Il “Nomos della privacy”: il discorso della Reding e la “nuvola danese”

1

Il discorso del Commissario Reding, Vice-Presidente della Commissione europea, responsabile per la Giustizia: “Your data, your rights: Safeguarding your privacy in a connected world”: brevi cenni sul futuro della privacy

Il 16 marzo a Bruxelles, al Parlamento europeo, nel corso della Conferenza “The Review of the EU Data Protection Framework”, la Reding ha esposto il suo approccio alla revisione del quadro regolamentare per la protezione dei dati personali. Esso si basa sostanzialmente su quattro “pilastri”: 1. Garantire il diritto all’oblio – “right to be forgotten” (questo diritto non è ancora chiaramente definito; ad ogni modo, si fa specifico riferimento al diritto di revoca del consenso al trattamento dei dati); 2. Trasparenza, e cioè assicurare l’informativa sui dati oggetto di trattamento e sulle finalità di quest’ultimo (si sottolinea l’importanza di un’adeguata tutela dei minori nel contesto dei social network); 3. Privacy by default, ovvero predisposizione di sistemi per il trattamento dati in modo da minimizzare l’“impatto privacy” (a tal fine, si rileva la necessità di evitare richieste di consenso “omnibus”, valide cioè per trattamenti che rispondano a più finalità); 4. Protezione dati “a prescindere dal luogo in cui si trovano i dati”. In relazione a quest’ultimo aspetto, si afferma che i dati dei cittadini europei dovrebbero essere soggetti alle stesse garanzie indipendentemente dal luogo in cui si trova il “service provider” e dai mezzi tecnici utilizzati per fornire il servizio. Si tratta della valorizzazione del criterio di territorialità del c.d. targeting, in base al quale i servizi che hanno come ‘mercato di riferimento’ i cittadini europei dovrebbero essere soggetti all’applicazione del ‘diritto privacy’ comunitario. In pratica, il criterio del targeting, aggiuntivo agli altri criteri di cui alla direttiva 95/46, comporterebbe l’applicabilità del diritto dell’Unione europea (non si specifica, tuttavia, di quale diritto nazionale di recepimento della direttiva 95/46) a “prodotti on line” che abbiano come bacino d’utenza i consumatori dell’Unione europea. Si fa l’esempio di “social network companies” la cui sede legale è negli Stati Uniti, ma i cui utenti risiedono nell’Unione europea.

Sempre nel discorso, si fa poi riferimento all’estensione delle regole previste per la protezione dati all’area ex terzo pilastro (dove si registra l’utilizzo sempre più frequente a fini di law enforcement di dati provenienti dal settore privato e originariamente trattati per finalità ‘commerciali’). E’ interessante notare la Reding prende atto di tale trend (l’uso massivo di dati grezzi/“bulk data” da parte delle autorità di law enforcement) quasi come se lo stesso fosse ‘subìto’ piuttosto che anche promosso e derivante da piani di azione specifici della Commissione: l’estensione delle tutele previste dalla (a breve modificata) direttiva dovrebbe, in realtà, prevenire il ricorso non necessario e non proporzionale a tali trattamenti piuttosto che limitarsi a ricondurne l’utilizzo nell’alveo dei canoni della protezione dati.

Infine, la Commissaria si impegna a rafforzare indipendenza e poteri delle Autorità nazionali preposte alla protezione dati, nonché la cooperazione tra le stesse (viene fatto speciifco riferimento al caso Google Street View – servizi di “on line mapping”).

Il discorso è disponibile al sito web: http://europa.eu/rapid/pressReleasesAction.do?reference=SPEECH/11/183&format=HTML&aged=0&language=EN&guiLanguage=en

 

La “nuvola danese”: cenni su fonti e natura del diritto alla protezione dati

Si segnala poi la decisione dell’Autorità nazionale della Danimarca competente in materia di protezione dati (Datatilsynet), che ha ritenuto non conforme alla legislazione privacy nazionale e comunitaria l’utilizzo da parte del Comune di Odense dei servizi on line offerti da Google (Google Apps) per organizzare calendario, programma di studio e valutazione dei percorsi di apprendimento di alunni delle scuole dello stesso Comune.

