L’Unione Europea intende dotarsi di una normativa unica e forte per garantire la piena tutela della privacy sul vecchio continente. Le anticipazioni dei giorni scorsi hanno preparato la strada all’annuncio odierno di Viviane Reding, Vicepresidente e Commissaria UE per la Giustizia, la quale ha reso noti quali siano i paradigmi su cui la normativa verrà edificata.
L’obiettivo è anzitutto quello di omologare le normative che i singoli stati membri hanno adottato negli anni: la situazione è tutto fuorché omogenea, il che impone un ripensamento delle basi ed un rilancio dell’approccio dell’Unione al problema. Ma nei progetti dell’UE c’è anche qualcosa di ulteriore. L’idea è infatti quella di compiere un passo avanti importante, così da contemplare le nuove tecnologie per rileggere la privacy alla luce di quella che è stata l’innovazione dei mezzi di comunicazione. Le vecchie normative ispirate alle direttive degli anni ’90 andranno in soffitta, sostituite da provvedimenti di più recente concepimento e di più ampia affidabilità.
«Solo 17 anni fa nemmeno l’1% degli europei sapeva usare Internet», spiega Viviane Reding: «Oggi non si contano i dati personali trasferiti e scambiati attraverso i continenti e per l’intero globo in qualche frazione di secondo». E continua: «La protezione dei dati personali è un diritto fondamentale di tutti gli europei, eppure non sempre i cittadini sentono di avere il pieno controllo dei propri dati. Le nostre proposte creeranno fiducia nei servizi on line visto che saremo tutti più informati sui nostri diritti e avremo un maggiore controllo di tali informazioni. Nel far ciò la riforma provvederà anche a semplificare la vita e a ridurre gli oneri delle imprese. Con un quadro giuridico saldo, chiaro e uniforme a livello dell’Unione si potrà sprigionare tutto il potenziale del mercato unico digitale e saranno stimolate la crescita economica, l’innovazione e la creazione di posti di lavoro». Focalizzare il problema è il primo passo verso la sua risoluzione, ed è questo che la Reding intende anzitutto fare: ricordare a tutti quanto il contesto sia cambiato e quanto sia pertanto urgente rispondere a questi cambiamenti anche dal punto di vista normativo.
Due le proposte legislative avanzate dalla Commissione: un regolamento, anzitutto, che istituisce il quadro generale dell’UE per la protezione dei dati personali; una direttiva, inoltre, «sulla protezione delle persone fisiche con riguardo al trattamento dei dati a fini di prevenzione, indagine, accertamento o perseguimento dei reati e nell’ambito delle connesse attività giudiziarie».
Le proposte formulate dalla Commissione Europea non saranno adottate (e quindi non saranno applicabili) prima di due anni almeno. La bozza viene infatti trasmessa ora al Parlamento Europeo ed ai singoli stati membri dell’Unione, dopodiché ne verranno discusse le singole indicazioni prima di arrivare ad una approvazione definitiva. Questi i punti salienti della riforma, così come enunciati dalla Reding nel suo intervento:
- Un corpus unico di norme di protezione dei dati valido per tutta l’Unione. Saranno aboliti gli oneri amministrativi inutili, come le prescrizioni in materia di comunicazione a carico delle imprese, che risparmieranno così circa 2,3 miliardi di euro l’anno.
- Invece dell’attuale obbligo di notificare tutti i trattamenti alle autorità di protezione dei dati (inutilmente burocratico e che costa alle imprese 130 milioni di euro l’anno), il regolamento prevede maggiore responsabilità e un obbligo di rendicontazione per chi tratta i dati.
- Ad esempio, imprese e organizzazioni dovranno comunicare quanto prima (possibilmente entro 24 ore) alle autorità nazionali di controllo i casi di grave violazione dei dati.
- Le organizzazioni avranno a che fare con un’unica autorità nazionale di protezione dei dati nel paese dell’Unione in cui hanno il proprio stabilimento principale. Analogamente, sarà possibile rivolgersi all’autorità di protezione dei dati del proprio paese, anche se i dati sono trattati da un’impresa con sede fuori dell’Unione.
