Lo scorso sabato è stato il ventesimo anniversario della legislazione europea sulla protezione dei dati. Il 24 ottobre del 1995 è stata approvata la Direttiva 95/46/CE.
Fu un un punto di svolta per tutti gli Stati Membri, al fine di rimuovere gli ostacoli alla libera circolazione dei dati personali, il livello di tutela dei diritti e delle libertà delle persone, ma alla fine del 1995 avevamo un mondo diverso. Il World Wide Web era all’inizio (il W3C è stato fondato solo un anno prima) e la indiscussa società specializzata in servizi e prodotti del WWW (Google) è stata costituita solo quattro anni più tardi.
Circa tre anni fa, con un World Wide Web radicalmente cambiato, la Commissione europea ha dare una nuova svolta alla tema, in modo da dare di nuovo il controllo dei cittadini sui propri dati personali, e per semplificare il quadro normativo per le imprese, proponendo un pacchetto di riforme della protezione dei dati e, in particolare, un regolamento generale sulla protezione dei dati (General Data Protection Regulation, GDPR). Il processo di approvazione dovrebbe concludersi alla fine del 2015 e probabilmente consentire l’adozione formale del GDPR nei primi mesi del 2016, cui seguirà un periodo di transizione di due anni.
Le Istituzioni Europee assicurano che il GDPR stabilirà un unico insieme di norme in materia di protezione dei dati, valide in tutta Europa, perché l’attuale quadro, basato della Direttiva 95/46/CE, non ha impedito la frammentazione della implementazione delle regole sulla protezione dei dati personali in tutto l’UE.
Le Istituzioni dell’UE si inoltre affermato che le aziende dovranno avere a che fare con una sola legge, non 28, e che questo farà risparmiare alle aziende in tutto 2,3 Miliardi di Euro l’anno. Le nuove regole in particolare andranno a beneficio delle piccole e medie imprese, riducendo per loro la burocrazia.
Ora, se tutto ciò è vero, mi chiedo perché il testo del GDPR attribuisca così tanti poteri agli Stati membri ed alle autorità nazionali.
Anzitutto, preoccupa per l’articolo 21 del GDPR: questo afferma che gli Stati Membri possono limitare, per mezzo di un provvedimento legislativo, la portata degli obblighi e dei diritti previsti, tra gli altri, per gli Interessati al trattamento. È specificato “solo qualora tale restrizione costituisca una misura necessaria e proporzionata”, ma per salvaguardare interessi non così importanti come i diritti degli Interessati (ad esempio, un rilavante interesse economico o finanziario dell’UE o di uno Stato Membro, tra cui, le questioni di bilancio e monetarie e la tutela della stabilità e l’integrità del mercato).
La disposizione di cui all’art. 21 del GDPR è una copia pedissequa dell’art. 13 della Direttiva 95/46/CE, ma si capisce la necessità di proporla nuovamente, soprattutto all’interno di un atto che, come il regolamento, in teoria, non ha bisogno di un recepimento da parte della legislazione di uno Stato Membro.
Inoltre, il GDPR stabilisce che (Considerando 134) le autorizzazioni da parte delle autorità garanti nazionali basate sulla Direttiva 95/46/CE, dovrebbero rimanere in vigore. Ciò significa che tutte le decisioni emesse dalle autorità garanti in venti anni di attività rimarranno valide, nonostante i loro potenziali conflitti con il GDPR.
E si taccia sulle direttive 2002/58/CE (la ‘direttiva e-privacy’) e sulla 2009/136/CE, che dovranno essere modificate dopo l’approvazione del GDPR e, quindi, ancora in vigore attraverso le legislazioni nazionali.
Siamo sicuri quindi di “un continente, una legge”? Sì, ma le regole devono avere efficacia in pratica.
Lo scorso luglio, il Garante Europeo sulla Protezione dei Dati ha affermato che i principi stabiliti nel pacchetto di riforma dovrebbero essere applicati in modo coerente, dinamico e innovativo così da renderli efficaci per i cittadini nella pratica. La riforma deve essere globale, da qui l’impegno per un pacchetto, ma poiché è probabile che il trattamento dei dati venga disciplinato da strumenti giuridici distinti occorre che vi sia chiarezza sul loro specifico campo d’applicazione e sul modo in cui funzionano congiuntamente, senza scappatoie per trovare compromessi sulle salvaguardie.
Pingback: Data & IT Law Monthly: October 2015 - data & it law