Parlamento Europeo e Privacy: verso una nuova normativa

Il 22 giugno 2001 la Commissione per le libertà civili, la giustizia e gli affari interni del Parlamento Europeo ha approvato una proposta di risoluzione “su un approccio globale alla protezione dei dati personali nell’Unione europea” (2011/2025(INI)). La normativa vigente si basa sulla direttiva 95/46/CE del Parlamento europeo e del Consiglio, del 24 ottobre 1995, relativa alla tutela delle persone fisiche con riguardo al trattamento dei dati personali, nonché alla libera circolazione di tali dati.

Della Direttiva del 1995 restano validi gli obiettivi della tutela dei diritti e delle libertà fondamentali, quindi anche il diritto alla protezione dei dati, e la libera circolazione delle informazioni.

Tuttavia appare inadeguata ad affrontare una rete basata sul web 2.0, i social network, gli smartphone.

Inoltre la Direttiva del 1995 è stata attuata in modo scoordinato tra i vari Stati dell’Unione Europea, con una produzione di leggi che hanno reso difficile adeguarsi da parte delle aziende europee.

Il Parlamento fa propria la comunicazione della Commissione (presentata nel novembre 2010) su un approccio globale alla protezione dei dati personali nell’Unione europea (UE) per rispondere alle nuove sfide che derivano dall’affermarsi delle nuove tecnologie e dal loro impatto, dalla globalizzazione e dal rapido sviluppo di Internet, fino alla necessità di migliorare l’applicazione delle norme in materia di protezione dei dati per i cittadini europei.

Gli sviluppi degli ultimi 15 anni dimostrano che l’era digitale incide ormai sull’economia, le strategie di sicurezza, le comunicazioni, le responsabilità di Stato e su tutti gli aspetti della quotidianità. Si tratta di una rivoluzione che rende inconcepibile un mondo in cui non vi sia la raccolta, la conservazione, il trattamento e la condivisione di dati.

Sino a qualche anno fa i cittadini dovevano essere protetti dall’abuso dei loro dati personali da parte dello Stato.

Ora la loro privacy è messa a rischio anche da attori privati o persino dal loro stesso comportamento incauto, di cui altri possono approfittare.

ENISA, l’Agenzia per la “sicurezza informatica” dell’UE ha pubblicato nel gennaio 2010 un sondaggio relativo alla privacy, sicurezza, fiducia, la reputazione, il monitoraggio, i meccanismi di accountability consenso distribuito in servizi on-line e uno studio sulle questioni legate alla sicurezza e alla privacy riguardanti i nuovi tipi di “cookies” online.

In questo senso si mettono in rilievo le seguenti necessità:

1. Fare opera di sensibilizzazione e istruire, in modo particolare i minori, sull’uso ragionevole delle tecnologie. I cittadini devono essere consapevoli delle tracce digitali che lasciano e delle possibili conseguenze. Per esempio occorre comprendere che sul web esiste una regola aurea: nel momento in cui non si paga per quello che si vede sulla pagina virtuale, in realtà avviene uno scambio occulto di parti di identità personale.

Attraverso Flash e Javascript è possibile acquisire dal computer che sta visitando un sito commerciale (e non solo) i comportamenti dell’utente.

Addirittura con i “local shared object” (LSO), cioè i cookie di flash, che vengono sfruttati per effettuare ricerche di mercato tracciando gli utenti, sino alla recente versione di Flash Player 10.3.181.14 erano rimovibili solo attraverso una procedura complessa che obbligava a collegarsi ad un URL indicato da Adobe.

Attualmente è possibile mettere il puntatore del mouse su un contenuto Flash, cliccare con il tasto destro e selezionare Impostazioni globali/tab memorizzazione/elimina tutto, per accedere alla rimozione dei LSO.

2. Identificare i modi per aumentare la protezione dei dati senza ostacolare la funzionalità di Internet e senza imporre nuovi oneri burocratici e finanziari alle aziende. Una rete Internet sicura e in espansione rappresenta un vantaggio sia per le aziende che per i consumatori.

3. Identificare i modi per tutelare la privacy senza proteggere le attività criminali o creare nuove opportunità per commettere reati (Cybercrime).

La cosiddetta quadratura del cerchio per addivenire ad una nuova normativa deve trovare un equilibrio fra la libertà individuale (libertà di scelta e di autonomia privata), la necessità di mantenere la sicurezza interna ed esterna, il diritto all’autodeterminazione informativa e il diritto alla privacy.

E tale equilibrio deve fondarsi sull’idea che uno scambio di dati efficace e rapido è indispensabile per garantire la sicurezza a livello nazionale e mondiale. Tale scambio può consentire allo Stato di garantire tutti gli altri diritti fondamentali e adempiere a tutte le necessarie mansioni amministrative.

Un punto fondamentale è riuscire a fare in modo che le norme dell’UE in materia di protezione dei dati siano applicabili e vincolanti per tutti i cittadini dell’Unione, a prescindere dalla possibile collocazione della società o del server interessati.

Sono cinque i settori che meritano particolare attenzione:

  1. rafforzare i diritti delle persone;
  2. rafforzare la dimensione “mercato interno”;
  3. rivedere le norme nell’ambito della cooperazione di polizia e giudiziaria in materia penale;
  4. rafforzare l’assetto istituzionale per un’applicazione effettiva delle norme di protezione dei dati;
  5. rafforzare la dimensione globale della protezione dei dati.

Inoltre, in linea con la valutazione del Garante europeo della protezione dei dati (GEPD), è fondamentale considerare due questioni basilari:

  • la protezione deve essere efficace, certa in ogni circostanza ed essere indipendente rispetto alle maggioranze politiche di un determinato periodo;
  • il quadro deve essere stabile sul lungo periodo e qualora sia necessario porre dei limiti all’esercizio del diritto, deve trattarsi di casi eccezionali, debitamente giustificati e che non incidono mai sugli elementi fondamentali del diritto stesso.

Gli Stati Membri dell’UE avevano l’obbligo di rispettare la deadline per trasformare in legge nazionale la Direttiva 2009/136/CE (che a sua volta aggiorna le Direttive 2002/58/CE e 2002/22/CE e il Regolamento CE 2006/2004 ) entro il 25 maggio 2011. La direttiva evidenzia la necessità di avere un consenso valido da parte dell’utente e che gli utenti ricevano informazioni chiare e in anticipo relativa a qualsiasi attività di tracciamento da parte di un sito.

Ma il termine per attuare la direttiva in questione, soprannominata Cookie Law, su 27 Paesi dell’UE è stato rispettato solo da Estonia, Danimarca e (con un ritardo di qualche giorno) Regno Unito.