo giorno successivo
alla pubblicazione (quindi il 24 maggio 2016) e si applicherà a decorrere dal 25 maggio
2018.
1
Regolamento (UE) 2016/679 del Parlamento europeo e del Consiglio, del 27 aprile 2016, relativo alla protezione
delle persone fisiche con riguardo al trattamento dei dati personali, nonché alla libera circolazione di tali dati e
che abroga la direttiva 95/46/CE (regolamento generale sulla protezione dei dati)
2
Direttiva (UE) 2016/680 del Parlamento europeo e del Consiglio, del 27 aprile 2016, relativa alla protezione delle
persone fisiche con riguardo al trattamento dei dati personali da parte delle autorità competenti a fini di
prevenzione, indagine, accertamento e perseguimento di reati o esecuzione di sanzioni penali, nonché alla
libera circolazione di tali dati e che abroga la decisione quadro 2008/977/GAI del Consiglio
Direttiva (UE) 2016/681 del Parlamento Europeo e del Consiglio del 27 aprile 2016 sull’uso dei dati del codice di
prenotazione (PNR) ai fini di prevenzione, accertamento, indagine ed azione penale nei confronti dei reati di
terrorismo e dei reati gravi.
3
Sostituisce la Direttiva sulla protezione dei dati 95/46/CE, introdotta nel 1995; lo scopo è
quello di rafforzare i diritti dei cittadini alla protezione dei dati personali, migliorando nel
contempo, le opportunità di business in un mercato digitale sempre più globale.
La Direttiva LEPD, vigente dal 5 maggio, impegna gli Stati membri a recepirne le sue
disposizioni entro 2 anni, nel preciso intento di unificare le norme sulla cooperazione
transfrontaliera delle forze di polizia e in materia di giustizia (abroga la decisione quadro
2008/977/GAI del Consiglio), al fine di una più efficace lotta alla criminalità e al terrorismo.
Il pacchetto approvato ha una sua genesi complessa, si tratta di un processo laborioso
che ha visto impegnate la Commissione Europea, il Parlamento ed il Consiglio che con
diversi lavori hanno proposto proprie versioni rispetto a quello poi adottato nella forma
attuale.
Una prima bozza risalente al 25 gennaio 2012 era stata proposta dalla Commissione
Europea poi adottata in versione rivista, dal Parlamento Europeo il successivo 12 marzo
2014; il Consiglio infine ne approvava una prima stesura il 15 giugno 2015 concordando
con le altre istituzioni comunitarie un “testo di compromesso” presentato il 15 dicembre di
quello stesso anno.
Numerose sono le questioni affrontate quali: i diritti dei soggetti interessati, gli obblighi dei
titolari del trattamento dati, l’attività di controllo e risarcimento, il trasferimento dei dati a
Paesi terzi.
I diritti dei soggetti interessati rappresentano sicuramente un aspetto di primaria
importanza nell’ambito della tematica affrontata; si tratta di diritti che, sostanzialmente,
conferiscono ai singoli di disporre di un maggiore controllo sui propri dati personali, tali
diritti possono quindi essere fatti valere attraverso:
 la necessità del chiaro consenso dell'interessato al trattamento dei dati personali;
 un accesso facilitato dell'interessato ai propri dati personali;
 il diritto alla rettifica, alla cancellazione e "all'oblio" degli stessi;
 il diritto di obiezione, anche riguardo all'uso dei dati personali a fini di "profilazione"
 il diritto di portabilità dei dati da un prestatore di servizi ad un altro.
Per quanto riguarda gli obblighi, il regolamento specifica gli obblighi generali dei titolari del
trattamento dei dati personali e di coloro che li trattano per loro conto, tra questi figura
l’obbligo di attuare misure di sicurezza adeguate in funzione del rischio associato alle
operazioni effettuate (approccio basato sul rischio); i titolari del trattamento sono inoltre
tenuti, in taluni casi, a comunicare le violazioni di dati personali.
Tra i passaggi più evidenti, il potere di comminare sanzioni fino al 4% del loro fatturato
globale; potrebbe essere questo un elemento di forte impatto per le aziende che, stante la
“minaccia” di sanzioni così pesanti, saranno costrette a rivedere totalmente il loro
approccio al trattamento dei dati (si pensi solo all’effetto che tale cambiamento di rotta può
comportare in aziende che a fonte di controlli improvvisi, debbano dimostrare di aver
recepito le indicazioni fornendo prova dei sistemi adottati e della conformità del loro
operato.
