Protezione dei dati personali
La protezione dei dati personali e il rispetto della vita privata sono diritti fondamentali europei. Il Parlamento europeo ha sempre insistito sulla necessità di mantenere un approccio in grado di conciliare il rafforzamento della sicurezza con la salvaguardia dei diritti umani, inclusa la protezione dei dati personali e della vita privata. Le nuove norme dell'UE sulla protezione dei dati che rafforzano i diritti dei cittadini e semplificano le norme per le aziende nell'era digitale sono entrate in vigore nel maggio 2018. Studi condotti dal Parlamento europeo evidenziano che la legislazione dell'UE relativa alla regolamentazione dei flussi di dati contribuisce al PIL dell'Unione per 51,6 miliardi di EUR l'anno. Ricerche condotte dalla commissione d'inchiesta del Parlamento europeo incaricata di esaminare l'uso di Pegasus e di spyware di sorveglianza equivalenti (commissione PEGA) confermano l'importanza della protezione dei dati ai fini della tutela della democrazia e delle libertà individuali nell'Unione.
Base giuridica
Articolo 16 del trattato sul funzionamento dell'Unione europea (TFUE);
Articoli 7 e 8 della Carta dei diritti fondamentali dell'Unione europea.
Obiettivi
L'Unione deve assicurare l'applicazione coerente del diritto fondamentale alla protezione dei dati, sancito dalla Carta dei diritti fondamentali dell'Unione europea. Alla luce della crescita esponenziale del volume dei trasferimenti di dati – laddove l'UE, gli Stati Uniti e il Canada costituiscono la quota maggiore di tale crescita – la posizione dell'UE sulla protezione dei dati personali deve essere rafforzata nel contesto di tutte le politiche dell'UE.
Risultati
A. Quadro istituzionale
1. Trattato di Lisbona
Prima dell'entrata in vigore del trattato di Lisbona, la legislazione in materia di protezione dei dati personali nello spazio di libertà, sicurezza e giustizia era divisa tra il primo pilastro (protezione dei dati a fini privati e commerciali, soggetta al metodo comunitario) e il terzo pilastro (protezione dei dati a fini di contrasto, con decisioni prese a livello intergovernativo). Di conseguenza, il processo decisionale seguiva due diversi insiemi di norme. La struttura a pilastri è venuta meno con il trattato di Lisbona, che fornisce una base più solida per lo sviluppo di un sistema di protezione dei dati più chiaro ed efficace, conferendo al contempo nuovi poteri al Parlamento europeo, che assume così il ruolo di colegislatore. A norma dell'articolo 16 TFUE, il Parlamento e il Consiglio stabiliscono le norme relative alla protezione delle persone fisiche in relazione al trattamento dei dati personali da parte delle istituzioni, degli organi e degli organismi dell'Unione, nonché da parte degli Stati membri, nell'esercizio delle attività che rientrano nell'ambito di applicazione del diritto dell'Unione.
2. Orientamenti strategici per lo spazio di libertà, sicurezza e giustizia
In seguito al programma di Tampere (ottobre 1999) e al programma dell'Aia (novembre 2004), nel dicembre 2009 il Consiglio europeo ha approvato il nuovo programma pluriennale per lo spazio di libertà, sicurezza e giustizia per il periodo 2010-2014, noto come "programma di Stoccolma". Nelle conclusioni del giugno 2014, il Consiglio europeo ha definito gli orientamenti strategici della programmazione legislativa e operativa per gli anni a venire nello spazio di libertà, sicurezza e giustizia, a norma dell'articolo 68 TFUE. Uno degli obiettivi principali è una migliore protezione dei dati personali nell'Unione europea.
B. Principali strumenti legislativi in materia di protezione dei dati
1. Carta dei diritti fondamentali dell'Unione europea
Gli articoli 7 e 8 della Carta dei diritti fondamentali dell'Unione europea riconoscono il rispetto della vita privata e la protezione dei dati personali come diritti fondamentali strettamente correlati, ma distinti.
