Il 2020 ha portato con sé, ovunque nel mondo, diversi interventi normativi ai fini della protezione dei dati personali: nel mese di gennaio, è entrato in vigore negli Stati Uniti il California Consumer Privacy Act e, ancora più significativo, nel caso Schrems II, la Corte di Giustizia dell’Unione Europea ha dichiarato invalida la decisione 2016/1250 della Commissione europea sull’adeguatezza della protezione offerta dal regime dello scudo UE – USA per la privacy, ponendo così fine ai liberi flussi di dati tra Stati Uniti e Unione Europea. Anche il 2021 appare però segnato da altrettanti importanti iniziative. Nel mese di aprile, la Cina ha pubblicato la seconda bozza del Personal Information Protection Law (PIPL), ossia la prima legislazione nazionale completa in materia di protezione dei dati personali. Seguirà un altro giro di consultazioni, al termine del quale i legislatori renderanno pubblica la terza e ultima bozza della legge, che ci si attende sarà adottata entro la fine dell’anno. Tuttavia, ciò che qui è bene rilevare è che il PIPL, che regolerà le modalità secondo le quali le informazioni personali verranno raccolte, archiviate, utilizzate e condivise in Cina, trae forte ispirazione dal General Data Protection Regulation (GDPR) dell’UE, legge europea sulla governance dei dati che risulta essere tra le più complete e avanzate al mondo. [1]
Ora, il Regolamento 2016/679 del Parlamento europeo e del Consiglio, denominato brevemente GDPR e applicabile dal 25 maggio 2018, è intervenuto in un settore rispetto al quale l’UE si era già dotata di uno strumento normativo. Difatti, è a partire dal 1995 che l’UE ha posto in essere una normativa finalizzata alla protezione dei dati personali per tramite della direttiva 95/46 dell’allora Comunità europea, ora abrogata dal GDPR. Tale direttiva non aveva infatti impedito la frammentazione dell’applicazione delle norme poste a protezione dei dati personali all’interno dell’Unione, né aveva eliminato l’incertezza giuridica e la percezione che le operazioni online comportassero seri rischi per la protezione delle persone fisiche. È evidente che la compresenza di diversi livelli di protezione dei diritti e delle libertà delle persone fisiche, con particolare riferimento alla protezione dei dati personali, costituisse un ostacolo alla libera circolazione di tali dati all’interno dell’Unione, frenando peraltro il libero esercizio delle attività economiche e falsando la concorrenza. Inevitabilmente, un simile scenario ha poi avuto delle ripercussioni negative in termini di fiducia da parte degli individui, danneggiando altresì la competitività della stessa economia europea. [2] Alla luce di ciò, si è dunque reso necessario procedere verso una riforma della normativa, tale da colmare le lacune della direttiva 95/46/CE, pur riconfermando i principi guida alla base della stessa, e predisporre un livello di protezione dei dati all’altezza delle nuove sfide poste dalla rivoluzione digitale. Pertanto, il GDPR aggiorna e modernizza i principi contenuti nella direttiva del 1995, focalizzandosi poi su una serie di questioni con lo scopo ultimo di rafforzare le regole poste a tutela del diritto alla privacy degli individui.
