Il nuovo Regolamento Europeo sulla protezione dei dati personali.Uno strumento per uscire dalla crisi
Dott. D. Converso
La rivoluzione copernicana avente ad oggetto la protezione dei dati personali pare aver avuto il suo avvio. In data 25 Gennaio 2012, infatti, la Commissione Europea si è resa artefice di due proposte normative che presumibilmente scompagineranno, in ottica prevalentemente “europeista”, l’impianto giuridico dei 27 stati membri in materia di privacy e data protection.
Si tratta, per intenderci, di un Regolamento, avente portata generale, che andrà a sostituire la ormai obsoleta ed anacronistica direttiva 95/46 CE; nonché di una Direttiva che avrà il compito di disciplinare i trattamenti di dati per finalità di giustizia e di polizia (attualmente esclusi dal relativo campo di applicazione). Vediamone alcuni aspetti.
Le ragioni e gli obiettivi
Principiando dalle ragioni e dalle cause che hanno inspirato simile riordino sistematico della materia, basta citare la data di adozione dell’attuale direttiva europea (24 ottobre 1995, 17 anni or sono) per comprendere facilmente la difficoltà di un tale impianto normativo nel conformarsi agli attuali scenari provenienti dal mondo delle nuove tecnologie. La rete della rete, d’altronde, ha scardinato i principi sottesi all’attuale direttiva 95/46 CE, la quale, mai come ora, si mostra incapace di gestire lo straripante avvento dell’era informazionale e globalizzata. D’altronde non potrebbe essere diversamente in un contesto tecnologico ormai connotato dai caratteri – unici e soli – della delocalizzazione e della virtualizzazione (outsourcing intangibile, social networks e cloud computing sono solo alcuni dei recenti fenomeni di massa a cui si allude).
Inoltre, si consideri che la regolamentazione e la protezione dell’high tech di cui s’è detto e dei sottesi flussi informativi, necessita della compresenza di due elementi fondamentali, tra cui la semplificazione e l’armonizzazione normativa.
La prima, intesa quale riduzione della burocrazia e dei pedanti meccanismi spesso insiti in simili contesti normativi (si pensi, ad esempio, all’abolizione degli obblighi di notifica attualmente gravanti su piccole e medie imprese); la seconda, quale necessaria ed imprescindibile uniformazione delle singole discipline nazionali (meritevole, infatti, appare l’adozione di un “regolamento”, atto giuridico vincolante ed immediatamente applicabile in ciascuno degli stati membri, senza preventivo atto di recepimento o di attuazione).
Ne consegue che l’obiettivo primo cui i riformatori si sono ispirati nella predisposizione delle norme in analisi si identifica nello snellimento delle procedure di trasferimento internazionale di dati e nel controllo attribuito all’utente sulla gestione facilitata delle proprie informazioni.
L’applicabilità interna ed esterna
Per ciò che concerne, invece, l’ambito di operatività della nuova soluzione normativa, si consideri che la stessa gode di un’applicazione interna e di una esterna.
La prima, fondata sulla qualificazione giuridica del regolamento – istituto cardine delle fonti di diritto europeo – comporta l’applicabilità di un corpus unitario di norme ai 27 stati membri dell’unione, senza che si renda necessario un previo percorso normativo di recepimento e di attuazione ad opera del legislatore interno (spesso fonte di frammentazione normativa in ottica sovranazionale).
La seconda, invece, sancita dall’art. 3 comma 2 del neo-regolamento, implica un’estensione extraterritoriale della portata delle norme ivi contenute, le quali, pertanto, saranno efficaci anche al di fuori del territorio dell’unione, allorquando soggetti extracomunitari porranno in essere trattamenti di dati personali volti a controllare i comportamenti o ad offrire beni e/o servizi a cittadini europei.
Inutile evidenziare la portata rivoluzionaria di una simile disposizione, in grado di accrescere sensibilmente la tutela dei dati dei cittadini europei all’interno del difficile spazio digitale – si pensi alle problematiche privacy emergenti dai social network, dall’utilizzo profilante dei tracking cookies, dall’avvento della virtualizzazione delle risorse informatiche e del cloud computing – prescindendo dall’allocazione fisica del Titolare del trattamento.
Una rettifica normativa, dunque, doverosa e imprescindibile nell’attuale contesto storico.
Le novità operative e le regole
Per entrare in medias res e scandagliare dal suo interno il valore sostanziale della riforma in analisi, tuttavia, appare opportuno analizzarne brevemente i principi cardine e le linee direttive principali.
All’art. 5 lett. f) viene sancito il principio dell’accoountability dei titolari del trattamento (poi meglio specificato nell’art. 22) in virtù del quale spetta agli stessi un obbligo generalizzato e preventivo di garantire e dimostrare la propria conformità al Regolamento in relazione ad ogni singolo trattamento operato (si tratta di una sorta di clausola generale volta a responsabilizzare i controller sin dalle fasi embrionali dei processi informativi).
L’art. 6 lett. a), invece, introduce uno degli istituti fondanti la presente disciplina, ovvero il diritto dell’utente di esprimere in maniera preventiva il consenso al trattamento delle proprie informazioni, principio necessario ed inderogabile al fine di limitare e contenere il più possibile fenomeni di massa quali il direct profiling e il tracking cookies (si renderà necessaria, presumibilmente, l’adozione di idonei filtri pop-up volti a saggiare la previa approvazione del soggetto interessato).