2. Consiglio d'Europa
a. Convenzione 108 del 1981
La Convenzione 108 del Consiglio d'Europa, del 28 gennaio 1981, sulla protezione delle persone in relazione al trattamento automatizzato dei dati di carattere personale rappresenta il primo strumento internazionale giuridicamente vincolante adottato in materia di protezione dei dati. Il suo scopo è garantire a ogni persona fisica il rispetto dei propri diritti e delle proprie libertà fondamentali e in particolare del proprio diritto alla vita privata, in relazione al trattamento automatizzato dei dati di carattere personale. Il protocollo che modifica la Convenzione mira ad ampliarne l'ambito di applicazione, ad aumentare il livello di protezione dei dati e a migliorare la sua efficacia.
b. Convenzione per la salvaguardia dei diritti dell'uomo e delle libertà fondamentali (CEDU)
L'articolo 8 della Convenzione europea per la salvaguardia dei diritti dell'uomo e delle libertà fondamentali del 4 novembre 1950 sancisce il diritto di ogni persona al rispetto della propria vita privata e familiare, del proprio domicilio e della propria corrispondenza.
3. Strumenti legislativi vigenti dell'UE in materia di protezione dei dati
a. Regolamento generale sulla protezione dei dati (RGPD)
Il regolamento (UE) n. 2016/679 del Parlamento europeo e del Consiglio, del 27 aprile 2016, relativo alla protezione delle persone fisiche con riguardo al trattamento dei dati personali, nonché alla libera circolazione di tali dati, e che abroga la direttiva 95/46/CE (regolamento generale sulla protezione dei dati) è diventato applicabile nel maggio 2018. Le sue disposizioni mirano a proteggere tutti i cittadini dell'UE dalle violazioni della vita privata e dei dati in un mondo sempre più basato sui dati, creando nel contempo un quadro più chiaro e coerente per le imprese. I diritti di cui godono i cittadini comprendono un consenso chiaro e affermativo al trattamento dei dati che li riguardano e il diritto di ricevere informazioni chiare e comprensibili al riguardo; il diritto all'oblio (la possibilità per ogni cittadino di chiedere la cancellazione dei propri dati); il diritto di trasferire dati a un altro fornitore di servizi, ad esempio nel passaggio da una rete sociale a un'altra; nonché il diritto di sapere se i propri dati sono stati violati. Queste nuove norme si applicano a tutte le imprese che operano nell'UE, anche se hanno la sede al di fuori della stessa. Inoltre è possibile imporre misure correttive, come avvertenze e ordini, o ammende alle imprese che infrangono le norme. Il 24 giugno 2020 la Commissione europea ha presentato una relazione sulla valutazione e il riesame del regolamento[1]
b. Direttiva sulla protezione dei dati nelle attività di polizia e giudiziarie
La direttiva (UE) 2016/680 del Parlamento europeo e del Consiglio, del 27 aprile 2016, relativa alla protezione delle persone fisiche con riguardo al trattamento dei dati personali da parte delle autorità competenti a fini di prevenzione, indagine, accertamento e perseguimento di reati o esecuzione di sanzioni penali, nonché alla libera circolazione di tali dati e che abroga la decisione quadro 2008/977/GAI del Consiglio, è diventata applicabile nel maggio 2018. La direttiva tutela il diritto fondamentale dei cittadini alla protezione dei dati ogni volta che i dati personali vengono utilizzati dalle autorità di contrasto. Garantisce la debita protezione dei dati personali di vittime, testimoni e indagati e agevola la cooperazione transfrontaliera nella lotta contro la criminalità e il terrorismo. Il 25 luglio 2022 la Commissione europea ha pubblicato in ritardo la sua relazione sull'applicazione e sul funzionamento della direttiva sulla protezione dei dati nelle attività di polizia e giudiziarie. A tale relazione ha fatto seguito uno studio valutativo commissionato dalla commissione per le libertà civili, la giustizia e gli affari interni (LIBE) contenente una valutazione critica dell'attuazione della direttiva sulla protezione dei dati nelle attività di polizia e giudiziarie[2].
c. Direttiva relativa alla vita privata e alle comunicazioni elettroniche
La direttiva 2002/58/CE del Parlamento europeo e del Consiglio, del 12 luglio 2002, relativa al trattamento dei dati personali e alla tutela della vita privata nel settore delle comunicazioni elettroniche (direttiva relativa alla vita privata e alle comunicazioni elettroniche) è stata modificata dalla direttiva 2009/136/CE del 25 novembre 2009. Essa solleva la delicata questione della conservazione dei dati, che è stata ripetutamente portata dinanzi alla Corte di giustizia dell'Unione europea (CGUE) e ha dato origine a una serie di sentenze, di cui l'ultima, pronunciata nel 2020, afferma che il diritto dell'UE osta alla conservazione generalizzata e indiscriminata di dati relativi al traffico e all'ubicazione.
