Protezione dei dati personali  

La protezione dei dati personali e il rispetto della vita privata sono diritti fondamentali importanti. Il Parlamento europeo ha sempre insistito sulla necessità di mantenere un approccio che concili il rafforzamento della sicurezza con la salvaguardia dei diritti umani, inclusa la protezione dei dati personali e della privacy. Le nuove norme dell'UE sulla protezione dei dati che rafforzano i diritti dei cittadini e semplificano le regole per le aziende nell'era digitale sono entra'te in vigore nel maggio 2018.

Base giuridica  

Articolo 16 del trattato sul funzionamento dell'Unione europea (TFUE).

Articoli 7 e 8 della Carta dei diritti fondamentali dell'Unione europea.

Obiettivi  

L'Unione deve assicurare l'applicazione sistematica del diritto fondamentale alla protezione dei dati, sancito dalla Carta dei diritti fondamentali dell'Unione europea. In una società caratterizzata da rapidi cambiamenti tecnologici, occorre rafforzare la posizione dell'UE in relazione alla protezione dei dati personali in tutte le politiche dell'Unione, anche nel contrasto e prevenzione della criminalità e nelle relazioni internazionali.

Risultati  

A. Quadro istituzionale

1. Trattato di Lisbona

Prima dell'entrata in vigore del trattato di Lisbona, la legislazione in materia di protezione dei dati personali nello spazio di libertà, sicurezza e giustizia (SLSG) era divisa tra il primo pilastro (protezione dei dati a fini privati e commerciali, soggetta al metodo comunitario) e il terzo pilastro (protezione dei dati per scopi di ordine pubblico, con decisioni prese a livello intergovernativo). Di conseguenza, il processo decisionale seguiva due diversi insiemi di norme. La struttura a pilastri è venuta meno con il trattato di Lisbona, che fornisce una base più solida per lo sviluppo di un sistema di protezione dei dati più chiaro ed efficace, conferendo al contempo nuovi poteri al Parlamento europeo, che assume così il ruolo di colegislatore. Ai sensi dell'articolo 16 del TFUE, il Parlamento e il Consiglio stabiliscono le norme relative alla protezione delle persone fisiche in merito al trattamento dei dati di carattere personale da parte delle istituzioni, degli organi e delle agenzie dell'Unione, nonché da parte degli Stati membri nell'esercizio delle attività che rientrano nel campo di applicazione del diritto dell'Unione.

2. Gli orientamenti strategici per lo spazio di libertà, sicurezza e giustizia

In seguito al programma di Tampere (ottobre 1999) e al programma dell'Aia (novembre 2004), nel dicembre 2009 il Consiglio europeo ha approvato il nuovo programma pluriennale per l'SLSG per il periodo 2010-2014: Nelle conclusioni di giugno del 2014 il Consiglio europeo ha definito gli orientamenti strategici della programmazione legislativa e operativa per i prossimi anni nell'SLSG, a norma dell'articolo 68 del TFUE. Uno degli obiettivi principali è una migliore protezione dei dati personali nell'Unione europea. Una revisione intermedia degli orientamenti è iniziata nel 2017.

B. Principali strumenti legislativi in materia di protezione dei dati

1. La Carta dei diritti fondamentali dell'Unione europea

Gli articoli 7 e 8 della Carta dei diritti fondamentali dell'Unione europea considerano il rispetto della vita privata e la protezione dei dati personali diritti fondamentali strettamente correlati ma distinti. La Carta è incorporata nel trattato di Lisbona ed è giuridicamente vincolante per l'Unione (le sue istituzioni e i suoi organi) e per gli Stati membri in sede di attuazione del diritto dell'UE.

2. Il Consiglio d'Europa

a. La Convenzione 108 del 1981

La Convenzione 108 del Consiglio d'Europa, del 28 gennaio 1981, sulla protezione delle persone in relazione al trattamento automatizzato dei dati di carattere personale, rappresenta il primo strumento internazionale giuridicamente vincolante adottato in materia di protezione dei dati. Il suo scopo è di «garantire [...] ad ogni persona fisica [...] il rispetto dei suoi diritti e delle sue libertà fondamentali e in particolare del suo diritto alla vita privata, in relazione all'elaborazione automatica dei dati a carattere personale che la riguardano».

b. La Convenzione per la salvaguardia dei diritti dell'uomo e delle libertà fondamentali (CEDU)

L'articolo 8 della Convenzione europea per la salvaguardia dei diritti dell'uomo e delle libertà fondamentali del 4 novembre 1950 sancisce il diritto al rispetto della vita privata e familiare: «Ogni persona ha diritto al rispetto della propria vita privata e familiare, del proprio domicilio e della propria corrispondenza».

