GDPR – Genesi e Sviluppo dalla Carta di Nizza al 25 Maggio 2018 Una retrospettiva che illustra come si è giunti al quadro normativo attuale dalla Carta di Nizza (2000) al Regolamento UE 2016/679 (2018)

La protezione dei dati è un diritto di libertà - Video del Garante della Privacy sul GDPR

Il 25 maggio 2018 è entrato in vigore il Regolamento Europeo per la Protezione dei Dati UE 2016/679, più noto come GDPR: una riforma del diritto alla privacy sviluppata dagli stati membri della comunità europea con l’intento di fornire maggiori diritti ai cittadini dell’EuroZona.

L’introduzione esecutiva del GDPR arriva a due mesi di distanza dallo scoppio del caso Cambridge Analytica, una delle più vaste violazioni di dati dell’epoca digitale: oltre 87 milioni di profili Facebook violati, contenenti dati sensibili utilizzati per finalità elettorali. Questo incredibile e inatteso evento ha provocato, se non altro, un aumento considerevole del livello di attenzione sui temi principali legali alla privacy: tra questi vi è certamente l’importanza di dotarsi di normative in grado di regolamentare in modo efficace l’enorme e crescente flusso di informazioni personali che vengono quotidianamente acquisite, trasmesse e ricevute in ogni parte del pianeta.

Lo scopo che il GDPR si propone, al netto delle importanti modifiche introdotte, è esattamente questo. Per maggiori dettagli sulle sue caratteristiche principali e sugli oneri legati all’adeguamento per Titolari, Responsabili e interessati rimandiamo all’articolo GDPR: Cosa è, cosa cambia, come agire, pubblicato alcune settimane fa; in questo articolo cercheremo di approfondire il percorso che ha portato alla genesi e allo sviluppo dell’attuale quadro normativo, a partire dalle prime formulazioni europee in materia di Privacy.

La Carta di Nizza

Il punto da cui è opportuno far partire questa retrospettiva è la Carta dei diritti fondamentali dell’Unione europea, nota anche in Italia come Carta di Nizza in virtù del luogo della sua prima proclamazione, avvenuta il 7 dicembre 2000. Il testo, in conseguenza dell’entrata in vigore del Trattato di Lisbona, assume il medesimo valore giuridico dei trattati (ex art. 6) ed è quindi pienamente vincolante per tutti gli Stati membri.

La Carta di Nizza è stata redatta per rispondere alla necessità, emersa durante il Consiglio europeo di Colonia (3 e 4 giugno 1999), di definire un gruppo di diritti e libertà fondamentali che fossero garantiti a tutti i cittadini dell’Unione Europea. Di particolare rilevanza per la nostra analisi è l’Articolo 8 – Protezione dei dati di carattere personale, che riportiamo di seguito in forma integrale:

1. Ogni individuo ha diritto alla protezione dei dati di carattere personale che lo riguardano.
2. Tali dati devono essere trattati secondo il principio di lealtà, per finalità determinate e in base al consenso della persona interessata o a un altro fondamento legittimo previsto dalla legge. Ogni individuo ha il diritto di accedere ai dati raccolti che lo riguardano e di ottenerne la rettifica.
3. Il rispetto di tali regole è soggetto al controllo di un’autorità indipendente.

Il diritto alla protezione dei dati personali viene dunque riconosciuto come autonomo e indipendente rispetto a tutti gli altri diritti, ivi compreso il diritto al rispetto della propria vita privata (art. 7). E’ inoltre importante sottolineare come già in questa formulazione sia previsto il controllo delle regole da parte di una autorità indipendente: tale ruolo viene affidato al Garante della Privacy, già presente in Italia dal 1996 in virtù della legge n. 675 del 31 dicembre 1996 (nota anche come legge sulla privacy).