La proposta di regolamento del Parlamento europeo e del Consiglio del 2017 relativo al rispetto della vita privata e alla tutela dei dati personali nelle comunicazioni elettroniche e che abroga la direttiva 2002/58/CE (regolamento sulla vita privata e le comunicazioni elettroniche) è oggetto di discussioni prolungate. Gli esperti del Parlamento europeo hanno affermato che il Parlamento dovrebbe opporsi ai tentativi del Consiglio di negare l'applicabilità dei principi europei di protezione dei dati[3].
d. Regolamento sul trattamento dei dati personali da parte delle istituzioni e degli organismi dell'Unione
Il regolamento (UE) 2018/1725 del Parlamento europeo e del Consiglio, del 23 ottobre 2018, sulla tutela delle persone fisiche in relazione al trattamento dei dati personali da parte delle istituzioni, degli organi e degli organismi dell'Unione e sulla libera circolazione di tali dati, e che abroga il regolamento (CE) n. 45/2001 e la decisione n. 1247/2002/CE, è entrato in vigore l'11 dicembre 2018.
e. Articoli concernenti la protezione dei dati in atti legislativi settoriali
Oltre ai principali atti legislativi relativi alla protezione dei dati sopra menzionati, sono stabilite alcune disposizioni specifiche in materia di protezione dei dati anche in atti legislativi settoriali, quali:
- l'articolo 13 (protezione dei dati personali) della direttiva (UE) 2016/681 del Parlamento europeo e del Consiglio, del 27 aprile 2016, sull'uso dei dati del codice di prenotazione (PNR) a fini di prevenzione, accertamento, indagine e azione penale nei confronti dei reati di terrorismo e dei reati gravi;
- l'articolo 6 (trattamento dei dati) della direttiva 2004/82/CE del Consiglio, del 29 aprile 2004, concernente l'obbligo dei vettori di comunicare i dati relativi alle persone trasportate (direttiva API). Tale direttiva sarà abrogata da due nuovi regolamenti votati dalla plenaria del Parlamento il 24 aprile 2024, uno sulla raccolta e sul trasferimento di informazioni anticipate sui passeggeri al fine di migliorare e agevolare i controlli alle frontiere esterne e uno relativo alla raccolta e al trasferimento di informazioni anticipate sui passeggeri ai fini di prevenzione, accertamento, indagine e azione penale nei confronti dei reati di terrorismo e dei reati gravi[4];
- il capo VI (garanzie in materia di protezione dei dati) del regolamento (UE) 2016/794 del Parlamento europeo e del Consiglio, dell'11 maggio 2016, che istituisce l'Agenzia dell'Unione europea per la cooperazione nell'attività di contrasto (Europol); nonché
- il capo VIII (protezione dei dati) del regolamento (UE) 2017/1939 del Consiglio, del 12 ottobre 2017, relativo all'attuazione di una cooperazione rafforzata sull'istituzione della Procura europea ("EPPO").
4. Principali accordi internazionali dell'UE in materia di trasferimenti di dati
a. Trasferimenti di dati commerciali: decisioni di adeguatezza
A norma dell'articolo 45 del regolamento generale sulla protezione dei dati, la Commissione ha il potere di determinare se un paese al di fuori dell'UE offre un livello adeguato di protezione dei dati, in base alla sua legislazione nazionale o agli impegni internazionali da esso sottoscritti.
A fronte di un aumento esponenziale dei trasferimenti di dati tra l'UE e l'America del Nord, che vede il predominio degli Stati Uniti nei settori della pubblicità e della sorveglianza private online[5], il Parlamento ha approvato numerose risoluzioni che sollevano preoccupazioni in merito ai flussi di dati transatlantici. In particolare, ha espresso il parere che la decisione relativa allo scudo UE-USA per la privacy non fornisca il livello di protezione adeguato richiesto dal diritto dell'UE, mentre la CGUE ha ripetutamente invalidato le decisioni di adeguatezza della Commissione europea relative agli Stati Uniti (si vedano le sue sentenze del 2015 sull'approdo sicuro nella causa Schrems e del 2020 sullo scudo UE-USA per la privacy nella causa Schrems II).