Il regolamento 2016/679 è dunque relativo alla protezione delle persone fisiche con riguardo al trattamento dei dati personali, nonché alla libera circolazione di tali dati, e si fonda sul principio secondo cui la protezione che esso intende assicurare costituisca un diritto fondamentale dell’individuo. In particolare, è la stessa Carta dei diritti fondamentali dell’Unione europea che all’articolo 8 stabilisce che ogni persona ha diritto alla protezione dei dati di carattere personale che la riguardano, trovando poi ulteriore conferma nell’articolo 16 del trattato sul funzionamento dell’Unione europea. Il regolamento è inteso a contribuire alla realizzazione di uno spazio di libertà, sicurezza e giustizia e di un’unione economica, al progresso economico e sociale, al rafforzamento e alla convergenza delle economie nel mercato interno e al benessere delle persone fisiche. Il trattamento dei dati personali, si afferma, dovrebbe essere al servizio dell’uomo e il diritto alla protezione di tali dati va considerato alla luce della sua funzione sociale, contemperandolo altresì con altri diritti fondamentali. L’integrazione economica e sociale ha condotto inevitabilmente a un significativo aumento dei flussi transfrontalieri di dati personali e, conseguentemente, anche dei dati personali scambiati, all’interno dell’UE, tra attori pubblici e privati. A ciò si sono poi aggiunti gli effetti derivanti dalla globalizzazione e dalla rivoluzione digitale, determinando un aumento esponenziale della condivisione e della raccolta di dati. Tuttavia, affinché sia assicurato un livello elevato di protezione delle persone fisiche, è necessario che esso sia equivalente in tutti gli Stati membri dell’UE, il che si traduce inevitabilmente in un’applicazione coerente e omogenea delle norme poste a protezione dei diritti e delle libertà fondamentali con riguardo al trattamento dei dati personali in tutta l’Unione. Inoltre, il regolamento prevede un margine di manovra degli Stati membri per precisarne le norme, anche con riguardo al trattamento di particolari categorie di dati personali quali i cosiddetti “dati sensibili”, non escludendo pertanto che il diritto degli Stati membri stabilisca le condizioni per specifiche situazioni di trattamento, anche determinando con maggiore precisione le condizioni alle quali il trattamento dei dati personali è da considerarsi lecito.
Si è detto che il nuovo regolamento muove i propri passi a partire dai principi affermati nella direttiva 95/46/CE, ciò nonostante, esso introduce poi una serie di disposizioni tali da assicurare alle persone un maggiore controllo sui propri dati personali, ai fini di un rafforzamento dei diritti dei cittadini e della costruzione di un nuovo clima di fiducia all’interno dell’Unione. Difatti, nove europei su dieci hanno espresso preoccupazione circa il rischio di raccolta dei dati personali tramite app seppur in assenza di consenso e, ancora, sette europei su dieci sono preoccupati dal potenziale utilizzo delle loro informazioni da parte di compagnie e aziende. [3] Pertanto, alla luce del non trascurabile impegno europeo volto alla costruzione di un quadro più solido e coerente in materia di privacy, è bene segnalare alcune delle principali novità introdotte dal regolamento 2016/679, il quale è stato accolto dagli operatori del settore come una “piccola rivoluzione” nel mondo della privacy. Anzitutto, vi è la previsione di una nuova figura professionale che, non contemplata in precedenza, è denominata Data Protection Officer (DPO), ossia “responsabile della protezione dei dati”. La designazione di quest’ultimo è resa obbligatoria in tutti i casi in cui il trattamento dei dati personali è effettuato da parte di enti pubblici o privati, così come qualora vengano trattati dati di natura delicata o abbiano luogo operazioni di monitoraggio su larga scala e in maniera sistematica su individui. Tra i vari compiti assegnati al DPO vi è quello di informare e fornire consulenza al titolare e/o responsabile del trattamento e ai dipendenti che eseguono il trattamento in merito agli obblighi derivanti dal GDPR, nonché da altre disposizioni dell’Unione o degli Stati membri. A ciò si aggiunge poi la fondamentale attività di sorveglianza circa il rispetto del GDPR, così come delle politiche adottate dal titolare e/o responsabile del trattamento dei dati personali. Risulta pertanto evidente il fine ultimo di procedere verso una progressiva responsabilizzazione di quanti sono destinati al trattamento dei dati, principio più compiutamente espresso dal termine inglese accountability. Un altro elemento di novità è rappresentato dall’ambito di applicazione territoriale, laddove le norme regolamentari si applicano anche al trattamento di dati personali di soggetti stabiliti nell’UE da parte di un soggetto stabilito al di fuori della stessa Unione. La liceità del trattamento è ora ancorata a due requisiti alternativi, quali la necessità del trattamento ovvero il consenso dell’interessato. Vi è poi l’espressa previsione sia del diritto alla portabilità dei dati da un titolare del trattamento ad un altro, sia del diritto all’oblio, ossia alla cancellazione definitiva dei dati trattati e conservati dal titolare del trattamento, su richiesta degli interessati. Per quanto riguarda quest’ultimo diritto, esso non implica che a ciascuna richiesta avanzata da un individuo tutti i suoi dati siano conseguentemente eliminati una volta per tutte. Difatti, qualora la conservazione di tali dati sia necessaria per l’esecuzione di un contratto o per l’adempimento di un obbligo legale, essi possono essere conservati per il tempo necessario a tale scopo. Le disposizioni introdotte sul diritto all’oblio sono molto chiare, laddove infatti viene salvaguardata la libertà di espressione, così come la ricerca storica e scientifica. Ciò è bene sottolinearlo soprattutto alla luce delle numerose preoccupazioni sorte inizialmente in merito alla libertà di stampa. Le nuove norme sulla protezione dei dati tengono infatti conto di tale fondamentale libertà e, pertanto, è assicurato ai giornalisti di continuare a svolgere il proprio lavoro e di proteggere le proprie fonti.
