Gdpr: il nuovo trattamento dei dati personali e la privacy nell’Ue

È venuto il momento dell'entrata in vigore del Gdpr, il nuovo regolamento europeo sul trattamento dei dati personali. Una riforma del diritto alla privacy che dà maggiori diritti ai cittadini. Ecco che cosa cambia, qual è il significato della nuova normativa e come si è arrivati a questo testo

di Francesca Cecchin

Lo scoppio del caso Cambridge Analytica ha recentemente animato il dibattito pubblico sulla protezione del diritto alla privacy e ha contribuito a sottolineare l’importanza di normative capaci di regolamentare l’elaborazione dell’enorme quantità di informazioni personali che ogni giorno vengono automaticamente create e trasferite. A tale proposito, a partire da oggi, importanti modifiche in materia vengono introdotte dalla diretta applicabilità del Regolamento Ue 2016/679 sul trattamento dei dati personali e la libera circolazione di tali dati.

Ma come si è arrivati all’attuale quadro normativo e, soprattutto, che cosa cambierà veramente dal punto di vista dei diritti degli utenti?

La Carta di Nizza Ue e il Garante della Privacy

L’articolo 8 della Carta dei diritti fondamentali dell’Unione europea, detta anche Carta di Nizza, riconosce il diritto di ciascuno alla protezione dei dati personali. Più specificamente, esso stabilisce che le informazioni raccolte devono essere a noi accessibili, opportunamente rettificabili, nonché trattate «secondo il principio di lealtà, per finalità determinate e in base al consenso della persona interessata o a un altro fondamento legittimo previsto dalla legge».

Inoltre, è previsto il controllo del rispetto di queste condizioni da parte di un’autorità indipendente, il cosiddetto Garante della Privacy. L’unicità di questa formulazione sta nella sua concezione del diritto alla protezione dei dati personali come fondamento del sistema dell’Unione e come indipendente dal diritto alla vita privata.

Gli albori del diritto alla protezione dei dati personali

L’esperienza dei regimi totalitari europei del Novecento, insieme al timore che l’elaborazione di banche dati automatizzate potesse essere utilizzata per controllare i propri cittadini, aveva spinto gli stati europei ad adottare già tra gli anni ‘70 e ‘80 alcune regolamentazioni riguardo al trattamento dei dati personali.

Questi strumenti però, in particolare la “Convenzione sulla protezione delle persone rispetto al trattamento automatizzato di dati a carattere personale” del Consiglio d’Europa (Convenzione 108, 1981), facevano riferimento a un concetto di diritto alla protezione dei dati personali subordinato al rispetto della vita privata.

In ambito dell’Unione europea, la formulazione adottata nel 2000 nella Carta di Nizza è stata capace di superare questa relazione gerarchica tra i due diritti, garantendo un livello superiore di tutela agli individui.

Data Protection Directive: Ue e innovazione tecnologica

Il diritto alla protezione dei dati personali e la normativa europea posta a sua tutela si sono sviluppati nel corso del tempo in modo parallelo all’avanzamento della tecnologia dell’informazione e delle comunicazioni, per assicurare costantemente l’esercizio delle nostre libertà personali. Nell’Ue, la prima tappa fu raggiunta nel 1995 con la Direttiva Ce 95/46, chiamata anche Data Protection Directive.

gdpr

Ancora oggi colonna portante della struttura legislativa comunitaria in materia, traspose per la prima volta molti concetti della Convenzione 108 del Consiglio d’Europa in un sistema comunitario di tutela dei diritti individuali, monitorato da autorità nazionali indipendenti.

Tuttavia, essa si dimostrò inadeguata già dai primi anni Duemila a far fronte alla larga diffusione di Internet. La necessità di adattare le leggi alle mutate società europee spinse gli stati membri ad adottare nel luglio 2002 la Direttiva Ce 2002/58, estendendo le garanzie stabilite precedentemente ai nuovi sistemi di comunicazione elettronica.

Data Retention: significato e lotta al terrorismo

Alla difficoltà di garantire la tutela dei diritti in un panorama in continua e rapida evoluzione si unì, già dal 2001 ma con nuovo vigore tra il 2004 e il 2005, l’urgenza di misure che permettessero di combattere, perseguire e prevenire i crimini terroristici. Di qui l’introduzione  del concetto di Data Retention, ovvero di conservazione dei dati personali per finalità di contrasto di reati gravi, e l’approvazione della controversa Data Retention Directive (Direttiva Ce 2006/24).

Secondo la direttiva, i fornitori di servizi di comunicazione elettronica avevano l’obbligo di conservare i molteplici dati raccolti per un periodo da sei mesi a due anni, in modo  da renderli disponibili alle autorità investigative secondo necessità.

Corte di giustizia Ue: verso una riforma della normativa

La Corte di giustizia dell’Unione Europea (Cgue), di fronte al chiaro rischio di interferenza con i diritti dei cittadini, adottò un approccio interpretativo fortemente innovatore, capace di evidenziare l’inadeguatezza della direttiva e salvaguardare le disposizioni della Carta di Nizza.

Il ruolo proattivo della Cgue permise infatti di superare le difficoltà legate a motivazioni politiche o alle continue evoluzioni tecnologiche, guidando il legislatore europeo verso l’elaborazione della normativa attuale.

Digital Rights Ireland: tecnologie di profilazione

Il caso più emblematico è sicuramente quello presentato nel 2006 da una ong Irlandese specializzata nella difesa dei diritti umani nell’era digitale, la quale contestava la legittimità di alcune misure nazionali di adeguamento alla Direttiva Ce 2006/24.

