Privacy : dalla UE nuova proposta di normativa
di Gabriella Mira Marq*

Il 25 gennaio la Commissione europea ha presentato ufficialmente le proposte relative al nuovo quadro giuridico europeo in materia di protezione dei dati. Si tratta di un Regolamento, che andrà a sostituire la direttiva 95/46/CE, e di una Direttiva che dovrà disciplinare i trattamenti per finalità di giustizia e di polizia (attualmente esclusi dal campo di applicazione della direttiva 95/46/CE). Va ricordato che i regolamenti UE sono immediatamente esecutivi, non necessitando di recepimento da parte degli Stati membri, a differenza delle direttive. Per lo stesso motivo essi possono garantire una maggiore armonizzazione a livello dell'intera UE.

Di seguito le maggiori novità della proposta di Regolamento:

• restano ferme le definizioni fondamentali, ma con alcune significative aggiunte (dato genetico, dato biometrico);

• viene introdotto il principio dell'applicazione del diritto UE anche ai trattamenti di dati personali non svolti nell'UE, se relativi all'offerta di beni o servizi a cittadini UE o tali da consentire il monitoraggio dei comportamenti di cittadini UE;

• si stabilisce il diritto degli interessati alla "portabilità del dato" (ad. es. nel caso in cui si intendesse trasferire i propri dati da un social network ad un altro);

• scompare l'obbligo per i titolari di notificare i trattamenti di dati personali, sostituito da quello di nominare un "data protection officer" (incaricato della protezione dati, secondo la terminologia della direttiva 95/46) per tutti i soggetti pubblici e per quelli privati al di sopra di un certo numero di dipendenti;

• viene introdotto il requisito del "privacy impact assessment" (valutazione dell'impatto-privacy) oltre al principio generale detto "privacy by design" (cioè la previsione di misure a protezione dei dati già al momento della progettazione di un prodotto o di un software);

• si stabilisce l'obbligo per tutti i titolari di notificare all'autorità competente le violazioni dei dati personali ("personal data breaches");

• si fissano più specificamente poteri (anche sanzionatori) e requisiti di indipendenza delle autorità nazionali di controllo, il cui parere sarà indispensabile qualora si intendano adottare strumenti normativi, comprese le leggi, che impattino sulla protezione dei dati personali.

Per quanto riguarda la proposta di Direttiva, essa sostituirà, una volta adottata, la Decisione-Quadro (la 2008/977/GAI) attualmente in vigore che disciplina i trattamenti di dati da parte delle autorità giudiziarie e di polizia. Va sottolineato che le disposizioni della Direttiva si applicheranno, in via generale, a tutti i trattamenti di dati personali svolti in uno Stato Membro per tali finalità "istituzionali", mentre la Decisione-Quadro disciplina esclusivamente lo scambio di dati fra autorità competenti degli Stati Membri ed il trattamento successivo dei dati scambiati in tale contesto.

La Direttiva riprende l'impostazione del Regolamento che richiama in molte delle sue previsioni, a cominciare dalle definizioni di interessato, dato personale, trattamento, titolare del trattamento ecc.. Essa contiene, tuttavia, disposizioni specifiche sulle responsabilità dei titolari e sugli obblighi che ad essi incombono in materia di trasparenza ed accesso, e fissa i criteri di legittimità dei trattamenti in oggetto nonché i meccanismi di mutua cooperazione e i poteri delle autorità nazionali di controllo. Le sue disposizioni dovranno essere recepite attraverso apposite norme nazionali.

L'iter per l'approvazione definitiva dei due strumenti normativi proposti comporterà l'intervento congiunto di Parlamento europeo e Consiglio UE in base alla procedura detta di "codecisione" (ora definita dal Trattato di Lisbona "procedura legislativa").

* si ringrazia Michelangelo Pisano

Dossier Europa