A tal fine tutte le autorità pubbliche e le imprese che svolgono operazioni di trattamento dei
dati devono nominare un responsabile della protezione dei dati (DPO).
Il regolamento, istituisce meccanismi per garantire la coerenza nell'applicazione della
normativa sulla protezione dei dati in tutta l'UE.
Questo passaggio merita un approfondimento dal momento che, al verificarsi di casi in cui
sono coinvolte diverse autorità di controllo nazionali, si procederà con l’adozione di una
decisione di controllo unica: in base a questo principio, ad esempio, una società con
controllate in diversi Stati membri dovrà interagire solo con l'autorità preposta alla
protezione dei dati nello Stato membro in cui ha la sede principale.
Prevista anche la creazione di un Consiglio Europeo per la Protezione dei Dati (EDPB)
con il compito di dirimere le controversie sorte tra le autorità di regolamentazione,
l'istituzione di un comitato europeo per la protezione dei dati (comprendente i
rappresentanti di tutte le 28 autorità di controllo indipendenti).
È riconosciuto il diritto degli interessati di proporre reclamo all’autorità di controllo, nonché
il diritto a un ricorso giurisdizionale, il diritto al risarcimento, ad ottenere il riesame delle
decisioni adottate dalle rispettive autorità preposte alla protezione dei dati (che potrà
essere esercitato da parte di un giudice nazionale a prescindere dallo Stato membro in cui
il responsabile del trattamento dei dati è stabilito).
Regolamentato anche il trasferimento di dati personali verso paesi terzi e organizzazioni
internazionali; al riguardo, la responsabilità di valutare il livello di protezione offerto da un
territorio o da un settore di trattamento in un paese terzo è demandata alla Commissione
senza il cui vaglio il trasferimento non può avvenire (salvo casi particolari o se in presenza
di adeguate garanzie costituite da clausole di protezione dei dati, norme d’impresa
vincolanti, clausole contrattuali specifiche).
Molte sono le domande che, inevitabilmente, emergono e a cui è prematuro pretendere di
dare risposta.
Il Diritto all’oblio esteso a tutti gli aspetti della “vita on line” potrebbe comportare numerose
richieste per la cancellazione di profili web, di notizie e di articoli riguardanti la propria
persona; ciò potrebbe determinare una singolare attenzione nell’esaminare le richieste
qualora ci si trovi di fronte a notizie di rilevante interesse pubblico o sociale: l’esigenza
della privacy potrebbe ancora una volta non essere coincidente con il diritto
all’informazione.
Altrettanti quesiti potrebbero essere posti relativamente al diritto di trasferimento dei dati
da un gestore all’altro, certamente un vantaggio per il consumatore che potrebbe così
disporre di scelte economiche più vantaggiose; ma anche una semplice richiesta di
trasferimento di servizio di posta elettronica potrebbe nascondere insidie dal momento che
oltre al flusso di comunicazioni in uscita occorre tenere presente che vi sono flussi di mail
in entrata provenienti da vari gestori detentori, nel frattempo, di una consistente mole di
dati raccolti.
Da non sottovalutare la figura del DPO, il Data Protection Officer (o responsabile della
protezione dei dati) elemento centrale del moderno assetto organizzativo aziendale, fonte
di riflessioni circa l’obbligatorietà del ruolo ed il profilo richiesto (competenze giuridiche,
informatiche, ma anche di analisi dei processi produttivi e di risk management).
Il lavoro fin qui proposto dalle istituzioni comunitarie è strettamente legato alle dalle
pressanti esigenze che i vari paesi hanno evidenziato in questo particolare momento
storico.
Tra queste vi è la necessità di un maggiore coordinamento nell’affrontare le attività di
contrasto ai fenomeni di criminalità organizzata e di terrorismo che hanno portato i paesi
dell’Unione a confrontarsi su varie tematiche quali l’intelligence sharing, la creazione di
una agenzia di sicurezza europea con pieni poteri investigativi specializzata nella lotta al
terrorismo, revisioni di controlli alle frontiere, controlli mirati negli aeroporti.
