Negli ultimi anni l'Unione europea ha attribuito importanza crescente alle questioni relative al diritto alla protezione dei dati di carattere personale. Da un lato, l'inserimento di questa sfera di tutela nella Carta dei diritti fondamentali dell'UE Carta dei diritti ne ha elevato il rango a diritto primario, in grado di prevalere sulle norme di diritto derivato dell'UE; dall'altro, l'azione dell'UE ha rafforzato gli strumenti volti a dare concretezza a tale diritto, quale componente indispensabile ai fini di un livello elevato di fiducia nella circolazione affidabile, lecita e sicura dei dati personali, ed in definitiva della realizzazione del mercato unico digitale europeo.
L'azione dell'Unione europea per consolidare il diritto alla protezione dei dati si è sviluppata su molteplici piani di intervento: in primo luogo, sul fronte legislativo, con la ridefinizione complessiva delle norme europee in materia; in secondo luogo con l'intervento giurisprudenziale della Corte di giustizia dell'UE, che si è, tra l'altro, tradotto nella rimozione dall'ordinamento europeo di vari strumenti del diritto derivato; infine, sul piano delle relazioni esterne con Stati terzi, con particolare riferimento al trattamento illecito dei dati da parte di soggetti esterni all'UE, considerata la facoltà di ingerenza nella sfera personale che nel mondo informatico è tecnicamente consentita indipendentemente dalla presenza dei soggetti interessati e di quelli che violano le norme di protezione in un medesimo Stato o continente.
L'indirizzo generale dell'UE in tale settore può riassumersi nella difficile ricerca di un punto di mediazione tra le esigenze riconducibili alla sfera intangibile della privacy, all'obiettivo della libera circolazione nell'UE dei dati personali (elemento essenziale del mercato unico digitale), e – su un altro versante – all'interesse pubblico ad un'efficace attività di prevenzione e contrasto del crimine, con particolare riguardo alle attività di stampo terroristico che trovano cittadinanza nella realtà virtuale.
apri tutti i paragrafiIn esito ad un lungo e complesso procedimento legislativo, iniziato nel gennaio 2012, l'Unione europea si è dotata nel maggio 2016 di nuove norme in materia di protezione dei dati personali. In particolare, la revisione del precedente quadro giuridico si è tradotta nell'adozione di un regolamento in materia di protezione dei dati personali (cosiddetto regolamento generale protezione dati personali , che ha sostituito la precedente direttiva del 1995) e di una direttiva volta a disciplinare i trattamenti di dati personali nei settori di prevenzione, contrasto e repressione dei crimini
(che ha abrogato la precedente decisione quadro del 2008). In entrambi i casi si tratta di strumenti giuridici diretti a ridurre il più possibile i margini di discrezionalità degli Stati membri nella legislazione di settore, eliminando (nel caso del regolamento generale protezione dati personali) o riducendo significativamente (con la direttiva sulle attività delle autorità di contrasto) le disarmonie riscontrate negli ordinamenti nazionali, quali fattori di incertezza giuridica e di freno rispetto alla circolazione dei dati.
Il regolamento generale sulla protezione dei dati personali definisce i diritti delle persone fisiche, stabilendo gli obblighi di coloro che trattano i dati o sono responsabili del loro trattamento. Sono altresì definiti i metodi per garantire il rispetto delle norme e la portata delle sanzioni a carico di coloro che le violano.
-
un regime stringente in materia di trattamento automatizzato dei dati personali, introducendo, a tale proposito, il cosiddetto divieto di profiling;
-
il diritto all'oblio, grazie al quale gli interessati possono pretendere la cancellazione dei propri dati personali anche on line da parte del titolare del trattamento qualora ricorrano alcune condizioni previste dal regolamento;
-
il diritto alla portabilità, ovverosia la facoltà degli interessati di trasferire i propri dati personali da un titolare del trattamento ad un altro (ad esempio, la scelta di cambiare provider di posta elettronica senza perdita di dati)
La direttiva si applica sia al trattamento dei dati personali oggetto di scambio tra autorità di contrasto alla criminalità di differenti Stati membri nell'ambito della cooperazione giudiziaria e di polizia, sia a qualsiasi trattamento in sede esclusivamente nazionale da parte delle autorità di law enforcement, con riferimento alle attività di prevenzione, indagine, individuazione e sanzione dei reati, e salvaguardia e prevenzione delle minacce alla sicurezza pubblica.
Nel gennaio 2017 la Commissione europea ha inteso integrare l'azione riformatrice svolta con il pacchetto protezione dati personali avviando la revisione della disciplina in materia di tutela della riservatezza delle comunicazioni elettroniche, sia per allinearla agli standard di protezione stabiliti nel pacchetto, sia per aggiornarla e renderla tecnologicamente neutra rispetto all'incessante evoluzione degli strumenti di comunicazione e di informazione.