Il Diritto alla Protezione dei Dati Personali

La Carta di Nizza non è la prima normativa a introdurre il concetto di diritto alla privacy: al contrario, si potrebbe dire che il suo testo abbia raccolto e integrato una serie di regolamentazioni adottate da molti stati europei nel corso degli anni 70, 80 e 90 a seguito dell’esperienza dei regimi totalitari del Novecento e al timore che i governi si dotassero di strumenti di controllo eccessivamente invasivi. Il limite comune a tutte queste formulazioni, come detto poc’anzi, consisteva nel concepire il diritto alla protezione dei dati personali come una fattispecie del rispetto della vita privata: a questa impostazione la Carta di Nizza oppone nuovo paradigma concettuale, volto a superare tale relazione gerarchica creando un diritto distinto e separato. Il nuovo approccio ha il principale vantaggio di garantire agli individui un livello superiore di tutela nel momento in cui diventano i diretti interessati di una attività di trattamento dei loro dati personali.

Un’altra direttiva che ha giocato un ruolo estremamente importante per il conseguimento di questo importante risultato è la Data Protection Directive (CE 95/46), entrata in vigore nel dicembre 1995 e rimasta in vigore fino all’arrivo del GDPR: si tratta di un interessante esperimento, operato dalla comunità europea, di declinare il concetto, estremamente vago, espresso nell’articolo 8 dell’ European Convention on Human Rights (ECHR):

Article 8 – Right to respect for private and family life

 

1. Everyone has the right to respect for his private and family life, his home and his correspondence.

 

2. There shall be no interference by a public authority with the exercise of this right except such as is in accordance with the law and is necessary in a democratic society in the interests of national security, public safety or the economic well-being of the country, for the prevention of disorder or crime, for the protection of health or morals, or for the protection of the rights and freedoms of others.

La Data Protection Directive rappresenta bene le difficoltà della comunità europea di tutelare i dati personali nel corso del tempo, parallelamente ai progressi tecnologici raggiunti da una società sempre più orientata allo sviluppo delle tecnologie delle informazioni e delle comunicazioni: il progressivo avvento di Internet rese evidente l’inadeguatezza del testo normativo nel giro di pochi anni, spingendo l’UE ad ampliare l’ambito di applicazione ai nuovi sistemi di comunicazione elettronica nel luglio 2002, con la Direttiva 2002/58/CE. Tale direttiva coincide con la presa di coscienza del legislatore rispetto alla necessità di adeguare periodicamente le leggi poste a tutela dei diritti degli interessati rispetto al trattamento dei dati personali in un contesto reso mutevole dalla costante e progressiva creazione, introduzione ed evoluzione delle nuove tecnologie.

Data Retention

La tutela dei dati personali si complica ulteriormente a seguito dei gravissimi fatti dell’11 settembre 2001, che portano gli Stati UE a interrogarsi sulla necessità impellente di dotarsi di misure atte a prevenire e combattere i crimini terroristici. Lo scenario mondiale, dominato dalla paura e da ulteriori attacchi, favorisce la rapida promulgazione di nuove leggi dal contenuto altamente restrittivo, a cominciare dall’Anti-Terrorism, Crime and Security Act approvato dal parlamento inglese nel dicembre 2001 (il testo completo è consultabile qui). E’ a partire da questo documento che comincia a farsi strada il concetto di Data Retention, menzionato all’interno della Part 11 – Retention of Communications Data:

(1) The Secretary of State shall issue, and may from time to time revise, a code of practice relating to the retention by communications providers of communications data obtained by or held by them.

 

[…]

 

(5) A code of practice or agreement under this section which is for the time being in force shall be admissible in evidence in any legal proceedings in which the question arises whether or not the retention of any communications data is justified on the grounds that a failure to retain the data would be likely to prejudice national security, the prevention or detection of crime or the prosecution of offenders.

