Protezione dei dati personali

La protezione dei dati personali e il rispetto della vita privata sono diritti fondamentali importanti. Il Parlamento europeo ha sempre insistito sulla necessità di mantenere un approccio che concili il rafforzamento della sicurezza con la salvaguardia dei diritti umani, inclusa la protezione dei dati personali e della privacy. Le nuove norme dell'UE sulla protezione dei dati che rafforzano i diritti dei cittadini e semplificano le regole per le aziende nell'era digitale sono entrate in vigore nel maggio 2018.

Base giuridica

Articolo 16 del trattato sul funzionamento dell'Unione europea (TFUE).

Articoli 7 e 8 della Carta dei diritti fondamentali dell'Unione europea.

Obiettivi

L'Unione deve assicurare l'applicazione sistematica del diritto fondamentale alla protezione dei dati, sancito dalla Carta dei diritti fondamentali dell'Unione europea. In una società globale, caratterizzata da rapidi cambiamenti tecnologici, occorre rafforzare la posizione dell'UE in relazione alla protezione dei dati personali in tutte le politiche dell'Unione, anche nel contrasto e prevenzione della criminalità e nelle relazioni internazionali.

Risultati

A. Quadro istituzionale

1. Trattato di Lisbona

Prima dell'entrata in vigore del trattato di Lisbona, la legislazione in materia di protezione dei dati personali nello spazio di libertà, sicurezza e giustizia (SLSG) era divisa tra il primo pilastro (protezione dei dati a fini privati e commerciali, soggetta al metodo comunitario) e il terzo pilastro (protezione dei dati per scopi di ordine pubblico, con decisioni prese a livello intergovernativo). Di conseguenza, il processo decisionale seguiva due diversi insiemi di norme. La struttura a pilastri è venuta meno con il trattato di Lisbona, che fornisce una base più solida per lo sviluppo di un sistema di protezione dei dati più chiaro ed efficace, conferendo al contempo nuovi poteri al Parlamento europeo, che assume così il ruolo di colegislatore. Ai sensi dell'articolo 16 del TFUE, il Parlamento e il Consiglio stabiliscono le norme relative alla protezione delle persone fisiche in merito al trattamento dei dati di carattere personale da parte delle istituzioni, degli organi e delle agenzie dell'Unione, nonché da parte degli Stati membri, nell'esercizio delle attività che rientrano nel campo di applicazione del diritto dell'Unione.

2. Gli orientamenti strategici per lo spazio di libertà, sicurezza e giustizia

In seguito al programma di Tampere (ottobre 1999) e al programma dell'Aia (novembre 2004), nel dicembre 2009 il Consiglio europeo ha approvato il nuovo programma pluriennale per l'SLSG per il periodo 2010-2014, noto come programma di Stoccolma. Nelle conclusioni di giugno del 2014, il Consiglio europeo ha definito gli orientamenti strategici della programmazione legislativa e operativa per i prossimi anni nell'SLSG, a norma dell'articolo 68 del TFUE. Uno degli obiettivi principali è una migliore protezione dei dati personali nell'Unione europea.

B. Principali strumenti legislativi in materia di protezione dei dati

1. La Carta dei diritti fondamentali dell'Unione europea

Gli articoli 7 e 8 della Carta dei diritti fondamentali dell'Unione europea considerano il rispetto della vita privata e la protezione dei dati personali diritti fondamentali strettamente correlati, ma distinti.

2. Il Consiglio d'Europa

a. La Convenzione 108 del 1981

La Convenzione 108 del Consiglio d'Europa, del 28 gennaio 1981, sulla protezione delle persone in relazione al trattamento automatizzato dei dati di carattere personale, rappresenta il primo strumento internazionale giuridicamente vincolante adottato in materia di protezione dei dati. Il suo scopo è di garantire ad ogni persona fisica «il rispetto dei suoi diritti e delle sue libertà fondamentali e in particolare del suo diritto alla vita privata, in relazione all'elaborazione automatica dei dati a carattere personale che la riguardano». Il protocollo che modifica la Convenzione punta ad ampliarne l'ambito di applicazione, ad aumentare il livello di protezione dei dati e a migliorare la sua efficacia.

b. La Convenzione per la salvaguardia dei diritti dell'uomo e delle libertà fondamentali (CEDU)

L'articolo 8 della Convenzione europea per la salvaguardia dei diritti dell'uomo e delle libertà fondamentali del 4 novembre 1950 sancisce il diritto al rispetto della vita privata e familiare: «Ogni persona ha diritto al rispetto della propria vita privata e familiare, del proprio domicilio e della propria corrispondenza».

