Costituzione, diritti e libertà

L'intervento dell'UE nel settore della protezione dei dati personali e della privacy

Negli ultimi anni l'Unione europea ha attribuito importanza crescente alle questioni relative al diritto alla protezione dei dati di carattere personale. Da un lato, l'inserimento di questa sfera di tutela nella Carta dei diritti fondamentali dell'UE Carta dei diritti ne ha elevato il rango a diritto primario, in grado di prevalere sulle norme di diritto derivato dell'UE; dall'altro, l'azione dell'UE ha rafforzato gli strumenti volti a dare concretezza a tale diritto, quale componente indispensabile ai fini di un livello elevato di fiducia nella circolazione affidabile, lecita e sicura dei dati personali, ed in definitiva della realizzazione del mercato unico digitale europeo.

L'azione dell'Unione europea per consolidare il diritto alla protezione dei dati si è sviluppata su molteplici piani di intervento: in primo luogo, sul fronte legislativo, con la ridefinizione complessiva delle norme europee in materia; in secondo luogo con l'intervento giurisprudenziale della Corte di giustizia dell'UE, che si è, tra l'altro, tradotto nella rimozione dall'ordinamento europeo di vari strumenti del diritto derivato; infine, sul piano delle relazioni esterne con Stati terzi, con particolare riferimento al trattamento illecito dei dati da parte di soggetti esterni all'UE, considerata la facoltà di ingerenza nella sfera personale che nel mondo informatico è tecnicamente consentita indipendentemente dalla presenza dei soggetti interessati e di quelli che violano le norme di protezione in un medesimo Stato o continente.

L'indirizzo generale dell'UE in tale settore può riassumersi nella difficile ricerca di un punto di mediazione tra le esigenze riconducibili alla sfera intangibile della privacy, all'obiettivo della libera circolazione nell'UE dei dati personali (elemento essenziale del mercato unico digitale), e – su un altro versante – all'interesse pubblico ad un'efficace attività di prevenzione e contrasto del crimine, con particolare riguardo alle attività di stampo terroristico che trovano cittadinanza nella realtà virtuale.

apri tutti i paragrafi

In esito ad un lungo e complesso procedimento legislativo, iniziato nel gennaio 2012, l'Unione europea si è dotata nel maggio 2016 di nuove norme in materia di protezione dei dati personali. In particolare, la revisione del precedente quadro giuridico si è tradotta nell'adozione di un regolamento in materia di protezione dei dati personali (cosiddetto regolamento generale protezione dati personali  , che ha sostituito la precedente direttiva del 1995) e di una direttiva volta a disciplinare i trattamenti di dati personali nei settori di prevenzione, contrasto e repressione dei crimini   (che ha abrogato la precedente decisione quadro del 2008). In entrambi i casi si tratta di strumenti giuridici diretti a ridurre il più possibile i margini di discrezionalità degli Stati membri nella legislazione di settore, eliminando (nel caso del regolamento generale protezione dati personali) o riducendo significativamente (con la direttiva sulle attività delle autorità di contrasto) le disarmonie riscontrate negli ordinamenti nazionali, quali fattori di incertezza giuridica e di freno rispetto alla circolazione dei dati.    

Tali discipline entreranno effettivamente in funzione nel maggio 2018, data di scadenza del recepimento della direttiva e di applicazione del regolamento.

Il regolamento generale sulla protezione dei dati personali definisce i diritti delle persone fisiche, stabilendo gli obblighi di coloro che trattano i dati o sono responsabili del loro trattamento. Sono altresì definiti i metodi per garantire il rispetto delle norme e la portata delle sanzioni a carico di coloro che le violano.