La Direttiva 2006/24/CE

Il concetto di Data Retention, inteso come l’obbligo alla conservazione di dati personali per finalità di contrasto di reati gravi, trova un’ulteriore formalizzazione normativa nel 2006, in conseguenza dell’approvazione della controversa Data Protection Directive (2006/24/CE). Tale Direttiva, rimasta in vigore fino all’8 aprile 2014 (vedi sotto), integra e modifica la precedente e summenzionata 2002/58/CE negli aspetti inerenti la conservazione di dati generati ovvero trattati nell’ambito della fornitura di servizi di comunicazione elettronica accessibili al pubblico o di reti pubbliche di comunicazione. Il testo introduce un principio di obbligatorietà della Data Retention per i provider di servizi nell’Articolo 3 – Obbligo di conservazione dei dati:

1. In deroga agli articoli 5, 6 e 9 della direttiva 2002/58/CE, gli Stati membri adottano misure per garantire che i dati di cui all’articolo 5 della presente direttiva, qualora siano generati o trattati nel quadro della fornitura dei servizi di comunicazione interessati, da fornitori di servizi di comunicazione elettronica accessibili al pubblico o di una rete pubblica di comunicazione nell’ambito della loro giurisdizione, siano conservati conformemente alle disposizioni della presente direttiva.

 

2. L’obbligo di conservazione stabilito al paragrafo 1 comprende la conservazione dei dati specificati all’articolo 5 relativi ai tentativi di chiamata non riusciti dove tali dati vengono generati o trattati e immagazzinati (per quanto riguarda i dati telefonici) oppure trasmessi (per quanto riguarda i dati Internet) da parte dei fornitori di servizi di comunicazione elettronica accessibili al pubblico oppure di una rete pubblica di comunicazione nell’ambito della giurisdizione dello Stato membro interessato nel processo di fornire i servizi di comunicazione interessati. La presente direttiva non richiede la conservazione dei dati per quanto riguarda le chiamate non collegate.

L’accesso ai suddetti dati viene regolamentato nell’Articolo 4, ampliando di fatto le prerogative delle autorità nazionali competenti:

Gli Stati membri adottano misure per garantire che i dati conservati ai sensi della presente direttiva siano trasmessi solo alle autorità nazionali competenti, in casi specifici e conformemente alle normative nazionali. Le procedure da seguire e le condizioni da rispettare per avere accesso ai dati conservati in conformità dei criteri di necessità e di proporzionalità sono definite da ogni Stato membro nella legislazione nazionale, con riserva delle disposizioni in materia del diritto dell’Unione europea o del diritto pubblico internazionale e in particolare della CEDU, secondo l’interpretazione della Corte europea dei diritti dell’uomo.

Il periodo di conservazione dei suddetti dati e le misure di sicurezza da applicare per la protezione degli stessi sono normati dagli articoli 7 e 8, che introducono una serie di aspetti di Data Security di chiara influenza anglosassone ponendo l’accento sulla necessità di dotarsi di adeguate misure tecniche e organizzative, di una access control list e di un rudimentale concetto di data destruction al termine del periodo di conservazione – benché non ancora inquadrato in un contesto procedurale adeguato.

In estrema sintesi, la Direttiva 2006/24/CE  introduce l’obbligo da parte dei fornitori di servizi di comunicazione elettronica di conservare i dati raccolti per un periodo da sei mesi a due anni. Una esigenza fortemente voluta dalle autorità investigative, ma che appare fin da subito in aperto contrasto con i diritti dei cittadini.

Il ruolo della Corte di Giustizia dell’Unione Europea

La sostanziale inadeguatezza della Direttiva 2006/24/CE fu prontamente notata dalla Corte di Giustizia dell’Unione Europea, che trovò non poche difficoltà a conciliare quanto previsto dalla direttiva con i diritti sanciti dalla Carta di Nizza: al tempo stesso, furono proprio le interpretazioni date dalla CGUE a quanto previsto dalla 2006/24/CE a mettere il legislatore Europeo in condizione di individuare un percorso che consentisse alle autorità degli Stati membri di svolgere le opportune attività di controllo sulle comunicazioni, tutelando nel contempo i diritti e le libertà individuali: in altre parole, la CGUE giocò un ruolo fondamentale nell’elaborazione della normativa attuale.