Nell’aprile 2014, con il caso Digital Rights Ireland, la Corte rilevò come la Data Retention Directive costituisse effettivamente una minaccia per i diritti alla vita privata, alla protezione dei dati personali e alla libertà di opinione, a causa delle intrusive tecnologie di profilazione messe in atto dalle forze di polizia. Il carattere generalizzato e indiscriminato delle norme, incomplete di sufficienti garanzie, spinse la Corte a dichiarare l’invalidità della direttiva per il mancato rispetto del principio di proporzionalità.

Motori di ricerca e dati personali: diritto all’oblio

Appena un mese dopo, la Cgue si trovò ad affrontare il problema della tutela dei dati nei motori di ricerca. La sentenza Google Spain introdusse nel panorama europeo il cosiddetto “diritto all’oblio”, ovvero la possibilità di vedere i propri dati cancellati in caso la loro conservazione non sia più ritenuta necessaria o qualora l’interessato sia contrario al loro trattamento.

Inoltre, fu chiarito il principio di applicazione territoriale fissato dalla Direttiva Ce 95/46, estendendolo anche a quei trattamenti effettuati da enti non stabiliti in territorio comunitario.

Il diritto a sapere del trasferimento di dati e i Garanti

Altri elementi fondamentali del diritto alla protezione dei dati personali furono precisati attraverso sentenze successive. Da un lato, il diritto dell’interessato a essere informato del trasferimento dei propri dati tra amministrazioni pubbliche di uno Stato ai fini di trattamento; dall’altro, il diritto dei cittadini di rivolgersi alla propria Autorità nazionale di controllo in caso di violazione del diritto alla protezione dei dati, e la possibilità, per quest’ultima, di investigare a riguardo, anche nel caso in cui il diritto applicabile in materia fosse quello di un altro stato membro.

L’acronimo e la scelta del regolamento 2018

Il processo di riforma timidamente abbozzato nel 2012 e fortemente perseguito all’indomani della dichiarazione di invalidità della Direttiva Ce 2006/24, portò il 14 aprile 2016 all’approvazione dell’attuale Regolamento Ue 2016/679, più noto come General Data Protection Regulation (Gdpr).

gdpr

Quattro sono gli ambiti in cui Gdpr ha portato maggiore cambiamento in termini di diritti degli utenti.

Cos’è il Gdpr: framework comune per diritto alla privacy

In primo luogo è importante ricordare che con l’entrata in vigore del Trattato di Lisbona nel 2009, il contenuto della Carta di Nizza ha assunto valore vincolante negli stati membri. Il diritto alla protezione dei dati personali è diventato quindi a tutti gli effetti un principio autonomo e giuridicamente applicabile a livello comunitario.

La scelta di adottare un Regolamento, contrariamente con la prassi precedente delle direttive, permetterà quindi l’esistenza di una base normativa che tuteli i diritti degli individui in modo uguale e diretto in tutta l’Unione.

In linea con la giurisprudenza Cgue, godremo di un maggiore controllo sui nostri dati e, di conseguenza, potremo far valere i nostri diritti di fronte a violazioni degli obblighi dei service provider, indipendentemente da dove essi siano stabiliti.

Nuovi diritti nel testo del Regolamento: cosa cambia

Dal punto di vista delle prerogative dell’interessato, particolarmente rilevante è la codificazione dei diritti all’oblio, all’accesso e alla portabilità, ovvero a ricevere informazioni riguardanti i dati elaborati in un formato di uso comune e leggibile da dispositivi automatici.

Il Gdpr, inoltre, chiarisce il diritto a essere informato delle azioni intraprese e le garanzie poste in atto da chi raccoglie ed elabora i dati, in modo da poter limitare o revocare il proprio consenso al trattamento.

Rimarranno esclusi dal trattamento informazioni che rivelino l’origine razziale o etnica, le opinioni politiche, convinzioni religiose o filosofiche, l’appartenenza sindacale, i dati genetici o biometrici, i dati relativi alla salute, alla vita sessuale o all’orientamento sessuale della persona.

Responsabile della protezione dei dati e Comitato Ue

La principale innovazione rispetto alla normativa precedente è sicuramente l’introduzione di chiari obblighi per i responsabili e dei titolari del trattamento. Essi hanno il dovere di proteggere i dati adottando misure tecniche adeguate a garantire e dimostrare il rispetto del Gdpr (leggi il testo del regolamento del trattamento dei dati personali).

A questo fine, ogni ente dovrà dotarsi di una nuova figura professionale, il Responsabile della protezione dei dati, incaricato di controllare l’attività e fornire consigli sulle strategie da adottare.

Gli utenti avranno diritto a rivolgersi alle Autorità nazionali indipendenti in caso di violazione dei propri diritti, le quali godranno di più specifici poteri e saranno dotate di un organo di coordinamento comunitario, il Comitato europeo per la protezione dei dati.

Sebbene rimangano alcuni punti oscuri nella normativa, il nuovo Regolamento è da considerare il frutto dell’autentico tentativo del legislatore europeo di creare uno scudo uniforme e  resistente per il diritto alla protezione dei dati personali degli individui capace di favorire l’innovazione tecnica e la responsabilizzazione di governi nazionali e imprese.

Stefano Rodotà, primo Garante della Privacy italiano

Come Stefano Rodotà, primo Garante della Privacy italiano, rifletteva nel 2004:

«Senza una forte tutela del “corpo elettronico”, dell’insieme delle informazioni raccolte sul nostro conto, la stessa libertà personale è in pericolo. Diventa così evidente che la privacy è uno strumento necessario per difendere la società della libertà, e per opporsi alle spinte verso la costruzione di una società della sorveglianza, della classificazione, della selezione sociale. La privacy si specifica così come una componente ineliminabile della società della dignità».

Iscriviti alla newsletter di Osservatorio Diritti

newsletter osservatorio diritti

Lascia una risposta

L'indirizzo email non verrà pubblicato.