Garante della Privacy UE: aggiornamenti sulla proposta di Regolamento UE in materia di protezione dei dati personali
Il 14 febbraio scorso, il Garante della Privacy UE, Peter Hustinx, con un comunicato rivolto al Consiglio dell’Unione Europea e ai relativi Presidente e Segretariato Generale, ha fornito importanti aggiornamenti in relazione alla proposta di Regolamento UE in materia di protezione dei dati personali (la cosiddetta General Data Protection Regulation, spesso abbreviata in GDPR).
In particolare, il Garante, tentando di fugare dubbi e contrastare critiche sorte sulla normativa proposta, ha ritenuto opportuno chiarire alcuni punti della stessa.
Innanzitutto, egli ribadisce con decisione l’intenzione di non escludere il settore pubblico dagli scopi della riforma comunitaria, benché si tratti di un’opzione ancora sul tavolo. A suo parere, escludere tale settore comporterebbe un notevole ritardo nel processo legislativo, ma soprattutto un grosso passo indietro rispetto all’attuale scenario relativo alla privacy. Già oggi, infatti, la disciplina in materia di protezione dei dati personali prevede la possibilità di trattamento, in determinati casi, dei dati personali da parte di enti pubblici. Inoltre, lo stesso tipo di attività può essere compiuto tanto da soggetti privati stabiliti in uno Stato membro, quanto da soggetti pubblici stabiliti in un differente Stato membro. Secondo il Garante, dunque, “soggetti molto simili, trattanti le stesse categorie di dati personali (come gli ospedali o le università), dovrebbero essere assoggettati alle stesse norme, indipendentemente dal fatto che si tratti di soggetti pubblici o privati”.
Il secondo punto riguarda invece il cosiddetto principio del “one-stop-shop”, secondo il quale, quando il trattamento di dati personali avviene in più di uno Stato membro, una sola Autorità di supervisione dovrebbe essere responsabile della sorveglianza sulle attività di chi compie il trattamento all’interno dell’UE e avere poteri decisori in merito.
In base alla riforma proposta, l’Autorità deputata alla sorveglianza (“lead authority”), pur inserita in un quadro di cooperazione con le altre autorità locali di supervisione, dovrebbe essere l’Autorità di Protezione dei Dati personali dello Stato membro in cui il soggetto che tratta i dati (definito “controller” o “processor”) ha la propria sede.
Il Garante sostiene convintamente tale principio, benché siano state da più parti sollevate eccezioni di incompatibilità con l’articolo 47 della Carta dei Diritti Fondamentali dell’UE (che sancisce il diritto a un ricorso effettivo dinanzi a un giudice imparziale) e critiche legate alla difficoltà, per il singolo cittadino europeo, di ricorrere alla giustizia, a causa delle notevoli distanze geografiche possibili, della scarsa familiarità con sistemi giudiziari e legali stranieri e, soprattutto, dei costi da sostenere per avanzare tali procedure.
Secondo il Garante europeo, di contro, i benefici saranno indubbiamente maggiori rispetto alle possibili criticità, dal momento che (i) le circostanze nelle quali i cittadini saranno sottoposti a decisioni di lead authorities site in Paesi membri differenti da quello di residenza saranno, nella prassi, senz’altro molto meno numerose rispetto ai casi ordinari nei quali le decisioni verranno (e vengono) assunte dall’Autorità “di casa”; (ii) un sistema normativo di protezione dei dati personali uniforme e costi ridotti per le liti rappresentano un vantaggio per tutti gli attori economici operanti nell’Unione Europea e per gli stessi cittadini, così come la stessa possibilità di porre in esecuzione in ogni Stato membro un provvedimento emesso da una qualsiasi Autorità (o Corte) comunitaria; (iii) tale uniformità normativa sarà senz’altro accompagnata, parallelamente, da una notevole riduzione dei conflitti di giurisdizione e delle litispendenze comunitarie.
Da ultimo, il comunicato pone evidenza sull’introduzione del principio di accountability (o rendicontazione), in base al quale gli operatori devono adottare politiche e misure appropriate per assicurare e dimostrare la conformità delle loro azioni con le regole in materia di protezione dei dati, ma soprattutto per garantire la verifica dell’effettività di tali misure.
Da tale principio, a parere del Garante, deriverebbe la necessità di convogliare i maggiori sforzi verso quei settori caratterizzati da operazioni di trattamento più rischiose o particolare sensibilità dei dati elaborati.
In conclusione, sulla base dei criteri generali stabiliti dal GDPR, ulteriori indicazioni saranno fornite, con specifici provvedimenti delegati, dall’European Data Protection Board. Ciò sempre per favorire e promuovere “maggiore certezza del diritto in capo ai ‘controllers’, più protezione effettiva per i cittadini europei e sufficiente flessibilità per resistere alla prova del tempo”.
Il documento è consultabile sul sito del Garante europeo della protezione dei dati cliccando qui.
