Press conference by Viviane Reding on the Data Protection Proposal

Giovedì 17 Ottobre 2013
(da www.frattallone.it)

Il 25.01.2012 la Commissione europea ha formalizzato la propria proposta volta all'adozione di nuova normativa in materia di data protection, che dovrebbe avere la veste di "Regolamento", anziché - come accadde in passato - di "Direttiva": l'uno difatti è di per sé immediatamente applicabile in tutti i 28 stati dell'Unione (da quando fu fondata nel 1957, l'UE è passata da 6 Paesi membri a 28, con l'adesione della Croazia il 1° luglio 2013), mentre l'altra richiede, di regola, di venire formalmente recepita in ciascun singolo Stato membro dell'UE.

Per la Commissione, "l’applicabilità diretta di un regolamento ai sensi dell’art. 288 del TFUE ridurrà la frammentazione giuridica e offrirà maggiore certezza giuridica grazie all’introduzione di una serie di norme di base armonizzate", anche perché "i dati personali sono trasferiti attraverso le frontiere nazionali, sia interne che esterne, ad un ritmo sempre crescente".
Senza dubbio si tratterebbe, ove la proposta della Commissione andasse in porto, d'una novità d'assoluto rilievo: sta di fatto che l'approvazione definitiva del nuovo "regolamento privacy" potrebbe aver luogo a Bruxelles già nel gennaio 2014.

Dal punto di vista giuridico, si verificherebbe un (articolato) fenomeno di successioni di leggi nel tempo, con ovvie conseguenze sul diritto sostanziale applicabile in Italia ed inevitabili ripercussioni sui processi in corso: detto regolamento europeo, infatti, andrebbe a sostituirsi all'attuale Codice Privacy.
Tra le innovazioni degne di nota con cui dovremo misurarci si segnala l'obbligo di designare un "Responsabile della protezione dei dati" (il c.d. "privacy officer"), che graverà, ai sensi degli artt. 35-36-37 della "proposta", su tutte le pubbliche amministrazioni e le aziende che, stando a quanto sinora emerso, avranno più di 250 dipendenti e/o anche a quelle che (in forza di un emendamento in discussione al parlamento europeo) trattano con modalità elettroniche i dati personali di più di 500 "interessati", ad evitare che piccole realtà con cospicui data-base gestiti da pochi impiegati possano sfuggire alle maglie strette della privacy. Quella del "privacy officer", dunque, sarà un ruolo determinante della normativa europea sulla data protection.
Di sicuro interesse anche le previsioni di cui all'art. 73 della "proposta", di riconoscere in capo a ciascun cittadino il diritto di presentare un reclamo presso un’autorità di controllo nonché di proporlo a cura di organismi, organizzazioni o associazioni (che agiscano per conto dell’interessato, a prescindere dal reclamo formulato direttamente dall’interessato) e di cui all'art. 74 per ciò che attiene al diritto di proporre un ricorso giurisdizionale avverso un’autorità controllo sulla privacy, come pure per quanto contemplato agli artt. 75 e segg. (in tema di risarcimento danni, illeciti amministrativi, etc.).
Quanto alla c.d. "base giuridica", la suddetta proposta della Commissione si fonda sull’art. 16 del TFUE, in forza del Trattato di Lisbona, il che consente di stabilire le norme relative alla protezione delle persone fisiche con riguardo al trattamento dei dati di carattere personale da parte degli Stati membri, nell’esercizio di attività che rientrano nel campo di applicazione del diritto dell’Unione, altresì adottando a livello comunitario norme relative alla libera circolazione di dati personali, inclusi i dati personali trattati dagli Stati membri o da privati (con ridefinizione delle regole del trasferimento dei dati verso Paesi terzi, cfr. artt. 40/45 della "proposta").
Accanto all'ineundo regolamento, poi, la Commissione intende far adottare anche una vera e propria direttiva del Parlamento europeo e del Consiglio concernente la tutela delle persone fisiche con riguardo al trattamento dei dati personali da parte delle autorità competenti a fini di prevenzione, indagine, accertamento e perseguimento di reati o esecuzione di sanzioni penali, e la libera circolazione di tali dati: una normativa panpenalistica in materia di privacy, dunque.
La Commissione Ue ha contestualizzato la proposta - nell'ambito dell’Agenda digitale europea (cfr. COM(2010) 245 definitivo) e, più in generale, dell strategia Europa 2020 (cfr. COM(2010) 2020 definitivo), per le quali "la Commissione è giunta alla conclusione che l’UE ha bisogno di una politica più completa e coerente rispetto al diritto fondamentale alla protezione dei dati personali" - sul presupposto che "Incalzanti sviluppi tecnologici hanno allontanato le frontiere della protezione dei dati personali. La portata della condivisione e della raccolta di dati è aumentata in modo vertiginoso: la tecnologia attuale consente alle imprese private quanto alle autorità pubbliche di utilizzare dati personali, come mai in precedenza, nello svolgimento delle loro attività e, sempre più spesso, gli stessi privati rendono pubbliche sulla rete mondiale informazioni personali che li riguardano. Le nuove tecnologi e non hanno trasformato solo l’economia ma anche le relazioni sociali".
v'è quindi in atto un'irreversibile "riforma del quadro normativo dell’Unione così come la necessità di standard comuni per la protezione dei dati applicabili a livello mondiale".

In quest'intesa attività di studio e rilevazione va inserito anche la consultazione dei cittadini europei effettuata attraverso il sondaggio "Eurobarometro" del novembre-dicembre 2010 (Speciale Eurobarometro (EB) 359, Data Protection and Electronic Identity in the EU (2011)).

Questa dunque, in dettaglio, la spiegazione dettagliata della Proposta, avanzata dalla Commissione europea il 25.01.2012, dell'adozione - da parte del Parlamento Ue e del Consiglio - di un Regolamento concernente la tutela delle persone fisiche con riguardo al trattamento dei dati personalie la libera circolazione di tali dati (Regolamento generale sulla protezione dei dati).