Europa
A oltre un anno dalla presentazione delle proposte della Commissione europea di un nuovo quadro giuridico europeo in materia di protezione dei dati, la situazione complessiva risulta ancora poco definita. Il “pacchetto”, presentato il 25 gennaio 2012, comprende un Regolamento che andrà a sostituire la direttiva 95/46/CE, e una Direttiva che dovrà disciplinare i trattamenti per finalità di giustizia e di polizia (attualmente esclusi dal campo di applicazione della direttiva 95/46/CE). Il “pacchetto protezione dati” dovrà essere adottato attraverso la procedura di co-legislazione, che vede il contributo paritario del Parlamento europeo e del Consiglio dell’Unione europea. Entrambe le istituzioni stanno per terminare quella che viene definita “prima lettura” dei due testi e sono sul punto di presentare le rispettive proposte emendative.
I due relatori per il Parlamento europeo (Jan Philipp Albrecht per la proposta di Regolamento, Dimitrios Droutsas per la proposta di Direttiva) hanno segnalato la necessità di introdurre numerosi aggiustamenti. Per quanto riguarda il Regolamento, si riaffermano le direttrici fondamentali, a partire dal principio dell’applicazione del diritto Ue anche alle imprese che operano fuori dell’Unione Europea se i trattamenti di dati personali riguardano i cittadini europei. Ma si rilevano anche carenze e si avanzano ipotesi di modifica. Albrecht propone, ad esempio, di limitare il potere che la Commissione si è riservato di adottare atti delegati o di esecuzione per precisare alcune disposizioni della proposta, e di rafforzare invece alcuni principi innovativi, quali il diritto alla portabilità dei dati (indispensabile per mantenere il controllo delle proprie informazioni nel cloud, ad esempio) o il diritto all’oblio (inteso in particolare come diritto alla cancellazione, fatta salva la libertà di espressione anche su Internet).Viene inoltre richiesto di non intaccare l’indipendenza delle Autorità di protezione dati pur salvaguardando il principio dello “sportello unico” (one-stop-shop), cioè la possibilità per i cittadini europei di rivolgersi ad una sola di esse in caso di violazioni da parte di imprese multinazionali.
Più marcate le critiche mosse al progetto di Direttiva: il relatore Droutsas ritiene, in particolare, che la proposta di direttiva non soddisfi, sotto molti punti di vista, i requisiti di un livello elevato di protezione dei dati, descritto dalla Commissione come “essenziale”, e che non sia giuridicamente in linea con le disposizioni della proposta di Regolamento.
Il Consiglio Ue, da parte sua, ha affidato ad un Comitato denominato Dapix (Protezione dati e scambio di informazioni) il compito di condurre la prima lettura del documento. L’esame da parte del Comitato ha avuto inizio durante la presidenza danese, nel primo semestre 2012, è proseguito sotto la presidenza cipriota e continua durante l’attuale presidenza irlandese dell’Ue. Un primo bilancio tracciato dalla presidenza cipriota a fine 2012 ha individuato una serie di questioni: la necessità di individuare disposizioni che tengano maggiormente conto delle specificità dei soggetti pubblici; la valutazione più attenta degli oneri amministrativi derivanti dalle proposte; l’introduzione di un approccio basato sul rischio del trattamento quale criterio generale per modulare gli obblighi di titolari e responsabili. Queste ed altre problematiche dovranno essere affrontate e risolte nei prossimi mesi.
Oltre al lavoro che sta svolgendo il Parlamento europeo e il Consiglio Ue, nel dibattito non manca naturalmente il contributo delle Autorità di protezione dati, che sono fra i principali interlocutori in questa vicenda. Il Gruppo dei Garanti europei (Wp art. 29) ha pubblicato ben tre documenti contenenti input e suggerimenti per la Commissione europea e per tutti gli altri attori istituzionali, nonché numerose critiche ai due testi nel pacchetto, e lo stesso ha fatto il Garante europeo della protezione dati che ha pubblicato un ponderoso parere sul pacchetto di riforma. Le Autorità garanti sono particolarmente preoccupate da una serie di aspetti: in particolare, oltre ai poteri eccessivi della Commissione europea, dalla scarsa chiarezza di alcune disposizioni contenute nelle due proposte, che non fissano principi univoci e talora rischiano di introdurre garanzie meno forti di quelle oggi in vigore, e dalla rigidità del sistema sanzionatorio previsto nella proposta di Regolamento, che obbliga all’imposizione di sanzioni pecuniarie, lasciando pochi margini di flessibilità per sanzioni egualmente dissuasive ed efficaci ma non di natura pecuniaria ( ad esempio, misure interdittive o di blocco del trattamento). I prossimi mesi saranno decisivi per capire se l’ambizioso progetto della Commissione europea vedrà la luce sostanzialmente immutato nelle linee generali e, soprattutto, se sarà raccolta la sfida di una protezione dati che sia all’altezza degli sviluppi tecnologici e del nuovo quadro di diritti fondamentali introdotto nell’Ue con il Trattato di Lisbona.