Il Titolare, inoltre, sarà gravato dall’onere di fornire la prova del consenso di quello specifico trattamento autorizzato (art. 7, comma 1), il quale tra l’altro potrà sempre essere revocato dal soggetto cui i dati si riferiscono. Si codifica, in tal senso, il principio dell’inversione dell’onere probatorio circa la liceità del trattamento (mutuando l’attuale impostazione derivante dal combinato disposto degli art. 2050 c.c. e 15 D.Lgs. 196/2003).
Alla regola del consenso si affianca, poi, quella sulla trasparenza dell’informazione da fornire all’interessato (art. 11), la quale dovrà contraddistinguersi anche per facilità di consultazione e intellegibilità di forma (l’onere dell’informativa all’interessato, invece, è codificato nell’art. 14, il quale sostanzialmente riproduce il nostro ormai conosciutissimo art. 13 D.Lgs. 196/2003).
Le vere novità, invece, emergono dalle disposizioni che vanno dall’art.16 in poi, le quali si occupano di introdurre caratteri di forte innovazione.
Viene finalmente sancito il cd. “right to be forgotten” (diritto all’oblio), ovvero il potere concesso all’interessato di rimuovere ogni traccia inerente le proprie informazioni personali (specie se diffuse nella rete) allorquando le stesse non sono strettamente necessarie in relazione alle finalità per cui sono state raccolte e qualora non sussistano legittime cause per procrastinarne il trattamento.
Ulteriore menzione, inoltre, merita il diritto alla portabilità dei dati (art. 18) il quale comporta in capo ai service provider l’onere di fornire, su specifica richiesta, la copia dei dati in formato elettronico al soggetto cui gli stessi ineriscono. In capo all’interessato, invece, è previsto il diritto di trasmettere le proprie informazioni da un provider all’altro (trasmissione che dovrà essere evasa, ad opera del provider, utilizzando formati comunemente utilizzati e senza frapporre ostacoli a tale potere dell’interessato).
L’art. 23, poi, introduce i rivoluzionari canoni della privacy by-design e della privacy by default, approcci innovativi e di spiccata prevenzione volti sostanzialmente ad onerare i Titolari dei trattamenti (specie nel mondo della rete) nell’implementazione di misure tecniche che garantiscano, sin dall’evoluzione del prodotto o dell’infrastruttura informatica ed in modo predefinito, un trattamento di dati personali conforme alle disposizioni previste nell’emanando regolamento.
Si menziona infine:
- l’eliminazione dell’obbligo per il Titolare di notificare i propri trattamenti all’ Autorità Garante (sarà sufficiente , infatti, la conservazione della documentazione comprovante le modalità del singolo trattamento);
- l’introduzione dell’innovativa figura del Data Protection Officer – obbligatoria per enti pubblici e imprese con più di 250 dipendenti – da intendersi quale soggetto interno alla struttura aziendale, appositamente incaricato dalla stessa al coordinamento e all’implementazione dell’intera “gestione privacy” (art. 35);
- e non per ultimo, l’obbligo di denuncia all’Autorità dei cd. “data breaches”, ovvero il dovere per i Titolari del trattamento di notificare senza ritardo, e quando possibile entro le 24 ore dall’avvenuta conoscenza, eventuali violazioni di dati sottoposti a trattamento in modo tale da contenerne i danni.
Un tassello importante per uscire dalla crisi
Tralasciando le problematiche propriamente afferenti lo scetticismo degli Stati membri nei confronti dell’assoluto ruolo di predominio riservato alla Commissione, e le pur condivisibili osservazioni del Prof. Pizzetti di parziale disapprovazione nei confronti di un progetto di regolamento poco versatile e poco incline “ad aprirsi a modalità e forme di accordi internazionali”, appare doveroso, ad avviso di chi scrive, salutare con assoluto favore una rivoluzione copernicana di simile portata in materia di data protection comunitaria.
Nonostante le diverse critiche avanzate (alcune delle quali non del tutto infondate), dunque, la proposta in analisi merita assoluta approvazione, in quanto costituisce un netto miglioramento rispetto alle pregresse (attuali) disposizioni ed un drastico cambio di direzione nei confronti di una ormai “ventenne” direttiva europea.
Palese appare, infatti, la volontà (encomiabile) dei redattori di semplificare in ottica unitaria una disciplina di estrema difficoltà qual è quella della tutela della privacy e della protezione delle informazioni.
Conquistare la fiducia degli utenti (consumatori – acquirenti ?!) nei confronti dei mercati digitali appare l’obiettivo primo del legislatore d’oltralpe, conscio della ragguardevole spinta ai mercati che simili iniziative possono apportare. In un momento di crisi economica come quello attuale non pare un’eresia puntare sulla disciplina delle informazioni per favorire sempre più la crescita del web mercato. Porre fine alla frammentazione e alla gravosità derivante da inutili oneri amministrativi legati alla gestione del fardello-privacy e potenziare i diritti degli utenti quali soggetti ormai inscindibili dalla rete delle reti, significa creare una nuova coscienza digitale che favorisca quanto più possibile l’internet economy; con conseguenti e positivi risvolti sul mondo del lavoro e dell’innovazione.
D’altronde proprio l’innovazione è diventata ormai una delle risposte più proficue nel disperato tentativo di allontanare la crisi: non è un caso che l’attenzione dei legislatori si rivolga, sempre più, alla disciplina dei sistemi di governance e di corretta gestione del web, unico strumento in grado di coinvolgere tangibilmente nel processo di ristrutturazione economico-sociale anche quei paesi (specie europei) che sinora sono rimasti ai margini dei processi di sviluppo.
Favorendo, così, attraverso l’ economia digitale, nuovi motori “alternativi” di crescita a sostegno dell’economia reale.
231