In particolare l'Unione europea ha riscritto con maggiore puntualità la disciplina in materia di informativa e consenso, introducendo altresì una serie di nuovi strumenti di tutela, quali:
  • un regime stringente in materia di trattamento automatizzato dei dati personali, introducendo, a tale proposito, il cosiddetto divieto di profiling;
  • il diritto all'oblio, grazie al quale gli interessati possono pretendere la cancellazione dei propri dati personali anche on line da parte del titolare del trattamento qualora ricorrano alcune condizioni previste dal regolamento;
  • il diritto alla portabilità, ovverosia la facoltà degli interessati di trasferire i propri dati personali da un titolare del trattamento ad un altro (ad esempio, la scelta di cambiare provider di posta elettronica senza perdita di dati)
Il regolamento, pur pervenendo a risultati più contenuti rispetto all'ambizioso disegno della Commissione europea, prevede un meccanismo di coerenza per l'applicazione uniforme delle nuove norme da parte degli Stati membri, istituendo altresì la figura del one stop shop, un'unica autorità di supervisione del rispetto della disciplina, abilitata ad intervenire in presenza di fattispecie a carattere transfrontaliero.
Sono infine previste sanzioni molto severe contro titolari e responsabili del trattamento che violino le disposizioni in materia di protezione dei dati: tali sanzioni possono arrivare fino a 20 milioni di euro o, per le imprese, fino al 4 per cento del fatturato mondiale totale annuo dell'esercizio precedente, se superiore.
Da ultimo, viene ribadito il divieto di trasferimento di dati personali verso Paesi situati al di fuori dell'Unione europea o organizzazioni internazionali che non rispondano agli standard di adeguatezza in materia di tutela dei dati, rispetto ai quali sono introdotti criteri di valutazione più stringenti,

La direttiva si applica sia al trattamento dei dati personali oggetto di scambio tra autorità di contrasto alla criminalità di differenti Stati membri nell'ambito della cooperazione giudiziaria e di polizia, sia a qualsiasi trattamento in sede esclusivamente nazionale da parte delle autorità di law enforcement, con riferimento alle attività di prevenzione, indagine, individuazione e sanzione dei reati, e salvaguardia e prevenzione delle minacce alla sicurezza pubblica.

La disciplina non si applica ai trattamenti di dati personali: a) effettuati per attività che non rientrano nell'ambito di applicazione del diritto dell'Unione; b) effettuati da istituzioni, organi, uffici e agenzie dell'Unione.
Gli Stati membri sono obbligati al rispetto dei seguenti principi: i dati personali nell'ambito delle attività di contrasto alle attività criminali devono essere: trattati in modo lecito e corretto, raccolti per finalità determinate, esplicite e legittime, trattati in modo non incompatibile con tali finalità, adeguati, pertinenti e non eccedenti rispetto alle finalità per le quali sono trattati. La direttiva offre una serie di tutele all'interessato per quanto riguarda l' accesso, la rettifica e la cancellazione dei dati, oltreché facoltà di chiedere limitazioni al trattamento, sebbene l'interesse pubblico allo svolgimento delle attività di contrasto al crimine consenta legislazioni nazionali a carattere maggiormente restrittivo.
Disposizioni particolari sono infine previste con riferimento al diritto all' indennizzo in caso di danno conseguente a un trattamento che abbia violato le regole e in materia di trasferimento a Stati terzi dei dati personali per ragioni di contrasto al crimine.

Nel gennaio 2017 la Commissione europea ha inteso integrare l'azione riformatrice svolta con il pacchetto protezione dati personali avviando la revisione della disciplina in materia di tutela della riservatezza delle comunicazioni elettroniche, sia per allinearla agli standard di protezione stabiliti nel pacchetto, sia per aggiornarla e renderla tecnologicamente neutra rispetto all'incessante evoluzione degli strumenti di comunicazione e di informazione.