(Garante europeo della protezione dei dati - Comunicazione del 14 febbraio 2014, PH/ABu/mk/ D(2014)0375 C2011-1104)
Avv. Francesco Di Tano
Il 14 febbraio scorso, il Garante della Privacy UE, Peter Hustinx, con un comunicato rivolto al Consiglio dell’Unione Europea e ai relativi Presidente e Segretariato Generale, ha fornito importanti aggiornamenti in relazione alla proposta di Regolamento UE in materia di protezione dei dati personali (la cosiddetta General Data Protection Regulation, spesso abbreviata in GDPR).
In particolare, il Garante, tentando di fugare dubbi e contrastare critiche sorte sulla normativa proposta, ha ritenuto opportuno chiarire alcuni punti della stessa.
Innanzitutto, egli ribadisce con decisione l’intenzione di non escludere il settore pubblico dagli scopi della riforma comunitaria, benché si tratti di un’opzione ancora sul tavolo. A suo parere, escludere tale settore comporterebbe un notevole ritardo nel processo legislativo, ma soprattutto un grosso passo indietro rispetto all’attuale scenario relativo alla privacy. Già oggi, infatti, la disciplina in materia di protezione dei dati personali prevede la possibilità di trattamento, in determinati casi, dei dati personali da parte di enti pubblici. Inoltre, lo stesso tipo di attività può essere compiuto tanto da soggetti privati stabiliti in uno Stato membro, quanto da soggetti pubblici stabiliti in un differente Stato membro. Secondo il Garante, dunque, “soggetti molto simili, trattanti le stesse categorie di dati personali (come gli ospedali o le università), dovrebbero essere assoggettati alle stesse norme, indipendentemente dal fatto che si tratti di soggetti pubblici o privati”.
Il secondo punto riguarda invece il cosiddetto principio del “one-stop-shop”, secondo il quale, quando il trattamento di dati personali avviene in più di uno Stato membro, una sola Autorità di supervisione dovrebbe essere responsabile della sorveglianza sulle attività di chi compie il trattamento all’interno dell’UE e avere poteri decisori in merito.
In base alla riforma proposta, l’Autorità deputata alla sorveglianza (“lead authority”), pur inserita in un quadro di cooperazione con le altre autorità locali di supervisione, dovrebbe essere l’Autorità di Protezione dei Dati personali dello Stato membro in cui il soggetto che tratta i dati (definito “controller” o “processor”) ha la propria sede.
Il Garante sostiene convintamente tale principio, benché siano state da più parti sollevate eccezioni di incompatibilità con l’articolo 47 della Carta dei Diritti Fondamentali dell’UE (che sancisce il diritto a un ricorso effettivo dinanzi a un giudice imparziale) e critiche legate alla difficoltà, per il singolo cittadino europeo, di ricorrere alla giustizia, a causa delle notevoli distanze geografiche possibili, della scarsa familiarità con sistemi giudiziari e legali stranieri e, soprattutto, dei costi da sostenere per avanzare tali procedure.
Secondo il Garante europeo, di contro, i benefici saranno indubbiamente maggiori rispetto alle possibili criticità, dal momento che (i) le circostanze nelle quali i cittadini saranno sottoposti a decisioni di lead authorities site in Paesi membri differenti da quello di residenza saranno, nella prassi, senz’altro molto meno numerose rispetto ai casi ordinari nei quali le decisioni verranno (e vengono) assunte dall’Autorità “di casa”; (ii) un sistema normativo di protezione dei dati personali uniforme e costi ridotti per le liti rappresentano un vantaggio per tutti gli attori economici operanti nell’Unione Europea e per gli stessi cittadini, così come la stessa possibilità di porre in esecuzione in ogni Stato membro un provvedimento emesso da una qualsiasi Autorità (o Corte) comunitaria; (iii) tale uniformità normativa sarà senz’altro accompagnata, parallelamente, da una notevole riduzione dei conflitti di giurisdizione e delle litispendenze comunitarie.
Da ultimo, il comunicato pone evidenza sull’introduzione del principio di accountability (o rendicontazione), in base al quale gli operatori devono adottare politiche e misure appropriate per assicurare e dimostrare la conformità delle loro azioni con le regole in materia di protezione dei dati, ma soprattutto per garantire la verifica dell’effettività di tali misure.
Da tale principio, a parere del Garante, deriverebbe la necessità di convogliare i maggiori sforzi verso quei settori caratterizzati da operazioni di trattamento più rischiose o particolare sensibilità dei dati elaborati.
In conclusione, sulla base dei criteri generali stabiliti dal GDPR, ulteriori indicazioni saranno fornite, con specifici provvedimenti delegati, dall’European Data Protection Board. Ciò sempre per favorire e promuovere “maggiore certezza del diritto in capo ai ‘controllers’, più protezione effettiva per i cittadini europei e sufficiente flessibilità per resistere alla prova del tempo”.
Il documento è consultabile sul sito del Garante europeo della protezione dei dati cliccando qui.
(Garante europeo della protezione dei dati - Comunicazione del 14 febbraio 2014, PH/ABu/mk/ D(2014)0375 C2011-1104)
Avv. Francesco Di Tano