3. Strumenti legislativi dell'UE in materia di protezione dei dati

Come conseguenza della vecchia struttura a pilastri, la protezione dei dati a livello dell'UE è stata regolamentata da vari strumenti legislativi. Tra questi figurano gli ex strumenti del primo pilastro, come la direttiva 95/46/CE sulla protezione dei dati (sostituita dal regolamento generale sulla protezione dei dati nel maggio del 2018), la direttiva 2002/58/CE sull'e-privacy (modificata nel 2009; nuova proposta attualmente all'esame), la direttiva 2006/24/CE sulla conservazione dei dati (dichiarata invalida dalla Corte di giustizia dell'Unione europea l'8 aprile 2014 a causa delle gravi interferenze con la vita privata e la protezione dei dati personali) e il regolamento (CE) n. 45/2001 sul trattamento dei dati personali da parte delle istituzioni e degli organismi comunitari (nuova proposta attualmente all'esame) nonché strumenti dell'ex terzo pilastro, come la decisione quadro del Consiglio 2008/977/GAI del 27 novembre 2008 sulla protezione dei dati personali trattati nell'ambito della cooperazione giudiziaria e di polizia in materia penale (sostituita dalla direttiva sulla protezione dei dati in materia di applicazione della legge nel maggio del 2018).

a. Regolamento generale sulla protezione dei dati (RGPD)

Il regolamento (UE) n. 2016/679 del Parlamento europeo e del Consiglio, del 27 aprile 2016, relativo alla protezione delle persone fisiche con riguardo al trattamento dei dati personali, nonché alla libera circolazione di tali dati e che abroga la direttiva 95/46/CE (regolamento generale sulla protezione dei dati) è divenuto applicabile a maggio del 2018. Le norme mirano a proteggere tutti i cittadini dell'UE dalle violazioni della privacy e dei dati in un mondo sempre più basato sui dati, creando al contempo un quadro più chiaro e più coerente per le imprese. I nuovi diritti per i cittadini includono un consenso chiaro e affermativo per i loro dati da elaborare e il diritto di ricevere informazioni chiare e comprensibili su di esso; il diritto all’oblio: un cittadino può chiedere la cancellazione dei suoi dati; il diritto di trasferire dati a un altro fornitore di servizi (ad es. quando si passa da una rete sociale a un'altra); e il diritto di sapere quando i dati sono stati violati. Queste nuove norme si applicano a tutte le imprese che operano nell'Unione europea, anche se non sono basate nell'Unione. Inoltre, sarà possibile imporre misure correttive, come avvertenze e ordini, o multe, a imprese che violano le regole.

b. La direttiva sull'applicazione della legge sulla protezione dei dati

La direttiva (UE) 2016/680 del Parlamento europeo e del Consiglio, del 27 aprile 2016, relativa alla protezione delle persone fisiche con riguardo al trattamento dei dati personali da parte delle autorità competenti a fini di prevenzione, indagine, accertamento e perseguimento di reati o esecuzione di sanzioni penali, nonché alla libera circolazione di tali dati e che abroga la decisione quadro 2008/977/GAI del Consiglio è diventata applicabile a maggio del 2018. La direttiva tutela il diritto fondamentale dei cittadini alla protezione dei dati ogni volta che i dati personali vengono utilizzati dalle autorità di contrasto. Assicurerà che i dati personali di vittime, testimoni e indagati siano debitamente protetti e agevolerà la cooperazione transfrontaliera nella lotta contro la criminalità e il terrorismo.