La Commissione europea ha quindi adottato una  proposta di regolamento   (tuttora all'esame delle Istituzioni legislative europee) con l'obiettivo di sostituire la direttiva 2002/58/CE (cosiddetta e-privacy) con una normativa direttamente applicabile che garantisca i medesimi livelli di protezione per tutti i cittadini UE utenti delle comunicazioni elettroniche e di certezza giuridica per le imprese fornitrici di servizi in tale settore.
Gli elementi di maggiore novità del la proposta di regolamento sono:          
  • l'estensione della tutela della privacy con riferimento ai più recenti servizi di comunicazione elettronica (ad esempio il Voip e i servizi over the top come Whatsup e Facebook Messenger) che finora non erano contemplati dalla direttiva;
  • la riforma del regime in materia di riservatezza dei dati conservati nei dispositivi finali (con particolare riferimento alle tecniche di tracciatura quali i cookie);
  • la revisione della disciplina in materia di comunicazioni elettroniche indesiderate (spamming);
  • la previsione di un nuovo apparato sanzionatorio per le infrazioni al regolamento allineato a quanto previsto dal regolamento generale in materia di protezione dei dati personali.

Nel corso del 2013, la divulgazione presso l'opinione pubblica dell'attuazione di programmi di sorveglianza di massa da parte alcuni organismi di intelligence USA, a seguito del cosiddetto scandalo Datagate, ha indotto l'Unione europea a rafforzare la propria azione a tutela dei dati personali dei cittadini europei anche sul versante delle relazioni esterne.

In particolare, l'ingerenza nella sfera privata tramite l'accesso indiscriminato a flussi macroscopici di dati personali di cittadini UE illecitamente trasmessi da importanti società informatiche (stabilite su suolo extra UE ma le cui attività dispiegano effetti su cittadini e residenti in Europa) alle agenzie di sicurezza USA, ha messo in evidenza la totale inadeguatezza del cosiddetto Safe harbor (approdo sicuro), l'accordo tra Unione Europa e Stati Uniti volto a consentire alle imprese americane la conservazione dei dati personali degli utenti europei sia nella UE che negli Usa, stabilendo una serie di principi a tutela degli interessati al trattamento dei dati.

Tale accordo è stato definitivamente rimosso a seguito della sentenza della Corte di giustizia dell'UE del 6 ottobre 2015  , che ha annullato la correlata decisione della Commissione europea (con la quale si dava in sostanza esecuzione all'accordo), considerata lesiva del contenuto essenziale del diritto fondamentale al rispetto della vita privata.

La Commissione europea ha nel contempo avviato negoziati con le autorità USA per stabilire un nuovo regime a tutela dei diritti fondamentali di qualsiasi persona nell'UE i cui dati personali siano trasferiti verso gli Stati Uniti, pervenendo, nel febbraio 2016, ad un accordo politico su una nuova disciplina per gli scambi transatlantici di dati personali a fini commerciali: lo scudo UE-USA per la privacy.

Formalmente adottato nel luglio 2016, il nuovo accordo produce una serie di obblighi per le imprese che operano sui dati, sottoponendole a verifiche e aggiornamenti periodici, ed in caso di violazioni a un regime sanzionatorio. Inoltre gli Stati Uniti si sono impegnati a garantire che l'accesso delle autorità pubbliche ai dati per scopi di applicazione della legge e di sicurezza nazionale (compresa la raccolta di dati in blocco) sia soggetto a limitazioni, garanzie e precisi meccanismi di vigilanza, compresa la previsione di meccanismi di ricorso e di mediazione in questo settore a disposizione dei cittadini dell'UE.

L'iniziativa è stata successivamente integrata con la conclusione dell'accordo con gli USA recante un quadro globale di protezione dei dati di alto livello per la cooperazione nell'attività di contrasto in campo penale. L'accordo è volto a rafforzare i diritti dei cittadini dell'UE garantendo loro un trattamento uguale a quello riservato ai cittadini statunitensi in caso di ricorso giudiziario dinanzi a un tribunale degli Stati Uniti.

L'accordo dovrebbe integrare i vigenti e futuri accordi UE-Stati Uniti e Stati membri-Stati Uniti conclusi tra le autorità di contrasto in materia penale. Non è di per sé uno strumento giuridico applicabile a qualsiasi trasferimento di informazioni personali verso gli Stati Uniti, ma integra, ove necessario, le garanzie di protezione dei dati contemplate negli accordi vigenti e futuri per il trasferimento dei dati o nelle disposizioni nazionali che autorizzano tali trasferimenti.