Sentenza “Digital Rights Ireland” e Principio di Proporzionalità

Tra gli episodi più emblematici che mostrano il fondamentale contributo apportato dalla CGUE all’evoluzione dei diritti civili nell’era digitale è dato dal ricorso effettuato nel 2012 dalla ONG irlandese Digital Rights Ireland contro le misure di adeguamento della Data Retention Directive adottate dal governo irlandese. Il caso si è chiuso l’8 aprile 2014 con una sentenza sorprendente, nella quale la CGUE ha dichiarato illegittima la Data Retention Directive, sancendone di fatto l’abrogazione. I rilievi effettuati dalla CGUE evidenziarono come la direttiva costituisse una minaccia per i diritti alla vita privata e alla protezione dei dati personali da parte delle forze dell’ordine degli Stati membri: nello specifico, le modalità di trattamento non erano effettuate in presenza di garanzie sufficienti a tutela dell’interessato, violando così il principio di proporzionalità. Un ulteriore tassello, dunque, che sarebbe di lì a poco andato ad aggiungersi al nuovo regolamento.

Sentenza “Google Spain” e Diritto all’Oblio

Un’altra pietra portante dell’attuale GDPR è stata messa sempre dalla CGUE il 13 maggio 2014 con la sentenza Google Spain, all’interno della quale si fa riferimento per la prima volta a quello che poi diventerà noto come diritto all’oblio, ovvero la possibilità di richiedere a un provider di servizi (in questo caso un motore di ricerca) la cancellazione dei propri dati nel caso in cui la loro conservazione non sia più ritenuta necessaria o in caso di revoca del consenso al trattamento:

3) Gli articoli 12, lettera b), e 14, primo comma, lettera a), della direttiva 95/46 devono essere interpretati nel senso che, al fine di rispettare i diritti previsti da tali disposizioni, e sempre che le condizioni da queste fissate siano effettivamente soddisfatte, il gestore di un motore di ricerca è obbligato a sopprimere, dall’elenco di risultati che appare a seguito di una ricerca effettuata a partire dal nome di una persona, dei link verso pagine web pubblicate da terzi e contenenti informazioni relative a questa persona, anche nel caso in cui tale nome o tali informazioni non vengano previamente o simultaneamente cancellati dalle pagine web di cui trattasi, e ciò eventualmente anche quando la loro pubblicazione su tali pagine web sia di per sé lecita.

Verso il GDPR

Il 1 dicembre 2009 entra in vigore il Trattato di Lisbona, che – tra le altre cose – attribuisce alla Carta di Nizza il medesimo valore giuridico dei trattati a livello comunitario: in conseguenza di questo, la tutela dei diritti fondamentali – tra cui quello alla protezione dei dati personali  – diventa un principio autonomo e giuridicamente applicabile presso tutti gli stati membri. Questo importante traguardo convince il legislatore europeo della necessità di adottare un regolamento comune, abbandonando la prassi precedente che prevedeva l’attuazione delle direttive UE mediante leggi ad-hoc stabilite entro i confini singoli paesi.

Intorno al 2012 ha così inizio un lungo progetto di riforma, che si pone l’obiettivo di fornire una base normativa comunitaria che tuteli i diritti degli interessati in materia di protezione dei dati personali secondo principi e attraverso modalità uguali in tutta l’Unione Europea. Il processo, fortemente influenzato dalla bocciatura della Direttiva 2006/24/CE da parte della CGUE e dalle successive sentenze della Corte a tutela delle libertà individuali e dei dati personali degli interessati, termina il 14 aprile 2016 con l’approvazione del Regolamento UE 2016/679, noto anche come General Data Protection Regulation o GDPR.

