Protezione dei dati personali in Italia: il dibattito in UE

Protezione dei dati
Protezione dei dati

I parlamentari italiani favorevoli all’allentamento delle regole sulla privacy

I parlamentari italiani che siedono nel Parlamento europeo hanno presentato un alto numero di emendamenti per allentare le normative sulla privacy, nel dibattito in corso sull’aggiornamento della direttiva Ue sulla Data Protection, che risale al 1995. C’è infatti anche il nostro paese tra quelli europei che hanno proposto emendamenti per indebolire privacy. Questo è quello che riporta l’analisi di oltre 11.000 pagine di documenti privati (e non privati) che sono sono stati pubblicati dal sito lobbyplag.eu, un progetto nato dalla cooperazione tra l’associazione OpenDataCity e Europe vs Facebook, per rendere trasparente lo stato di avanzamento delle trattative che si tengono a Bruxelles. Sono stati contati più di 3.000 gli emendamenti che hanno avanzato i rappresentanti europei sulla nuova General Data Protection Regulation (GDPR), proposta nel 2012 dalla Commissione Europea. Tra questi 1.200 sono da considerarsi penalizzanti per la protezione dati, a fronte di circa 900 che sono per un rafforzamento e i restanti 900 sono considerati neutrali, perché si riferiscono  a cambiamenti linguistici e sono ininfluenti rispetto alla questione della privacy. Dalla lettura di tutti gli emendamenti proposti in Consiglio Europeo, in cima alla classifica dei paesi che sono più orientati verso un indebolimento della protezione dei dati c’è la Germania con 73 emendamenti proposti, di cui 62 sono volti ad allentare le maglie della protezione dati a fronte di 11 che sono a favore di un rafforzamento. Al secondo posto troviamo la Gran Bretagna, con 51 emendamenti, di cui 49 che indeboliscono la protezione dati e appena 2 destinati a rafforzarla. A seguire l’ Irlanda, con 34 emendamenti, di cui 33 che indeboliscono la data protection e uno solo che la rafforza. L’Italia ha proposto 86 emendamenti di cui 59 destinati a indebolire le maglie della privacy, 15 a rafforzarle e 12 considerati neutri. Il principio di minimizzazione dei dati nell’articolo della legge del 1995, che prevede la raccolta, memorizzazione e elaborazione di dati solo se strettamente necessario, è stato rimosso nella nuova proposta di legge General Data Protection Regulation (GDPR), in base alla quale le imprese dovrebbero essere autorizzate a raccogliere e conservare tutte le informazioni sensibili sui clienti come vogliono, a patto che la conservazione non sia eccessiva.

Il regolamento europeo sulla Data Protection

Queste alcune tra le maggiori novità della proposta di Regolamento alla Data Protection:

• restano ferme le definizioni fondamentali, ma con alcune significative aggiunte (dato genetico, dato biometrico);

• viene introdotto il principio dell’applicazione del diritto UE anche ai trattamenti di dati personali non svolti nell’UE, se relativi all’offerta di beni o servizi a cittadini UE o tali da consentire il monitoraggio dei comportamenti di cittadini UE;

• si stabilisce il diritto degli interessati alla “portabilità del dato” (ad. es. nel caso in cui si intendesse trasferire i propri dati da un social network ad un altro) ma anche il “diritto all’oblio”, ossia di decidere quali informazioni possano continuare a circolare (in particolare nel mondo online) dopo un determinato periodo di tempo, fatte salve specifiche esigenze (ad esempio, per rispettare obblighi di legge, per garantire l’esercizio della libertà di espressione, per consentire la ricerca storica);

• scompare l’obbligo per i titolari di notificare i trattamenti di dati personali, sostituito da quello di nominare un “data protection officer” (incaricato della protezione dati) per tutti i soggetti pubblici e per quelli privati al di sopra di un certo numero di dipendenti;

• viene introdotto il requisito del “privacy impact assessment” (valutazione dell’impatto-privacy) oltre al principio generale detto “privacy by design” (cioè la previsione di misure a protezione dei dati già al momento della progettazione di un prodotto o di un software);

• si stabilisce l’obbligo per tutti i titolari di notificare all’autorità competente le violazioni dei dati personali (“personal data breaches”);

• si fissano più specificamente poteri (anche sanzionatori) e requisiti di indipendenza delle autorità nazionali di controllo, il cui parere sarà indispensabile qualora si intendano adottare strumenti normativi, comprese le leggi, che impattino sulla protezione dei dati personali.