scarica l`articolo completo
Transcript
scarica l`articolo completo
Protezione dei dati personali: L’Unione Europea vara il pacchetto “Protection Data” di Pietro Lucania http://www.europarl.it/it/succede_pe/news_2016/february_2016/isole_ue.html Dopo quattro anni di intensi dibattiti spesso contrastanti è stato pubblicato sulla Gazzetta Ufficiale dell'Unione Europea, il Regolamento sulla protezione dei dati “GDPR”, ossia EU General Data Protection Regulation, contenente i testi del Regolamento europeo in materia di protezione dei dati personali1, della Direttiva “LEPD” (Law Enforcement Protection Data) che regola i trattamenti di dati personali nei settori di prevenzione, contrasto e repressione dei crimini2 e della Direttiva sull’uso dei dati del codice di prenotazione PNR3 Il Regolamento reca la data del 27 aprile 2016, pubblicato nella Gazzetta ufficiale dell'Unione Europea il 4 maggio 2016, è entrato in vigore il ventesimo giorno successivo alla pubblicazione (quindi il 24 maggio 2016) e si applicherà a decorrere dal 25 maggio 2018. 1 Regolamento (UE) 2016/679 del Parlamento europeo e del Consiglio, del 27 aprile 2016, relativo alla protezione delle persone fisiche con riguardo al trattamento dei dati personali, nonché alla libera circolazione di tali dati e che abroga la direttiva 95/46/CE (regolamento generale sulla protezione dei dati) 2 Direttiva (UE) 2016/680 del Parlamento europeo e del Consiglio, del 27 aprile 2016, relativa alla protezione delle persone fisiche con riguardo al trattamento dei dati personali da parte delle autorità competenti a fini di prevenzione, indagine, accertamento e perseguimento di reati o esecuzione di sanzioni penali, nonché alla libera circolazione di tali dati e che abroga la decisione quadro 2008/977/GAI del Consiglio Direttiva (UE) 2016/681 del Parlamento Europeo e del Consiglio del 27 aprile 2016 sull’uso dei dati del codice di prenotazione (PNR) ai fini di prevenzione, accertamento, indagine ed azione penale nei confronti dei reati di terrorismo e dei reati gravi. 3 Sostituisce la Direttiva sulla protezione dei dati 95/46/CE, introdotta nel 1995; lo scopo è quello di rafforzare i diritti dei cittadini alla protezione dei dati personali, migliorando nel contempo, le opportunità di business in un mercato digitale sempre più globale. La Direttiva LEPD, vigente dal 5 maggio, impegna gli Stati membri a recepirne le sue disposizioni entro 2 anni, nel preciso intento di unificare le norme sulla cooperazione transfrontaliera delle forze di polizia e in materia di giustizia (abroga la decisione quadro 2008/977/GAI del Consiglio), al fine di una più efficace lotta alla criminalità e al terrorismo. Il pacchetto approvato ha una sua genesi complessa, si tratta di un processo laborioso che ha visto impegnate la Commissione Europea, il Parlamento ed il Consiglio che con diversi lavori hanno proposto proprie versioni rispetto a quello poi adottato nella forma attuale. Una prima bozza risalente al 25 gennaio 2012 era stata proposta dalla Commissione Europea poi adottata in versione rivista, dal Parlamento Europeo il successivo 12 marzo 2014; il Consiglio infine ne approvava una prima stesura il 15 giugno 2015 concordando con le altre istituzioni comunitarie un “testo di compromesso” presentato il 15 dicembre di quello stesso anno. Numerose sono le questioni affrontate quali: i diritti dei soggetti interessati, gli obblighi dei titolari del trattamento dati, l’attività di controllo e risarcimento, il trasferimento dei dati a Paesi terzi. I diritti dei soggetti interessati rappresentano sicuramente un aspetto di primaria importanza nell’ambito della tematica affrontata; si tratta di diritti che, sostanzialmente, conferiscono ai singoli di disporre di un maggiore controllo sui propri dati personali, tali diritti possono quindi essere fatti valere attraverso: la necessità del chiaro consenso dell'interessato al trattamento dei dati personali; un accesso facilitato dell'interessato ai propri dati personali; il diritto alla rettifica, alla cancellazione e "all'oblio" degli stessi; il diritto di obiezione, anche riguardo all'uso dei dati personali a fini di "profilazione" il diritto di portabilità dei dati da un prestatore di servizi ad un altro. Per quanto riguarda gli obblighi, il regolamento specifica gli obblighi generali dei titolari del trattamento dei dati personali e di coloro che li trattano per loro conto, tra questi figura l’obbligo di attuare misure di sicurezza adeguate in funzione del rischio associato alle operazioni effettuate (approccio basato sul rischio); i titolari del trattamento sono inoltre