Il lavoro interpretativo della Corte volto a dare piena tutela al diritto fondamentale alla protezione dei dati di carattere personale è stato altresì sviluppato con l'emanazione di alcune importanti pronunce. Si tratta anzitutto della sentenza dell'8 aprile 2014 nella cause riunite C-293/12 e C-594/12 Digital Rights Ireland e Seitlinger e a.,   con la quale la Corte ha dichiarato invalida la direttiva sulla conservazione dei dati, a motivo del fatto che l'ingerenza nei diritti fondamentali al rispetto della vita privata e alla protezione dei dati personali, determinata dall'obbligo generale di conservazione dei dati relativi al traffico e all'ubicazione, non era limitata allo stretto necessario.

All'attenzione della Corte erano, appunto, le disposizioni della direttiva volte a garantire la conservazione dei dati di traffico telefonico e telematico, i dati relativi all'ubicazione e quelli necessari all'identificazione dell'abbonato, per fini di accertamento e repressione dei reati. Secondo la Corte se, in linea generale, l'accesso a tali dati può giustificarsi in ragione di un obiettivo d' interesse generale quale, appunto, il contrasto a gravi forme di criminalità e, in definitiva, le esigenze di pubblica sicurezza, la direttiva avrebbe tuttavia ecceduto i limiti imposti dal principio di (stretta) proporzionalità.

 

Con parere   emesso a richiesta del Parlamento europeo, il 26 luglio 2017, la Corte di giustizia dell'Unione ha, tra l'altro, dichiarato non conforme ai diritti fondamentali al rispetto della vita privata. e alla protezione dei dati di carattere personale l'accordo che nel 2014 avevano sottoscritto l'Unione europea e il Canada sul trattamento dei dati del codice di prenotazione (accordo PNR).

Il PNR è un registro contenente tutte le informazioni relative al viaggio di ciascun passeggero, tra cui tutti i dati necessari per il trattamento delle prenotazioni a cura dei vettori aerei.
L'accordo consentiva il trasferimento sistematico e continuo dei dati PNR di tutti i passeggeri aerei a un'autorità canadese ai fini del loro uso e della loro conservazione, nonché del loro eventuale trasferimento ulteriore ad altre autorità e ad altri paesi terzi, allo scopo di lottare contro il terrorismo e i reati gravi di natura transnazionale. A tal fine, l'accordo previsto contemplava, tra l'altro, una durata di archiviazione dei dati di cinque anni nonché obblighi in materia di sicurezza ed integrità dei dati PNR, un mascheramento immediato dei dati sensibili, taluni diritti d'accesso ai dati, di rettifica e di cancellazione e la possibilità di proporre ricorsi amministrativi o giurisdizionali.

Pur rilevando che l'ingerenza nei citati diritti fondamentali sarebbe giustificata dal perseguimento di una finalità d'interesse generale (garanzia della sicurezza pubblica nell'ambito della lotta contro reati di terrorismo e reati gravi di natura transnazionale) e che il trasferimento dei dati PNR verso il Canada e il trattamento ulteriore degli stessi sarebbe idoneo a garantire la realizzazione di tale finalità, la Corte ha, tuttavia, ritenuto che varie disposizioni dell'accordo volte a consentire tali attività non sono limitate allo stretto necessario e non prevedono norme chiare e precise, costituendo in definita una violazione dei diritti fondamentali citati. Di qui la conclusione della Corte che l'accordo previsto non può essere concluso nella sua forma attuale.

La Commissione europea, nell'ottobre 2017, ha iniziato una nuova procedura per ottenere l'autorizzazione all'avvio di negoziati per la conclusione di un accordo tra l'Unione europea e il Canada sul trasferimento e sull'uso dei dati del codice di prenotazione (Passenger Name Record, PNR) al fine di prevenire e combattere il terrorismo e altri reati gravi di natura transnazionale, che tenga conto dei rilievi contenuti nel parere citato della Corte.

altri temi