La decisione è interessante in quanto, in poche pagine, fornisce un’idea abbastanza precisa della complessità delle regole applicabili al caso di specie e, in generale, al fenomeno del c.d. cloud computing. Si evince con chiarezza, innanzitutto, come il “Nomos della privacy” sia, con soddisfazione di studiosi come Sabino Cassese e Natalino Irti che tra i primi hanno osservato questo movimento inarrestabile verso la molteplicità delle fonti anche extra-statuali, un diritto che attinge ad haustus plurimi e spesso ‘inusitati’: non solo le tipiche fonti del diritto nazionale (la legislazione di protezione dati danese) e comunitario (la direttiva 95/46 e la c.d. direttiva e-privacy), ma anche accordi c.d. Safe Harbour; clausole contrattuali standard (per il trasferimento di dati a responsabili/processor stabiliti in Paesi terzi); standard di audit internazionali; raccomandazioni dell’Agenzia comunitaria sulla sicurezza delle reti (ENISA).

Unione, quindi, di hard e soft law, ma anche – sempre al fine di consentire un giudizio di legittimità del trattamento di dati (e, in particolare, del trasferimento di dati personali a Paesi terzi in virtù di un accordo tra soggetti privati o che, comunque, agiscono iure privatorum) – operatività di un combinato disposto che, su una base pubblicistica (la direttiva 95/46 e le decisioni di adeguatezza della Commissione europea o delle Autorità nazionali per la privacy) vede innestarsi atti di impegno di matrice privatistica (autocertificazione dei requisiti e adesione allo schema Safe Harbour da parte di Google Inc. negli Stati Uniti; adozione di clausole contrattuali standard in caso di trasferimenti tra società diverse, ovvero di binding corporate rules in caso di trasferimenti di dati “infragruppo”).

Riescono tutte queste regole ad assicurare (se non la certezza del diritto, almeno) la certezza della protezione dei dati?

La risposta della Data Protection Authority (DPA) della Danimarca è inequivocabilmente negativa. Il Comune di Odense: non sa dove si trovino fisicamente i dati (si nota che il “processor” Google Ireland Ltd. ha un sistema di banche dati di tipo ‘distribuito’ localizzate in UE e negli Stati Uniti); non è in grado di assicurare la cancellazione dei dati né l’applicazione delle misure minime di sicurezza; infine, il Comune danese, pur essendo il “data controller” (in linguaggio privacy italiano: il titolare), e quindi il dominus delle finalità e modalità del trattamento, una volta stipulato il contratto (di fornitura di servizi digitali) con Google aderendo alla sua “privacy policy”, non sembra possa poi influire significativamente su tali modalità.

Inadeguatezza delle regole o mancata corretta attuazione delle stesse da parte della municipalità danese? Lascio qui aperta la domanda e, intanto, osservo (riporto), dal punto 2.2. della decisione: gli scopi della Legge (danese) sul trattamento dei dati personali sono tre: (1) assicurare un alto livello di protezione dei cittadini; (2) in modo compatibile con l’utilizzo delle moderne tecnologie; e (3) recependo la direttiva comunitaria 95/46. Insomma, il diritto alla protezione dei dati, corrispondendo in sostanza ad un diritto che potremmo definire “di prossimità”, rispecchia innanzitutto (pur essendo un diritto fondamentale/universale, un diritto la cui protezione rappresenta una “barriera anticipata” rispetto a violazioni ‘terribili’ come quelli derivanti da trattamenti discriminatori, siano essi su base etnica, religiosa o altro) al ‘Nomos del Paese’ (che ne disciplina e controlla l’attuazione e, soprattutto, si pensi al diritto di accesso ai dati personali e alla rettifica degli stessi, ne assicura l’esercizio “il più vicino possibile” al cittadino, rectius, all’interessato).

La decisione è disponibile al sito web istituzionale dell’Autorità per la protezione dei dati personali della Danimarca: http://www.datatilsynet.dk/english/processing-of-sensitive-personal-data-in-a-cloud-solution

Share this article!

Share.

About Author

1 Comment

  1. Pingback: Danimarca: l’Authority per la privacy boccia Google Apps | Pino Bruno

Leave A Reply