tenuti, in taluni casi, a comunicare le violazioni di dati personali. Tra i passaggi più evidenti, il potere di comminare sanzioni fino al 4% del loro fatturato globale; potrebbe essere questo un elemento di forte impatto per le aziende che, stante la “minaccia” di sanzioni così pesanti, saranno costrette a rivedere totalmente il loro approccio al trattamento dei dati (si pensi solo all’effetto che tale cambiamento di rotta può comportare in aziende che a fonte di controlli improvvisi, debbano dimostrare di aver recepito le indicazioni fornendo prova dei sistemi adottati e della conformità del loro operato. A tal fine tutte le autorità pubbliche e le imprese che svolgono operazioni di trattamento dei dati devono nominare un responsabile della protezione dei dati (DPO). Il regolamento, istituisce meccanismi per garantire la coerenza nell'applicazione della normativa sulla protezione dei dati in tutta l'UE. Questo passaggio merita un approfondimento dal momento che, al verificarsi di casi in cui sono coinvolte diverse autorità di controllo nazionali, si procederà con l’adozione di una decisione di controllo unica: in base a questo principio, ad esempio, una società con controllate in diversi Stati membri dovrà interagire solo con l'autorità preposta alla protezione dei dati nello Stato membro in cui ha la sede principale. Prevista anche la creazione di un Consiglio Europeo per la Protezione dei Dati (EDPB) con il compito di dirimere le controversie sorte tra le autorità di regolamentazione, l'istituzione di un comitato europeo per la protezione dei dati (comprendente i rappresentanti di tutte le 28 autorità di controllo indipendenti). È riconosciuto il diritto degli interessati di proporre reclamo all’autorità di controllo, nonché il diritto a un ricorso giurisdizionale, il diritto al risarcimento, ad ottenere il riesame delle decisioni adottate dalle rispettive autorità preposte alla protezione dei dati (che potrà essere esercitato da parte di un giudice nazionale a prescindere dallo Stato membro in cui il responsabile del trattamento dei dati è stabilito). Regolamentato anche il trasferimento di dati personali verso paesi terzi e organizzazioni internazionali; al riguardo, la responsabilità di valutare il livello di protezione offerto da un territorio o da un settore di trattamento in un paese terzo è demandata alla Commissione senza il cui vaglio il trasferimento non può avvenire (salvo casi particolari o se in presenza di adeguate garanzie costituite da clausole di protezione dei dati, norme d’impresa vincolanti, clausole contrattuali specifiche). Molte sono le domande che, inevitabilmente, emergono e a cui è prematuro pretendere di dare risposta. Il Diritto all’oblio esteso a tutti gli aspetti della “vita on line” potrebbe comportare numerose richieste per la cancellazione di profili web, di notizie e di articoli riguardanti la propria persona; ciò potrebbe determinare una singolare attenzione nell’esaminare le richieste qualora ci si trovi di fronte a notizie di rilevante interesse pubblico o sociale: l’esigenza della privacy potrebbe ancora una volta non essere coincidente con il diritto all’informazione. Altrettanti quesiti potrebbero essere posti relativamente al diritto di trasferimento dei dati da un gestore all’altro, certamente un vantaggio per il consumatore che potrebbe così disporre di scelte economiche più vantaggiose; ma anche una semplice richiesta di trasferimento di servizio di posta elettronica potrebbe nascondere insidie dal momento che oltre al flusso di comunicazioni in uscita occorre tenere presente che vi sono flussi di mail in entrata provenienti da vari gestori detentori, nel frattempo, di una consistente mole di dati raccolti. Da non sottovalutare la figura del DPO, il Data Protection Officer (o responsabile della protezione dei dati) elemento centrale del moderno assetto organizzativo aziendale, fonte di riflessioni circa l’obbligatorietà del ruolo ed il profilo richiesto (competenze giuridiche, informatiche, ma anche di analisi dei processi produttivi e di risk management). Il lavoro fin qui proposto dalle istituzioni comunitarie è strettamente legato alle dalle pressanti esigenze che i vari paesi hanno evidenziato in questo particolare momento storico. Tra queste vi è la necessità di un maggiore coordinamento nell’affrontare le attività di contrasto ai fenomeni di criminalità organizzata e di terrorismo che hanno portato i paesi dell’Unione a confrontarsi su varie tematiche quali l’intelligence sharing, la creazione di una agenzia di sicurezza europea con pieni poteri investigativi specializzata