Malgrado la mancata riforma del regime di protezione dei dati negli Stati Uniti, la Commissione europea ha raggiunto un altro accordo con gli Stati Uniti e ha presentato una proposta relativa a un ulteriore quadro UE-USA in materia di protezione dei dati. Su proposta della commissione LIBE, l'11 maggio 2023 il Parlamento ha approvato una risoluzione sull'adeguatezza della protezione offerta dal quadro UE-USA in materia di privacy dei dati, in cui ha concluso che tale quadro non crea un'equivalenza essenziale del livello di protezione e ha invitato la Commissione a proseguire i negoziati con le sue controparti statunitensi, ma a non adottare la decisione di adeguatezza fino a quando non saranno pienamente attuate tutte le raccomandazioni formulate nella risoluzione del Parlamento e nel parere del comitato europeo per la protezione dei dati (EDPB).
Il 10 luglio 2023 la Commissione ha adottato il terzo quadro UE-USA in materia di protezione dei dati.
b. Accordo quadro UE-USA
Nell'ambito della procedura di approvazione, il Parlamento ha partecipato all'approvazione dell'accordo tra gli Stati Uniti e l'UE sulla protezione delle informazioni personali a fini di prevenzione, indagine, accertamento e perseguimento di reati, noto anche come "accordo quadro". L'obiettivo di tale accordo è quello di assicurare un elevato grado di protezione dei dati personali trasferiti nel quadro della cooperazione transatlantica a fini di contrasto, segnatamente nella lotta al terrorismo e alla criminalità organizzata.
c. Accordi UE-USA, UE-Australia e UE-Canada sul codice di prenotazione (PNR)
L'UE ha firmato accordi bilaterali sul codice di prenotazione (PNR) con gli Stati Uniti, con l'Australia e con il Canada. I dati del PNR comprendono le informazioni fornite dai passeggeri quando prenotano i voli o si procurano la carta d'imbarco, e i dati raccolti dai vettori aerei a fini commerciali. I dati del PNR possono essere utilizzati dalle autorità di contrasto per combattere le forme gravi di criminalità e il terrorismo.
Per quanto riguarda il Canada, nel parere 1/15 del 26 luglio 2017, la CGUE ha dichiarato che l'accordo previsto tra l'UE e il Canada firmato il 25 giugno 2014 non può essere concluso nella sua forma attuale. A seguito di tale parere, nel giugno 2018 sono stati avviati nuovi negoziati con il Canada sui dati del PNR, i quali sono ancora in corso.
Il 18 febbraio 2020 il Consiglio ha adottato una decisione che autorizza l'avvio di negoziati tra l'UE e il Giappone, anch'essi ancora in corso, per un accordo sul trasferimento e sull'uso dei dati del PNR.
d. Programma di controllo UE-USA delle transazioni finanziarie dei terroristi (TFTP)
L'UE ha firmato un accordo bilaterale con gli Stati Uniti sul trattamento e il trasferimento dei dati di messaggistica finanziaria dall'UE agli Stati Uniti, ai fini del programma di controllo delle transazioni finanziarie dei terroristi.
5. Risoluzioni settoriali che affrontano aspetti relativi alla protezione dei dati
Diverse risoluzioni del Parlamento, concernenti vari settori, hanno anche trattato la questione della protezione dei dati personali, al fine di garantire la coerenza con il diritto generale dell'UE in materia di protezione dei dati e con la tutela della vita privata in tali settori specifici.
6. Autorità di controllo della protezione dei dati dell'UE
Il Garante europeo della protezione dei dati (GEPD) è un'autorità di controllo indipendente il cui ruolo consiste nel garantire che le istituzioni e gli organi dell'UE adempiano ai loro obblighi in materia di protezione dei dati. Il GEPD ha principalmente funzioni di controllo, consultazione e cooperazione.
Il comitato europeo per la protezione dei dati (EDPB), denominato in precedenza "Gruppo dell'articolo 29", ha lo status di un organismo dell'UE dotato di personalità giuridica e dispone di un segretariato indipendente. È composto da rappresentanti delle autorità di controllo nazionali, del GEPD e della Commissione. L'EDPB dispone di ampi poteri per risolvere le controversie tra le autorità di vigilanza nazionali e fornire consulenza e orientamento sui concetti chiave dell'RGPD e sulla direttiva sull'applicazione della legge sulla protezione dei dati.