4. Il garante europeo della protezione dei dati (GEPD) e il comitato europeo per la protezione dei dati (CEPD)

Il garante europeo per la protezione dei dati (GEPD) è un'autorità di controllo indipendente il cui ruolo consiste nel garantire che le istituzioni e gli organi dell'UE adempiano ai loro obblighi in materia di protezione dei dati. Le principali funzioni del GEPD sono il controllo, la consultazione e la cooperazione. Il comitato europeo per la protezione dei dati (CEPD), ex gruppo di lavoro articolo 29, ha lo status di un organismo dell'UE dotato di personalità giuridica e dispone di un segretariato indipendente. È composto da rappresentanti delle autorità di controllo nazionali, del GEPD e della Commissione. L'EDPB dispone di ampi poteri per risolvere le controversie tra le autorità di vigilanza nazionali e fornire consulenza e orientamento sui concetti chiave del GDPR e sulla direttiva sull'applicazione della legge sulla protezione dei dati.

Ruolo del Parlamento europeo  

Il Parlamento insiste da sempre sulla necessità di mantenere un approccio che trovi un equilibrio tra il rafforzamento della sicurezza e la protezione della privacy e dei dati personali. Esso ha adottato diverse risoluzioni su tali questioni delicate, riguardo ad aspetti quali la «profilazione etnico-razziale», la decisione del Consiglio di Prüm sulla cooperazione transfrontaliera nelle azioni di contrasto al terrorismo e alla criminalità transfrontaliera, l'utilizzazione di body scanner per rafforzare la sicurezza aerea, i passaporti biometrici e le istruzioni consolari comuni, la gestione delle frontiere, Internet e l'estrapolazione dei dati.

Nel febbraio 2010 il Parlamento, nel quadro della procedura di approvazione, ha respinto l'applicazione provvisoria del programma di controllo delle transazioni finanziarie dei terroristi (TFTP, precedentemente noto come accordo SWIFT), l'accordo antiterrorismo sul trasferimento dei dati bancari verso gli Stati Uniti. In seguito alla risoluzione del Parlamento dell'8 luglio 2010, un accordo TFTP modificato è entrato in vigore nell'agosto 2010. Nel luglio 2011 la Commissione ha adottato una comunicazione sulle principali opzioni per la creazione di un sistema europeo di controllo delle transazioni finanziarie dei terroristi (Terrorist Finance Tracking System — EU TFTS) al cui riguardo il Parlamento ha espresso dubbi. A novembre del 2013 la Commissione ha comunicato che non intende a questo stadio presentare alcuna proposta relativa a un TFTS dell'Unione europea.

Un'altra questione di cruciale importanza è l'accordo sulle registrazioni dei nominativi dei passeggeri (PNR) tra l'Unione europea e gli Stati Uniti relativo al trattamento e al trasferimento dei dati PNR da parte dei vettori aerei al dipartimento della Sicurezza interna degli Stati Uniti. In seguito all'approvazione data dal Parlamento, ad aprile del 2012 il Consiglio ha adottato una decisione sulla conclusione del nuovo accordo, che ha sostituito l'accordo PNR UE-USA esistente, provvisoriamente in vigore dal 2007.

Nel febbraio 2011 la Commissione ha presentato una proposta di direttiva sull'uso dei dati PNR ai fini della prevenzione, dell'accertamento, dell'indagine e dell'azione penale nei confronti dei reati di terrorismo e dei reati gravi (PNR UE). Nel giugno 2013 il Parlamento ha deciso in plenaria di rinviare il fascicolo alla commissione per le libertà civili, la giustizia e gli affari interni (LIBE) che nell'aprile 2013 aveva votato contro la proposta PNR UE formulando dubbi quanto alla sua proporzionalità e conformità ai diritti fondamentali. In seguito agli attentati terroristici del 2015 a Parigi e a nuove preoccupazioni quanto a eventuali minacce al sistema della sicurezza interna dell'UE poste dai «combattenti stranieri», il dibattito sulla proposta PNR UE ha ripreso nuovo slancio. Nel dicembre 2015 il Parlamento europeo e il Consiglio hanno raggiunto una soluzione di compromesso su tale delicata questione. La direttiva (UE) 2016/681, del Parlamento europeo e del Consiglio, del 27 aprile 2016, sull'uso dei dati del codice di prenotazione (PNR) a fini di prevenzione, accertamento, indagine e azione penale nei confronti dei reati di terrorismo e dei reati gravi (GU L 119 del 4.5.2016, pag. 132), doveva essere recepita nel diritto nazionale entro il 25 maggio 2018.