nella lotta al terrorismo, revisioni di controlli alle frontiere, controlli mirati negli aeroporti. Tra novembre e dicembre 2015 in accordo con il Consiglio d’Europa è stato rafforzato il mandato di Europol che prevede la nascita di un Centro Europeo contro il terrorismo ECTC (European Counter Terrorism Centre)4; grazie anche ad un aumento di budget, il Centro può dotarsi di ulteriori esperti internazionali con impiego esclusivo nel settore5. Si tratta di un hub informativo centralizzato che contribuisce allo scambio di informazioni tra le Forze di Polizia, relativamente alla individuazione dei foreign fighters, al contrasto delle varie forme di finanziamento del terrorismo, della propaganda terroristica on line e del traffico internazionale di armi. E’ stata disposta l’adozione del registro europeo contenente il PNR (Passenger Name Record)6 un archivio contenente i dati dei passeggeri dei voli internazionali e con esso tutta una serie di altri dati ad essi ricollegabili (indirizzo, recapiti cellulari ed IP vari, itinerari, carte di credito usate per l’acquisto, informazioni sui bagagli). I dati verranno raccolti e classificati ai fini di accertamento, indagini ed esercizio dell’azione penale per quanto riguarda i reati di terrorismo e di particolare gravità; le compagnie aeree, saranno obbligate a fornire, alle autorità, i dati di tutti i voli provenienti da Paesi terzi verso l’UE e viceversa. Si tratta di una misura prima rifiutata (nel 2013) poiché ritenuta lesiva dei diritti fondamentali e della norme sulla protezione dei dati, sulla quale è stato trovato un accordo anche a seguito dei successivi attacchi terroristici in Europa. Ampliata anche l’efficacia del sistema informativo del casellario giudiziale europeo noto come ECRIS (European Criminal Record Information System)7, che consente l'interconnessione telematica dei casellari giudiziali e rende effettivo lo scambio di informazioni sulle condanne fra gli stati membri, in un formato standard comune a tutti; attraverso un'unica interrogazione, Il sistema consentirà l'interrogazione telematica del casellario nazionale di ciascun paese membro, rilevando tutti i precedenti penali gravanti su un cittadino europeo, qualunque siano le autorità giudiziarie che abbiano emesso i provvedimenti di condanna nel territorio dell'Unione. “EU institutions responded swiftly and strongly to the terrorist attacks of last year and moved to augment the European Union’s capacity to deal with the terrorist threat. As foreseen in the European Agenda on Security put forward by the European Commission, the establishment of the European Counter Terrorism Centre is a major strategic opportunity for the EU to make our collective efforts to fight terrorism more effective. I call on EU Member States to trust and support the European Counter Terrorism Centre to help it succeed in its important mission,” said Dimitris Avramopoulos, European Commissioner for Migration, Home Affairs and Citizenship. https://www.europol.europa.eu/content/ectc. 4 5 http://www.europarl.it/it/succede_pe/news_2016/aprile_2016/approv_fondi_comb-terrorismo.html. 6 Acts of terror in Europe have put security issues back at the top of the political agenda. Security specialists and the member states have called for EU-wide rules on Passenger Name Record (PNR) for years. This measure, which would require a more systematic collection, use and retention of data on international airline passengers, was approved by Parliament on 14 April 2016. http://www.europarl.europa.eu/news/en/topstories/20150218TST24901/PNR-Passenger-Name-Record 7 ECRIS is a decentralised system: criminal records data is stored solely in national databases and exchanged electronically between the central authorities of the Member States upon request. http://ec.europa.eu/justice/criminal/european-e-justice/ecris/index_en.htm. A differenza di altri settori, vi è, per le tematiche appena affrontate, una volontà politica di andare avanti congiuntamente, tuttavia sarebbe auspicabile che ogni proposta, ogni pacchetto normativo non costituisca un elemento a se stante, slegato da un filo conduttore comune; è essenziale che tutto risponda ad una strategia a medio e lungo termine che consenta di portare avanti proposte nuove, forse audaci ma tuttavia inevitabili, che consentano di guardare in faccia una realtà nuova, mutevole, in cui il cittadino possa ancora sentirsi tutelato. AUTORE Pietro Lucania Dottore in Scienze Politiche e Scienze Economiche. Master in psicologia giuridica e criminologia. Aree di studio: geopolitica; geoeconomia; new capabilities in warfare; cyberstrategy