3. Strumenti legislativi dell'UE in materia di protezione dei dati

a. Regolamento generale sulla protezione dei dati (RGPD)

Il regolamento (UE) n. 2016/679 del Parlamento europeo e del Consiglio, del 27 aprile 2016, relativo alla protezione delle persone fisiche con riguardo al trattamento dei dati personali, nonché alla libera circolazione di tali dati, e che abroga la direttiva 95/46/CE (regolamento generale sulla protezione dei dati) è divenuto applicabile a maggio del 2018. Le norme mirano a proteggere tutti i cittadini dell'UE dalle violazioni della privacy e dei dati in un mondo sempre più basato sui dati, creando al contempo un quadro più chiaro e più coerente per le imprese. I diritti di cui godono i cittadini comprendono un consenso chiaro e affermativo per i loro dati da elaborare e il diritto di ricevere informazioni chiare e comprensibili su di esso; il diritto all'oblio: un cittadino può chiedere la cancellazione dei suoi dati; il diritto di trasferire dati a un altro fornitore di servizi (ad es. quando si passa da una rete sociale a un'altra); e il diritto di sapere quando i dati sono stati violati. Queste nuove norme si applicano a tutte le imprese che operano nell'Unione europea, anche se non sono basate nell'Unione. Inoltre, sarà possibile imporre misure correttive, come avvertenze e ordini, o multe, a imprese che violano le regole.

b. La direttiva sull'applicazione della legge sulla protezione dei dati

La direttiva (UE) 2016/680 del Parlamento europeo e del Consiglio, del 27 aprile 2016, relativa alla protezione delle persone fisiche con riguardo al trattamento dei dati personali, da parte delle autorità competenti a fini di prevenzione, indagine, accertamento e perseguimento di reati o esecuzione di sanzioni penali, nonché alla libera circolazione di tali dati e che abroga la decisione quadro 2008/977/GAI del Consiglio, è diventata applicabile a maggio del 2018. La direttiva tutela il diritto fondamentale dei cittadini alla protezione dei dati ogni volta che i dati personali vengono utilizzati dalle autorità di contrasto. Essa assicurerà che i dati personali di vittime, testimoni e indagati siano debitamente protetti e agevolerà la cooperazione transfrontaliera nella lotta contro la criminalità e il terrorismo.

c. Direttiva relativa alla vita privata e alle comunicazioni elettroniche

La Direttiva 2002/58/CE del Parlamento europeo e del Consiglio, del 12 luglio 2002, relativa al trattamento dei dati personali e alla tutela della vita privata nel settore delle comunicazioni elettroniche (direttiva relativa alla vita privata e alle comunicazioni elettroniche), è stata modificata dalla direttiva 2009/136/CE del 25 novembre 2009.

La nuova Proposta di regolamento del Parlamento europeo e del Consiglio relativa al rispetto della vita privata e alla tutela dei dati personali nelle comunicazioni elettroniche e che abroga la direttiva 2002/58/CE (regolamento sulla vita privata e le comunicazioni elettroniche) è attualmente all'esame.

d. Regolamento sul trattamento dei dati personali da parte delle istituzioni e degli organismi dell'Unione.

Il regolamento (UE) n. 2018/1725 del Parlamento europeo e del Consiglio, del 23 ottobre 2018, sulla tutela delle persone fisiche in relazione al trattamento dei dati personali, da parte delle istituzioni, degli organi e degli organismi dell'Unione e sulla libera circolazione di tali dati, e che abroga il regolamento (CE) n. 45/2001 e la decisione n. 1247/2002/CE, è entrato in vigore l'11 dicembre 2018.

e. Articoli sulla protezione dei dati negli atti legislativi settoriali

Oltre ai principali atti legislativi sulla protezione dei dati di cui sopra, disposizioni specifiche in materia di protezione dei dati sono stabilite anche in atti legislativi settoriali, quali:

  • l'articolo 13 (protezione dei dati personali ) della direttiva (UE) 2016/681, del Parlamento europeo e del Consiglio, del 27 aprile 2016, sull'uso dei dati del codice di prenotazione (PNR) a fini di prevenzione, accertamento, indagine e azione penale nei confronti dei reati di terrorismo e dei reati gravi;
  • il capo VI (garanzie in materia di protezione dei dati) del regolamento (UE) 2016/794 del Parlamento europeo e del Consiglio, dell' 11 maggio 2016, che istituisce l'Agenzia dell'Unione europea per la cooperazione nell'attività di contrasto (Europol);
  • il capo VIII (protezione dei dati) del regolamento (UE) 2017/1939 del Consiglio, del 12 ottobre 2017, relativo all'attuazione di una cooperazione rafforzata sull'istituzione della Procura europea («EPPO»).

