Il Parlamento europeo ha approvato in via definitiva la nuova legge sulla protezione dei dati personali. Dopo 4 anni di discussione viene messa in soffitta una legge vecchia di vent’anni e il continente entra nel mondo della rete, scegliendo di stare – almeno a parole – dalla parte della protezione e della sicurezza. Gli strumenti sono tantissimi, e tutto dovrà entrare a regime nel 2018. Sicuramente però il lavoro, e anche i possibili problemi, non finiscono qui.
L’intero corpo legislativo col quale l’Europa vuole affrontare e possibilmente risolvere i principali nodi della privacy ai nostri tempi è composto di due parti: il regolamento generale sulla protezione dei dati (GDPR), progettato per dare ai cittadini un migliore controllo dei propri dati personali, e la direttiva sulla protezione dei dati, che copre invece il tema di come vengono utilizzati dalla polizia e l’intelligence. Ridotta all’osso, si può che il regolamento è molto avanzato nei principi e la direttiva è molto fumosa e discutibile nei mezzi. Se infatti il regolamento europeo è il primo al mondo a stabilire la crittografia di default, la privacy by design, la direttiva contiene, ad esempio, le nuove regole sul PNR, il database su tutti i viaggi aerei. Una raccolta massiva che sembra contraddire gli slanci del regolamento.
Historic day with the final adoption of the #EUdataP
in the @Europarl_EN. Great work @JanAlbrecht & @LauristinMarju pic.twitter.com/MBMJvOKvYj— Věra Jourová (@VeraJourova) April 14, 2016
Cosa c’è nel pacchetto di riforme
Il Parlamento ha approvato un pacchetto che rafforza il diritto all’oblio, stabilisce gli obblighi aziendali per il trattamento dati, crea un’unica autorità di vigilanza, armonizza lo scambio di dati tra le forze di polizia. Detta così è difficile non essere d’accordo: in Belgio si sono dimesse parecchie persone a causa della mancanza di coordinamento emersa dalle indagini a seguito degli atti terroristici. Tuttavia molto dipenderà dall’esito del pronunciamento della Corte di Giustizia, il prossimo 30 giugno, quando si dovrà esprimere su alcuni casi che toccano la raccolta massiccia di dati. In quel caso è possibile che l’avvocato generale della Corte possa dare una sentenza che vada a toccare sia il PNR che il chiacchieratissimo Privacy Shield, il nuovo modello proposto dalla Commissione per continuare il trasferimento oltreoceano dei dati dei cittadini europei secondo maggiori garanzie.
Il caso PNR
Si chiama Passenger Name Record, e secondo la direttiva appena votata – passata con 461 voti a favore, 179 contrari e 9 astenuti – le agenzie di sicurezza europei avranno accesso (subito, non fra due anni come il regolamento) a tutte le informazioni su tutti i passeggeri che viaggiano dentro e fuori l’Europa unita, compresi i loro nomi, indirizzi email, gli itinerari, i dati del passaporto, e persino come hanno pagato i biglietti. Si parla di 900 milioni di passeggeri, il 43% dei quali cittadini europei. Questi dati venivano già raccolti dalle compagnie aeree, ma la direttiva obbligherà a condividerli con le agenzie di intelligence, che li conserveranno per per un massimo di cinque anni, e potranno essere condivisi con le forze dell’ordine.
La finalità è evidente: individuare più facilmente percorsi e schemi dei terroristi, cercando anche di prevederne mosse e obiettivi. Il rischio anche: assomiglia alla medesima raccolta massiva di dati nella quale sono cascati anche gli Stati Uniti dopo l’11 settembre, e che hanno parzialmente disconosciuto dopo il datagate. Il dibattito europeo è stato fortemente influenzato dalle preoccupazioni per gli attacchi terroristici dei fanatici di Daesh, ma ora si muoveranno tutte le associazioni che invece sono preoccupate per la privacy.
E' Disponibile La Versione In Italiano Del Nuovo #GDPR! Aspettiamo I Vostri Commenti! https://t.co/TSmlLw0Rvs pic.twitter.com/vCU5LRobgz
— Europrivacy (@europrivacy) April 15, 2016
Se infatti i politici francesi e inglesi, in particolare, sono aperti sostenitori della direttiva, l’agenzia dell’Unione europea per i diritti fondamentali ha chiesto un’analisi statistica per valutare l’efficienza del sistema così ideato, visto che molti esperti giudicano un errore preferire tanti dati ai dati giusti. C’è inoltre da considerare che la Corte di giustizia europea ha già annullato una direttiva in passato che permetteva alle telco di conservare i dati del telefono per un massimo di due anni. I cinque anni di conservazione, spostati dopo sei mesi con la pseudoanonimizzazione (ma è un contentino), sembrano davvero eccessivi. Per non parlare del fatto che si insiste a rispondere con strumenti immediati, urgenti, facili, a problemi complessi come la lotta al terrorismo, giustificando il bisogno di informazioni quando invece nel caso belga è stato tutto compiuto da persone già note e schedate.