Per un elenco approfondito dei cambiamenti introdotti dalla nuova normativa rimandiamo all’articolo GDPR: cos’è, cosa cambia, come agire: in questa sede, per ragioni di spazio, ci limiteremo a riassumere i quattro ambiti principali:

    • Nuovi diritti per l’interessato: vengono finalmente codificati il diritto all’oblio, il diritto all’accesso e il diritto alla portabilità dei dati; viene inoltre maggiormente chiarito il diritto di informazione rispetto alle azioni intraprese e alle garanzie poste in atto da chi raccoglie ed elabora i dati, con possibilità da parte dell’interessato di poter limitare o revocare il proprio consenso al trattamento. A tal proposito, il regolamento chiarisce che la revoca del consenso deve poter essere effettuata con le medesime modalità e con la stessa semplicità con la quale questo è stato fornito in precedenza.
    • Nuovi obblighi per Titolari e Responsabili: a questi ultimi viene richiesto di mettere in atto una serie di misure volte a proteggere i dati attraverso misure tecniche adeguate e appositi registri, assumendo su se stessi l’onere della prova – ovvero la necessità di dover dimostrare di operare in modo conforme alla normativa in caso di controlli o segnalazioni.
    • Istituzione della figura del Data Protection Officer (DPO): al fine di assistere il Titolare nell’espletamento delle sue nuove funzioni è prevista, per i casi dove sussistono trattamenti su larga scala, la nomina obbligatoria di una nuova figura professionale, il Responsabile della Protezione dei Dati (RDP o DPO): una figura contraddistinta da un elevato livello di indipendenza e che non può ricoprire altri ruoli aziendali che possano metterlo in una condizione di conflitto di interesse, alla quale spetta il compito di controllare le attività effettuate in ambito privacy, fornire consigli sulle strategie da adottare e interagire con il Garante nei casi previsti dal Regolamento (es. Data Breach). Per maggiori dettagli sulla figura del DPO, consigliamo di leggere l’articolo DPO: Mansioni, Tariffe e Calcolo dei Compensi.
    • Rafforzamento delle Autorità Nazionali: il Garante della Privacy degli stati membri, in qualità di Autorità di Controllo (art. 51), sarà dotato di poteri più specifici, potrà comminare delle sanzioni anche molto elevate in caso di mancato rispetto del Regolamento e potrà essere contattato direttamente dagli interessati in caso di violazione dei propri diritti; potrà inoltre contare su un nuovo organo di coordinamento comunitario, il Comitato Europeo per la Protezione dei Dati (art. 60), che avrà il compito di risolvere eventuali controversie tra le autorità di controllo nazionali mediante l’applicazione del Consistency MechanismMeccanismo di Coerenza (art. 64).

Conclusioni

Il GDPR è lungi dall’essere perfetto, specialmente in mancanza di un decreto di armonizzazione volto a integrare quanto previsto nei suoi articoli chiave con la ricca e articolata normativa pre-vigente del nostro paese. Al tempo stesso può essere considerato un apprezzabile esperimento, da parte del legislatore europeo, volto alla creazione di una serie di meccanismi di tutela e difesa del diritto alla protezione dei dati personali coerenti e uniformi a livello comunitario, cercando di restare al passo con i tempi in termini di innovazione tecnologica e responsabilizzando maggiormente governi, imprese e pubbliche amministrazioni.

Questo articolo fa parte di una serie di approfondimenti e riflessioni sul GDPR e sulle modalità di applicazione del Nuovo Regolamento Europeo della Protezione dei Dati in Italia, con focus specifico sulla compliance rispetto alla normativa previgente in materia civile e penale. Leggi gli altri articoli.

 

RELATED POSTS

About Ryan

IT Project Manager, Web Interface Architect e Lead Developer di numerosi siti e servizi web ad alto traffico in Italia e in Europa. Dal 2010 si occupa anche della progettazione di App e giochi per dispositivi Android, iOS e Mobile Phone per conto di numerose società italiane.

View all posts by Ryan