Il regolamento 2016/679 intende dunque passare da una visione proprietaria del dato, in base alla quale esso non può essere trattato senza consenso, ad una visione di controllo del dato, che favorisca la libera circolazione dello stesso rafforzando al contempo i diritti dell’interessato. Quest’ultimo, infatti, deve poter sapere se i suoi dati sono usati e secondo quali modalità essi vengono trattati al fine di tutelare lui e l’intera collettività. Il principio cardine del nuovo regolamento può così essere individuato nel diritto all’autodeterminazione informativa, definito all’articolo 6 della Dichiarazione dei diritti in Internet come il diritto di ogni persona di accedere ai propri dati, quale che sia il soggetto che li detiene e il luogo dove sono conservati, per chiederne l’integrazione, la rettifica o la cancellazione. Ad ogni persona è così riconosciuto il diritto di conoscere le modalità tecniche di trattamento dei dati che la riguardano. In particolare, la raccolta e la conservazione dei dati devono essere limitate al tempo necessario, rispettando in ogni caso i principi di finalità e di proporzionalità, nonché il diritto all’autodeterminazione della persona interessata. Quest’ultimo concetto è di particolare interesse, essendo peraltro ben noto in Germania. Difatti, la Corte costituzionale federale ha dichiarato, già in una sentenza del 1983, che l’autodeterminazione informativa costituisce una condizione necessaria per lo sviluppo della personalità e la tutela della dignità della persona, intesa come singolo così come componente di una società democratica. Questo diritto riguarda quindi, da un lato, la libertà di espressione e, dall’altro, è strettamente riconducibile alla propria privacy. Sotto il primo profilo, il diritto all’autodeterminazione informativa permette al cittadino di costruirsi una propria opinione e, al contempo, di esercitare una sorta di controllo sulle autorità pubbliche. Dal punto di vista del diritto alla privacy e alla riservatezza, invece, si tratta di ottemperare all’obbligo di protezione da ingerenze arbitrarie o illegittime nella sfera privata di ciascuno, un diritto quest’ultimo sancito in diversi strumenti convenzionali, dall’articolo 17 del Patto delle Nazioni Unite sui diritti civili e politici, all’articolo 7 della Carta dei diritti fondamentali dell’UE.
A questo punto, è pertanto evidente che il tema circa la tutela della privacy e la protezione dei dati personali ricopre oggi un’importanza fondamentale e tale centralità non potrà peraltro che rafforzarsi, alla luce dei sempre più sofisticati sistemi di raccolta e condivisione dei dati. Ciò che è bene enfatizzare, ancora una volta, è che quando si tratta di diritto alla protezione dei dati personali ci si riferisce ad un diritto delle persone fisiche che è stato sancito come fondamentale. È quindi lecito, da parte di ciascun individuo, attendersi un sistema normativo solido e coerente tale da assicurare un sufficiente livello di tutela. L’UE ha certamente mostrato una certa sensibilità al tema, come ha dimostrato già ai tempi l’adozione della direttiva 95/46/CE, nonché le pronunce provenienti da singole realtà europee. Il GDPR è intervenuto richiamandosi ai principi già affermati nella precedente direttiva, predisponendo però nuovi strumenti tali da far fronte più compiutamente alle sfide poste dalla rivoluzione digitale e, soprattutto, riconfermando il ruolo centrale dell’individuo. Gli ultimi anni sono stati segnati, ovunque nel mondo, da un certo attivismo legislativo in materia di protezione dei dati personali, indice del fatto che la questione è ormai parte dell’agenda politica di molti Stati. In questo l’Europa si è rivelata lungimirante, ponendosi così a modello anche per le altre realtà estere.
Segui i commenti:
|
