“Se quando fu fatto l’euro avessimo discusso di più sulle regole che ne avrebbero dovuto accompagnare l’introduzione, forse oggi avremmo meno problemi da risolvere. Penso che lo stesso discorso valga per l’introduzione del nuovo regolamento Ue sulla protezione dei dati personali: meglio discuterne prima che entri in vigore, piuttosto che gettare il cuore oltre l’ostacolo, come succede a volte a livello di Unione Europea”. La pensa così Francesco Pizzetti, Garante per la Privacy e la protezione dei dati personali, intervenuto questa mattina alla presentazione della proposta in materia di protezione dati elaborata dalla commissione europea e tenutasi a Roma nelle sede della rappresentanza in Italia dell’Ue. “E se dall’estero non rispetteranno l’ordinamento Ue? Cosa faremo, come l’Arabia Saudita che ha imposto a BlackBerry di passare i dati personali degli utenti al Governo, minacciando la Rim di chiusura nel paese?”. Senza dimenticare che anche il Congresso Usa ha dovuto fare una pronta retromarcia dopo le proteste anti-Sopa di fronte all’oscuramento di Wikipedia.
Laura Corrado, capo aggiunto della direzione Giustizia della commissione Ue ha spiegato che la riforma tiene conto dell’impatto della tecnologia (cloud computing e profiling degli internauti), dell’esistenza di un quadro legislativo frammentato (gli Stati membri hanno recepito in maniera diversa tra loro la direttiva europea), dell’impatto del Trattato di Lisbona e dei costi per le imprese.
“L’obiettivo è rafforzare i diritti dei cittadini online – dice Corrado – creare un quadro normativo armonico e facilitare i flussi internazionali di dati nel mercato interno. Vengono introdotti più obblighi di informazione sulla privacy, dal consenso informato ed esplicito dei dati personali, al diritto di accesso gratuito e veloce ai dati, fino alla portabilità e al diritto all’oblio. Se c’è una violazione di banca dati, ad esempio per un attacco hacker, c’è l’obbligo di informare i garante e gli individui nel più breve tempo possibile”. I trasferimenti di dati fuori dall’Ue devono essere validati.
Una delle misure prospettate è che le organizzazioni avranno a che fare con un’unica autorità nazionale di protezione dei dati nel paese dell’Unione in cui hanno il proprio stabilimento principale. Punto su cui Pizzetti mette in guardia di fronte ad una possibile stortura: ”Si garantisce di più l’indipendenza delle autorità all’interno degli Stati, ma si pone la commissione Ue al vertice delle attività delle autorità. Nel momento, quindi, in cui la commissione può intervenire con una sua opinione bloccando una decisione dell’autorità, francamente di cosa resti di autorità indipendente a livello dell’Unione è un bel problema”.
Secondo Pizzetti, una volta entrato in vigore il nuovo regolamento e la direttiva approvati dalla Commissione Europea la settimana scorsa, si creeranno non pochi problemi di attuazione nei singoli paesi dell’Ue.
Premesso che una nuova normativa unica a livello di Ue a 27 è necessaria ed auspicabile, che “quella del ’95 è vecchia”, e che le riforme proposte dalla commissione Ue porteranno ”innovazioni importanti”, il Garante non nasconde i problemi e gli aspetti più controversi del regolamento proposto da Viviane Reding, vicecommissario della Commissione e responsabile Giustizia dell’Ue.
“Non so quanto tempo ci metterà l’Unione Europea ad approvare il nuovo regolamento e la direttiva sulla data protection, ma di certo visto l’impianto della normativa voluto da Viviane Reding, la protezione dei dati personali diventerà un diritto sancito dall’Unione più che dalle singole Autorità Garanti degli Stati membri. Si tratta di un enorme processo di accentramento di potere da parte del board della Commissione europea, con le singole autorità nazionali che di fatto diventano soggetti operativi della Commissione stessa”.
“La protezione dei dati personali diventa un diritto fondamentale dei cittadini Ue, e come tale andrà difeso, anche se poi sarà un giudice nazionale che dovrà decidere sotto una giurisdizione extra nazionale – aggiunge Pizzetti – un altro problema che vedo è che nel nuovo regolamento c’è molta attenzione al trasferimento di dati dall’Ue ai paesi extra Ue, e viceversa ma non c’è una visione aperta all’integrazione internazionale delle regole. Il regolamento è prevalentemente orientato all’attività delle imprese, più che al singolo cittadino".
Il Garante paragona il nuovo regolamento ad una “fortezza, che impone le norme Ue anche alle aziende extra europee che operano nel mercato interno, ma è tutto da verificare se queste aziende rispetteranno le regole imposte e soprattutto se l’Ue sarà in grado di farle rispettare”. In altre parole, non sarà facile imporre alle aziende extra Ue, in particolare a quelle Usa, il rispetto delle regole europee senza accordi internazionali con la Ftc (Federal trade commission) e la condivisione di norme accettate e condivise a livello mondiale.
Pronta la replica di Corrado e di Lucio Battistotti, direttore della rappresentanza italiana della Commissione: “Non è intenzione della Commissione diventare un Super Garante, al contrario – dicono – l’obiettivo è arrivare in prospettiva ad una cooperazione con la Ftc, ma il punto, secondo Viviane Reding, è eminentemente politico: qual è il prezzo che l’Ue è pronta a pagare per l’interoperability con i paesi extra Ue?”.
Ma secondo Pizzetti è necessario “pretendere regole valide e condivise a livello internazionale – dice – tanto più che a livello di singole autorità garanti nel momento in cui il nuovo regolamento entrerà in vigore, il codice nazionale di protezione dati non varrà più. Le autorità nazionali dovranno lavorare molto più in gruppo, aumenterà il peso del gruppo di cooperazione europeo, avremo grossi problemi di armonizzazione non delle regole, che sono le stesse, ma nel modo di attuarle. E poi ci sarà un problema di rapporti fra le autorità nazionali, fra i giudici nazionali, perché ci saranno giudici nazionali che dovranno rivedere in sede di ricorso decisioni di autorità di altri paesi. E poi problemi con la Commissione, che avrà diritto di ultima istanza, visto che la protezione dei dati personali è un diritto fondamentale”.
Il pacchetto di riforme che si articolerà attraverso due proposte legislative, un regolamento che istituisce un quadro generale dell’Unione europea per la protezione dei dati e una direttiva relativa al settore penale e giudiziario, è solo all’inizio del suo iter. Le proposte della commissione passano ora al Parlamento europeo e agli Stati membri dell’Unione per discussione e, una volta adottate, non entreranno in vigore prima di due anni.