Ruolo del Parlamento europeo
Il Parlamento ha svolto un ruolo fondamentale nel definire la legislazione dell'UE in materia di protezione dei dati personali, rendendo la protezione della vita privata una priorità politica. L'Istituzione ha anche collaborato alla riforma della protezione dei dati su un piano di parità con il Consiglio, nel quadro della procedura legislativa ordinaria. Nel 2017 ha inoltre concluso i lavori sull'ultima, significativa tessera del mosaico, il nuovo regolamento relativo al rispetto della vita privata e alla tutela dei dati personali nelle comunicazioni elettroniche, e attende soltanto che il Consiglio concluda i propri lavori per avviare negoziati interistituzionali.
In numerose risoluzioni il Parlamento ha espresso dubbi circa l'adeguatezza della protezione offerta ai cittadini dell'UE dal quadro UE-USA di approdo sicuro e, successivamente, dallo scudo UE-USA per la privacy. Dopo che la causa Schrems II ha portato all'invalidamento della decisione di esecuzione (UE) 2016/1250 della Commissione sull'adeguatezza della protezione offerta dal regime dello scudo UE-USA per la privacy, in ragione della preoccupazione che i poteri di sorveglianza del governo statunitense non fossero limitati, come richiesto dal diritto dell'UE, e che i cittadini dell'Unione non disponessero di mezzi di ricorso efficaci, il Parlamento europeo ha approvato una risoluzione in cui ha espresso rammarico per il fatto che la Commissione avesse anteposto le relazioni con gli Stati Uniti agli interessi dei cittadini dell'UE[6].
A seguito della presentazione della proposta della commissione LIBE dell'11 maggio 2023, il Parlamento ha approvato una risoluzione sull'adeguatezza della protezione offerta dal quadro UE-USA in materia di privacy dei dati, in cui ha concluso che tale quadro non crea un'equivalenza essenziale del livello di protezione e ha invitato la Commissione a proseguire i negoziati con le sue controparti statunitensi, ma a non adottare la decisione di adeguatezza fino a quando non saranno pienamente attuate tutte le raccomandazioni formulate nella risoluzione e nel parere dell'EDPB. Il 10 luglio 2023 la Commissione ha adottato la sua decisione sul quadro UE-USA in materia di protezione dei dati.
Il Parlamento ha istituito una commissione d'inchiesta incaricata di esaminare l'uso di Pegasus e di spyware di sorveglianza equivalenti (commissione PEGA) negli Stati membri dell'UE. Presieduta dall'on. Jeroen Lenaers, la commissione PEGA ha esaminato a fondo l'utilizzo di spyware per indagare su membri dell'opposizione, giornalisti, avvocati e attivisti della società civile, nonché l'incidenza di tali pratiche sui processi democratici e sui diritti individuali nell'Unione. Nel corso della sua indagine, la commissione PEGA ha consultato importanti accademici, professionisti e autorità nell'UE e nel mondo. Il dipartimento tematico del Parlamento ha elaborato relazioni sulle missioni della commissione PEGA in Polonia, in Grecia e a Cipro. L'8 maggio 2023 la commissione PEGA ha approvato una relazione finale (relatrice: on. Sophia in 't Veld) sull'esame delle denunce di infrazione e di cattiva amministrazione nell'applicazione del diritto dell'Unione in relazione all'uso di Pegasus e di spyware di sorveglianza equivalenti, contenente, tra l'altro, la raccomandazione di istituire un laboratorio tecnologico dell'UE per la ricerca e il monitoraggio dell'uso di spyware contro i cittadini dell'Unione. La raccomandazione del Parlamento al Consiglio e alla Commissione a seguito della relazione PEGA è stata approvata in Aula il 15 giugno 2023. Tuttavia, la Commissione non ha fornito una risposta tempestiva alla raccomandazione e ha bloccato il progetto pilota del laboratorio dell'UE per le tecnologie finanziarie proposto dai deputati al Parlamento europeo.
Il Parlamento ha commissionato una serie di studi per poter disporre di una base scientifica per le sue attività legislative all'avanguardia nel campo degli sviluppi tecnologici e della protezione dei dati, tra cui uno studio sull'impatto del regolamento generale sulla protezione dei dati (RGPD) sull'intelligenza artificiale, uno studio sul riconoscimento biometrico e il rilevamento dei comportamenti, uno studio sul metaverso e, di recente, uno studio sul diritto e le tecnologie dell'informazione e delle comunicazioni (TIC)[7].
Pablo Abril Marti / Mariusz Maciejewski