Dopo una discussione durata quasi quattro anni, Commissione, Consiglio e Parlamento europeo hanno raggiunto l’accordo sul testo definitivo che manderà in soffitta la precedente direttiva sulla protezione dei dati, risalente al 1995. Il continente si dota di un pacchetto di riforme che coinvolge una quantità esorbitante di ambiti: i big data, i social network, i diritti dei cittadini europei come utenti di Internet e non solo. La vera novità è la cornice in cui questi diritti sono inseriti, che obbliga stavolta le big company americane a rispettarli.
Prima di tutto una precisazione: si tratta di un accordo trasversale, non di una vera approvazione. Quella arriverà soltanto dopo che domani la Commissione Giustizia voterà il testo e poi andrà a Strasburgo al Parlamento Europeo. Se non ci saranno ulteriori cambiamenti, una volta votato in assemblea il testo dovrà essere applicato dai 28 Stati membri a partire dai due anni successivi la pubblicazione in Gazzetta, in pratica nella primavera del 2018. Questo accordo però sembra abbastanza stabile, ed è ovviamente un compromesso tra i molti stakeholder che in questi anni hanno partecipato alla discussione. Anni in cui dal punto di vista della protezione dei dati degli europei è successo di tutto, dal datagate fino alla fine del Safe Harbour. Ecco perché questa riforma non era più rimandabile, e da qui la soddisfazione di Věra Jourová, Commissario per la Giustizia a Bruxelles, che ha sottolineato che la quasi totalità degli europei afferma di volere gli stessi diritti di protezione dei dati in tutta l’unione, indipendentemente da dove i loro dati vengono elaborati.
BREAKING: deal on #EUdataP rules w/ @felix_braz &@JanAlbrecht. Good result for citizens and the #DigitalSingleMarket
— Věra Jourová (@VeraJourova) December 15, 2015
I principi delle nuove norme
Basterebbe scorrere tutta la documentazione allegata di questa riforma per rendersi conto della complessità degli interventi. Si può fare una buona sintesi per grandi temi. Due in particolare interessano tutti coloro che navigano in Rete: i big data e i social network, dove si spinge per la creazione di grandi data center europei.
Big Data. Sui big data il testo europeo costruisce una cornice legale basata su un framework unico che riguadagni fiducia del consumatore e diritti del cittadino. Il modello spingerà per maggiore portabilità dei dati, accesso delle startup e trasparenza.
Social network. Un altro tema delicatissimo, che in Europa è diventato quasi uno scontro ideologico con l’oltreoceano dopo il caso Safe Harbour mosso dalla denuncia di uno studente austriaco. La Commissione europea ritiene che si debba invertire l’onere della prova di trasparenza e che le aziende debbano produrre informative più chiare e rispondere velocemente alle richieste di cancellazione dei dati personali. Tutto deve passare da modalità di accesso più semplici. In questo pacchetto è rientrato anche il discusso emendamento che alza dai 13 ai 16 anni la soglia per l’iscrizione ai social network previo consenso dei genitori, senza obbligo però per gli stati membri di adottarlo.
Privacy by design, oblio e tanto altro
Per ottenere questi obiettivi, la riforma europea riafferma un principio praticamente inventato qui, quello del diritto all’oblio, a cui si aggiunge il diritto alla portabilità dei dati. In Europa, inoltre, dal 2018 i cittadini non saranno più soli, saranno le autorità nazionali a notificare le violazioni e anche agli stessi utenti nei casi più gravi (il cosiddetto data breaches). Secondo questa visione tripartita, i cittadini devono essere facilitati ad accedere ai propri dati, a trasferirli tra diversi prestatori di servizi, e quando non si desidera che i dati vengano elaborati o conservati, devono essere cancellati, sempre a condizione che non vi siano motivi legittimi per il loro mantenimento.
Un’altra novità è la figura del privacy officer, che nelle aziende europee dei prossimi anni – sono esclude le pmi – e in quelle internazionali che vi operano potrebbe risultare importante per suggerire i comportamenti più idonei. Queste norme infatti non sono circoscritte. Tutte le aziende che operano sul suolo europeo ma che hanno sede al di fuori dei confini dovranno applicare le stesse regole.
Guglielmo Troiano: un buon compromesso
L’avvocato Guglielmo Troiano dello studio Array è specializzato sul tema della e-privacy e da anni si occupa di diritti nella Rete e di problemi a livello europeo di copyright, proprietà intellettuale. Sul blog collettivo europrivacy raccoglie da anni il dibattito e la documentazione sull’iter di questo testo che ora sembra vicino all’approvazione. Il suo giudizio è che si tratta di un buon compromesso.
Quando c’è di mezzo l’Europa si finisce sempre per dire che “si poteva fare di più”. Vale anche per il data protection?
Sì, corrisponde al vero. Si poteva fare di più, ma non si poteva più attendere. L’Europa si è basata fino ad oggi su una direttiva del 1995. Inoltre, questo testo arriva sull’onda lunga di quanto esploso con Snowden e la Nsa, e le tensioni tra vecchio e nuovo continente.
Si notano delle influenze della cronaca su questo testo che regolerà la protezione dei dati personali dei cittadini europei?
A mio parere si nota molto in un aspetto: i grandi player hanno sempre detto che loro non sentivano di dover rispettare le norme europee, dicevano che le leggi erano “inapplicabili”. Questo pacchetto di riforme coinvolge direttamente le aziende americane. Non transige.
Si nota in particolare nella esportazione dei dati…
Esatto, qui la riforma è importante, decisiva. L’Europa di fatto sostiene che i dati vanno trattati secondo le norme del territorio in cui sono prodotti.
Questo significa che vedremo i grandi player costruire sempre più data center in Europa?
Sta già accadendo, Microsoft, Amazon, altre società hanno già investito. Potrebbe essere l’eredità più visibile di questa riforma.
GDPR (re)scheduled today on Committee of Permanent Representatives of European Council https://t.co/KNzAvgRXVY @europrivacy #EUdataP
— Guglielmo Troiano (@gutro) December 9, 2015
C’è un altro principio che viene ribadito nel testo? Ad esempio il diritto all’oblio?
Ce ne sono molti. Sul diritto all’oblio c’è un passaggio forse non abbastanza apprezzato: fino ad oggi era per sentenza della Corte, adesso oltre alla natura giuridica c’è una regola politica. Viene specificato meglio anche il tema del titolare del trattamento dati. In Italia noi lo ricordiamo con il caso Vividown, dove il processo si incentrò sul cercare di capire chi effettivamente fosse il titolare del trattamento, l’utente o il fornitore di piattaforma. Adesso viene chiarito che la titolarità del trattamento riguarda tutti i soggetti che trattano i dati, e le piattaforme sono coinvolte. Va evidenziato anche l’ispirazione del diritto all’oblio per un modello più generale in cui le autorità nazionali congiuntamente ai cittadini notificano le possibili violazioni.