- l'estensione della tutela della privacy con riferimento ai più recenti servizi di comunicazione elettronica (ad esempio il Voip e i servizi over the top come Whatsup e Facebook Messenger) che finora non erano contemplati dalla direttiva;
- la riforma del regime in materia di riservatezza dei dati conservati nei dispositivi finali (con particolare riferimento alle tecniche di tracciatura quali i cookie);
- la revisione della disciplina in materia di comunicazioni elettroniche indesiderate (spamming);
- la previsione di un nuovo apparato sanzionatorio per le infrazioni al regolamento allineato a quanto previsto dal regolamento generale in materia di protezione dei dati personali.
Nel corso del 2013, la divulgazione presso l'opinione pubblica dell'attuazione di programmi di sorveglianza di massa da parte alcuni organismi di intelligence USA, a seguito del cosiddetto scandalo Datagate, ha indotto l'Unione europea a rafforzare la propria azione a tutela dei dati personali dei cittadini europei anche sul versante delle relazioni esterne.
In particolare, l'ingerenza nella sfera privata tramite l'accesso indiscriminato a flussi macroscopici di dati personali di cittadini UE illecitamente trasmessi da importanti società informatiche (stabilite su suolo extra UE ma le cui attività dispiegano effetti su cittadini e residenti in Europa) alle agenzie di sicurezza USA, ha messo in evidenza la totale inadeguatezza del cosiddetto Safe harbor (approdo sicuro), l'accordo tra Unione Europa e Stati Uniti volto a consentire alle imprese americane la conservazione dei dati personali degli utenti europei sia nella UE che negli Usa, stabilendo una serie di principi a tutela degli interessati al trattamento dei dati.
Tale accordo è stato definitivamente rimosso a seguito della sentenza della Corte di giustizia dell'UE del 6 ottobre 2015 , che ha annullato la correlata decisione della Commissione europea (con la quale si dava in sostanza esecuzione all'accordo), considerata lesiva del contenuto essenziale del diritto fondamentale al rispetto della vita privata.
La Commissione europea ha nel contempo avviato negoziati con le autorità USA per stabilire un nuovo regime a tutela dei diritti fondamentali di qualsiasi persona nell'UE i cui dati personali siano trasferiti verso gli Stati Uniti, pervenendo, nel febbraio 2016, ad un accordo politico su una nuova disciplina per gli scambi transatlantici di dati personali a fini commerciali: lo scudo UE-USA per la privacy.
L'iniziativa è stata successivamente integrata con la conclusione dell'accordo con gli USA recante un quadro globale di protezione dei dati di alto livello per la cooperazione nell'attività di contrasto in campo penale. L'accordo è volto a rafforzare i diritti dei cittadini dell'UE garantendo loro un trattamento uguale a quello riservato ai cittadini statunitensi in caso di ricorso giudiziario dinanzi a un tribunale degli Stati Uniti.
Il lavoro interpretativo della Corte volto a dare piena tutela al diritto fondamentale alla protezione dei dati di carattere personale è stato altresì sviluppato con l'emanazione di alcune importanti pronunce. Si tratta anzitutto della sentenza dell'8 aprile 2014 nella cause riunite C-293/12 e C-594/12 Digital Rights Ireland e Seitlinger e a., con la quale la Corte ha dichiarato invalida la direttiva sulla conservazione dei dati, a motivo del fatto che l'ingerenza nei diritti fondamentali al rispetto della vita privata e alla protezione dei dati personali, determinata dall'obbligo generale di conservazione dei dati relativi al traffico e all'ubicazione, non era limitata allo stretto necessario.
Con parere emesso a richiesta del Parlamento europeo, il 26 luglio 2017, la Corte di giustizia dell'Unione ha, tra l'altro, dichiarato non conforme ai diritti fondamentali al rispetto della vita privata. e alla protezione dei dati di carattere personale l'accordo che nel 2014 avevano sottoscritto l'Unione europea e il Canada sul trattamento dei dati del codice di prenotazione (accordo PNR).
Pur rilevando che l'ingerenza nei citati diritti fondamentali sarebbe giustificata dal perseguimento di una finalità d'interesse generale (garanzia della sicurezza pubblica nell'ambito della lotta contro reati di terrorismo e reati gravi di natura transnazionale) e che il trasferimento dei dati PNR verso il Canada e il trattamento ulteriore degli stessi sarebbe idoneo a garantire la realizzazione di tale finalità, la Corte ha, tuttavia, ritenuto che varie disposizioni dell'accordo volte a consentire tali attività non sono limitate allo stretto necessario e non prevedono norme chiare e precise, costituendo in definita una violazione dei diritti fondamentali citati. Di qui la conclusione della Corte che l'accordo previsto non può essere concluso nella sua forma attuale.