4. I principali accordi internazionali dell'UE in materia di trasferimenti di dati

a. Trasferimenti di dati commerciali: decisioni di adeguatezza

Ai sensi dell'articolo 45 del regolamento generale sulla protezione dei dati, la Commissione ha il potere di determinare se un paese al di fuori dell'UE offra un livello adeguato di protezione dei dati, in base alla sua legislazione nazionale o agli impegni internazionali da essa sottoscritti.

Il Parlamento ha adottato diverse risoluzioni che sollevano preoccupazioni riguardo ai flussi di dati transatlantici.

b. Accordo quadro UE-USA:

Nell'ambito della procedura di approvazione, il Parlamento ha partecipato all'approvazione dell'accordo tra gli Stati Uniti e l'UE sulla protezione delle informazioni personali a fini di prevenzione, indagine, accertamento e perseguimento di reati, noto anche come «accordo quadro». L'obiettivo è quello di assicurare un elevato grado di protezione dei dati personali trasferiti nel quadro della cooperazione transatlantica, nella lotta al terrorismo e alla criminalità organizzata.

c. Accordi UE-USA, UE-Australia e UE-Canada sul codice di prenotazione (PNR)

L'UE ha firmato con gli Stati Uniti, l'Australia e il Canada accordi bilaterali sul codice di prenotazione (PNR). I dati del PNR comprendono le informazioni fornite dai passeggeri quando prenotano i voli o si procurano la carta d'imbarco, e i dati raccolti dai vettori aerei a soli fini commerciali. I dati del PNR possono essere utilizzati dalle autorità di contrasto per combattere le forme gravi di criminalità e il terrorismo.

d. Programma di controllo UE-USA delle transazioni finanziarie dei terroristi (TFTP)

L'UE ha firmato un accordo bilaterale con gli Stati Uniti sul trattamento e il trasferimento dei dati di messaggistica finanziaria dall'UE agli Stati Uniti, ai fini del programma di controllo delle transazioni finanziarie dei terroristi.

5. Affrontare gli aspetti della protezione dei dati nelle risoluzioni settoriali

Diverse risoluzioni del Parlamento su vari settori riguardano anche la protezione dei dati personali, al fine di garantire la coerenza con il diritto generale dell'UE in materia di protezione dei dati e con la tutela della vita privata in tali settori specifici.

6. Autorità di controllo della protezione dei dati dell'UE

Il garante europeo per la protezione dei dati (GEPD) è un'autorità di controllo indipendente il cui ruolo consiste nel garantire che le istituzioni e gli organi dell'UE adempiano ai loro obblighi in materia di protezione dei dati. Le principali funzioni del GEPD sono il controllo, la consultazione e la cooperazione.

Il comitato europeo per la protezione dei dati (CEPD), ex gruppo di lavoro articolo 29, ha lo status di un organismo dell'UE dotato di personalità giuridica e dispone di un segretariato indipendente. È composto da rappresentanti delle autorità di controllo nazionali, del GEPD e della Commissione. L'EDPB dispone di ampi poteri per risolvere le controversie tra le autorità di vigilanza nazionali e fornire consulenza e orientamento sui concetti chiave del GDPR e sulla direttiva sull'applicazione della legge sulla protezione dei dati.

Ruolo del Parlamento europeo

Il Parlamento ha svolto un ruolo fondamentale nella definizione della legislazione dell'UE in materia di protezione dei dati personali, rendendo la protezione della vita privata una priorità politica. Inoltre, secondo la procedura legislativa ordinaria, il Parlamento ha lavorato alla riforma della protezione dei dati su un piano di parità con il Consiglio. Esso ha inoltre concluso i lavori sull'ultimo, significativo elemento del puzzle, il nuovo regolamento sulla privacy e le comunicazioni elettroniche, e attende con urgenza che il Consiglio concluda i propri lavori per avviare i negoziati.

Il Parlamento ha seguito da vicino gli accordi internazionali sui trasferimenti di dati. Sia attraverso la procedura di approvazione, che per il tramite di relazioni di iniziativa, esso ha fatto in modo di far sentire la propria voce. Inoltre, come previsto dall'articolo 218, paragrafo 1 del TFUE, prima di votare l'accordo sul PNR UE-Canada, in una risoluzione del 25 novembre 2014, il Parlamento ha deciso di chiedere il parere della Corte di giustizia, come disposto dall'articolo 218, paragrafo 1, del TFUE. In tale parere conseguente, emesso il 26 luglio 2017, la Corte ha constatato che l'accordo sul PNR non poteva essere concluso nella sua forma attuale perché molte delle sue disposizioni erano incompatibili con il diritto fondamentale alla protezione dei dati personali.

Dopo aver assicurato che le norme dell'UE in materia di protezione dei dati sono state attuate correttamente, molto probabilmente il Parlamento sposterà l'attenzione sulla necessità di monitorare l'attuazione della legislazione.

 

Kristiina Milt