Il Parlamento è stato coinvolto nell'approvazione (secondo la procedura di approvazione) di un accordo quadro giuridicamente vincolante con gli Stati Uniti relativo allo scambio di informazioni e alla protezione dei dati, noto come l'Accordo quadro. L'obiettivo è quello di assicurare un elevato grado di protezione dei dati personali trasferiti nel quadro della cooperazione transatlantica nella lotta al terrorismo e alla criminalità organizzata. Nel febbraio del 2016 il presidente Obama ha firmato l'atto sul ricorso in sede giudiziaria, preparato così il terreno per la firma dell'accordo quadro tra l'UE e gli Stati Uniti, avvenuta il 2 giugno 2016. Parallelamente è stato istituito lo Scudo UE-USA per la privacy («EU-US Privacy Shield») per garantire un livello elevato di protezione dei dati per i trasferimenti di dati. Scudo per la privacy riflette i requisiti fissati dalla Corte di giustizia dell'Unione europea nella sua sentenza di ottobre del 2015 che ha dichiarato invalido il vecchio quadro Approdo sicuro («Safe Harbour») (norme volontarie sulla protezione dei dati per le aziende extraeuropee che trasferiscono dati personali di cittadini dell'UE negli Stati Uniti). Il 12 luglio 2016 la Commissione ha adottato la decisione di esecuzione a norma della direttiva n. 95/46/CE sull'adeguatezza della protezione offerta dallo Scudo UE-USA per la privacy, entrata in vigore immediatamente. A partire dal 1o agosto 2016 le società possono firmare Scudo per la privacy con il ministero del Commercio degli Stati Uniti, che successivamente verifica che le rispettive politiche in materia di privacy rispettino le norme elevate di protezione dei dati richieste da Scudo per la privacy. Nella risoluzione del 26 maggio 2016 sui flussi di dati transatlantici, il Parlamento europeo si è compiaciuto degli sforzi intesi a conseguire miglioramenti sostanziali in Scudo per la privacy, rispetto alla decisione in merito ad Approdo sicuro, alla quale è subentrato, e ha espresso qualche critica. Nella sua risoluzione del 6 aprile 2017 sull'adeguatezza della protezione offerta dallo scudo per la privacy UE-USA[1], il Parlamento ha invitato la Commissione europea a condurre un'adeguata valutazione e ad assicurare che lo scudo per la privacy UE-USA per i dati trasferiti per scopi commerciali fornisca una sufficiente protezione dei dati personali ai cittadini dell'UE e sia conforme alla Carta dei diritti fondamentali dell'UE e alle nuove norme dell'UE sulla protezione dei dati.

Il 12 marzo 2014 il Parlamento ha adottato una risoluzione sul programma di sorveglianza dell'Agenzia per la sicurezza nazionale degli Stati Uniti, sugli organi di sorveglianza in diversi Stati membri e sul loro impatto sui diritti fondamentali dei cittadini dell'UE, nonché sulla cooperazione transatlantica nel campo della giustizia e degli affari interni[2]. La risoluzione ha portato a termine un'inchiesta del Parlamento durata sei mesi sulla sorveglianza elettronica di massa dei cittadini dell'Unione europea, in seguito alle rivelazioni fatte nel giugno 2013 sul presunto spionaggio da parte degli Stati Uniti e di alcuni paesi dell'UE. Nella risoluzione il Parlamento ha chiesto la sospensione dei principi di Approdo sicuro e del programma di controllo delle transazioni finanziarie dei terroristi. Il 29 ottobre 2015 il Parlamento ha adottato una risoluzione sul seguito dato alla sua risoluzione del 12 marzo 2014 sulla sorveglianza elettronica di massa dei cittadini dell'UE[3], nella quale ribadisce il suo appello per la sospensione della decisione in merito ad Approdo sicuro, e del programma di controllo delle transazioni finanziarie dei terroristi.

Il Parlamento è stato coinvolto, nel quadro della procedura legislativa ordinaria, nella approvazione della riforma della protezione dei dati (cfr. sezione precedente). Le nuove norme sulla protezione dei dati rafforzeranno i diritti fondamentali dei cittadini nell'era digitale e agevoleranno le imprese attraverso la semplificazione delle regole per le imprese nel mercato unico digitale.

 

[1]Testi approvati, P8_TA(2017)0131. 
[2]Testi approvati, P7_TA(2014)0230. 
[3]Testi approvati, P8_TA(2015)0388. 

Kristiina Milt