- Ogniqualvolta sarà necessario il consenso per trattare i dati, occorrerà chiederlo esplicitamente: il consenso non può essere presunto.
- Sarà più facile accedere ai propri dati personali e sarà agevolato anche il trasferimento dei dati da un fornitore di servizi a un altro (diritto alla portabilità dei dati), il che comporterà un miglioramento della concorrenza tra i servizi.
- Il diritto all’oblio permetterà di gestire meglio i rischi connessi alla protezione dei dati on line: chiunque potrà cancellare i propri dati se non sussistono motivi legittimi per mantenerli.
- Le norme UE si applicheranno anche ai dati personali trattati all’estero da imprese che sono attive sul mercato unico e offrono servizi ai cittadini dell’Unione.
- Le autorità nazionali indipendenti di protezione dei dati avranno maggiori poteri in modo da applicare meglio le norme UE nei rispettivi paesi. Potranno ad esempio comminare, alle imprese che violano il diritto dell’Unione, sanzioni pecuniarie; complessivamente si potrebbero raggiungere somme fino a 1 milione di euro o pari persino al 2% del fatturato mondiale annuo.
- La nuova direttiva applicherà i principi generali e le norme di protezione dei dati alla cooperazione di polizia e giudiziaria in materia penale. Le sue disposizioni disciplineranno i trasferimenti di dati sia nazionali che transfrontalieri.
Molti gli elementi meritevoli di approfondimento. Il diritto all’oblìo mette ad esempio maggiori diritti nelle mani degli utenti, mentre importanti sanzioni unitamente a doveri ben identificati rendono la gestione dei dati più strutturata e responsabilizzata. Il consenso al trattamento non può più infatti essere presunto (serve esplicito consenso, sempre e comunque), ma a fronte di regolamenti ed authority meglio organizzati. Particolarmente severe, inoltre, le sanzioni per chi trasgredisce: multe fino al 2% del fatturato annuo significano un pericolo che le grandi corporation non possono ignorare e che suggerirà alle stesse di obbedire anche alla segnalazione di eventuali violazioni entro 24 ore dalle stesse, così da evitare di incorrere nella scure dei regolamenti nel peggiore dei modi.
Sono dati personali tutte le informazioni relative a una persona, alla sua vita privata, professionale o pubblica. Un nome, una foto, l’indirizzo e-mail, gli estremi bancari, i post nei siti di social network, i dati medici, l’indirizzo IP, tutto può essere dato personale. La Carta dei diritti fondamentali dell’Unione europea afferma che “ogni persona ha diritto alla protezione dei dati di carattere personale che la riguardano” in tutti gli ambiti della propria esistenza: a casa, al lavoro, quando fa acquisti oppure segue una cura medica, negli uffici di polizia, su Internet.
Nell’era digitale poter raccogliere e conservare dati personali è fondamentale. Tutte le imprese ne fanno uso: dalle assicurazioni alle banche passando per i siti dei media sociali e i motori di ricerca. In un mondo globalizzato, il trasferimento di dati a paesi terzi è diventato un fattore importante della vita quotidiana. Non esistono frontiere nel web e il cloud computing è per l’appunto la tecnologia che permette di inviare dati da Berlino per trattarli a Boston e conservarli a Bangalore.
La capacità di tutelare la privacy degli utenti sulla Rete è vista come elemento chiave per il successo della Rete stessa: se l’utente non si sente tutelato potrebbe evitare di lasciare i propri dati, potrebbe temere l’e-commerce e potrebbe guardare con sfiducia alle dinamiche dell’innovazione. Difendere la privacy e garantire la correttezza della gestione dei dati personali significa pertanto fare qualcosa di importante anche per l’economia e per la società, rendendo inoltre più moderna la giurisprudenza alla luce di quel che l’innovazione ha dettato negli anni. L’UE ha mosso le sue pedine: il pallino passa ora al Parlamento Europeo.