Tra novembre e dicembre 2015 in accordo con il Consiglio d’Europa è stato rafforzato il
mandato di Europol che prevede la nascita di un Centro Europeo contro il terrorismo
ECTC (European Counter Terrorism Centre)4; grazie anche ad un aumento di budget, il
Centro può dotarsi di ulteriori esperti internazionali con impiego esclusivo nel settore5.
Si tratta di un hub informativo centralizzato che contribuisce allo scambio di informazioni
tra le Forze di Polizia, relativamente alla individuazione dei foreign fighters, al contrasto
delle varie forme di finanziamento del terrorismo, della propaganda terroristica on line e
del traffico internazionale di armi.
E’ stata disposta l’adozione del registro europeo contenente il PNR (Passenger Name
Record)6 un archivio contenente i dati dei passeggeri dei voli internazionali e con esso
tutta una serie di altri dati ad essi ricollegabili (indirizzo, recapiti cellulari ed IP vari,
itinerari, carte di credito usate per l’acquisto, informazioni sui bagagli).
I dati verranno raccolti e classificati ai fini di accertamento, indagini ed esercizio dell’azione
penale per quanto riguarda i reati di terrorismo e di particolare gravità; le compagnie
aeree, saranno obbligate a fornire, alle autorità, i dati di tutti i voli provenienti da Paesi terzi
verso l’UE e viceversa.
Si tratta di una misura prima rifiutata (nel 2013) poiché ritenuta lesiva dei diritti
fondamentali e della norme sulla protezione dei dati, sulla quale è stato trovato un accordo
anche a seguito dei successivi attacchi terroristici in Europa.
Ampliata anche l’efficacia del sistema informativo del casellario giudiziale europeo noto
come ECRIS (European Criminal Record Information System)7, che consente
l'interconnessione telematica dei casellari giudiziali e rende effettivo lo scambio di
informazioni sulle condanne fra gli stati membri, in un formato standard comune a tutti;
attraverso un'unica interrogazione, Il sistema consentirà l'interrogazione telematica del
casellario nazionale di ciascun paese membro, rilevando tutti i precedenti penali gravanti
su un cittadino europeo, qualunque siano le autorità giudiziarie che abbiano emesso i
provvedimenti di condanna nel territorio dell'Unione.
“EU institutions responded swiftly and strongly to the terrorist attacks of last year and moved to augment the
European Union’s capacity to deal with the terrorist threat. As foreseen in the European Agenda on Security put
forward by the European Commission, the establishment of the European Counter Terrorism Centre is a major
strategic opportunity for the EU to make our collective efforts to fight terrorism more effective. I call on EU
Member States to trust and support the European Counter Terrorism Centre to help it succeed in its important
mission,” said Dimitris Avramopoulos, European Commissioner for Migration, Home Affairs and Citizenship.
https://www.europol.europa.eu/content/ectc.
4
5
http://www.europarl.it/it/succede_pe/news_2016/aprile_2016/approv_fondi_comb-terrorismo.html.
6
Acts of terror in Europe have put security issues back at the top of the political agenda. Security specialists
and the member states have called for EU-wide rules on Passenger Name Record (PNR) for years. This measure,
which would require a more systematic collection, use and retention of data on international airline passengers,
was
approved
by
Parliament
on
14
April
2016.
http://www.europarl.europa.eu/news/en/topstories/20150218TST24901/PNR-Passenger-Name-Record
7
ECRIS is a decentralised system: criminal records data is stored solely in national databases and exchanged
electronically
between
the
central
authorities
of
the
Member
States
upon
request.
http://ec.europa.eu/justice/criminal/european-e-justice/ecris/index_en.htm.
A differenza di altri settori, vi è, per le tematiche appena affrontate, una volontà politica di
andare avanti congiuntamente, tuttavia sarebbe auspicabile che ogni proposta, ogni
pacchetto normativo non costituisca un elemento a se stante, slegato da un filo conduttore
comune; è essenziale che tutto risponda ad una strategia a medio e lungo termine che
consenta di portare avanti proposte nuove, forse audaci ma tuttavia inevitabili, che
consentano di guardare in faccia una realtà nuova, mutevole, in cui il cittadino possa
ancora sentirsi tutelato.
AUTORE
Pietro Lucania
Dottore in Scienze Politiche e Scienze Economiche.
Master in psicologia giuridica e criminologia. Aree
di studio: geopolitica; geoeconomia; new
capabilities in warfare; cyberstrategy