Ogni società o azienda extraeuropea che lavora con i dati dei cittadini comunitari dovrà sottostare alle regolamentazioni sulla privacy imposte da Bruxelles. Questo l’avvertimento dell’UE, diramato attraverso le parole del Commissario per la Giustizia, i diritti fondamentali e la cittadinanza della Comunità Europea, Viviane Reding, in un discorso suddiviso in quattro punti tenuto a Bruxelles nell’ambito della Privacy Platform , riunita in vista della revisione della direttiva europea sulla protezione dei dati.
Sono mesi che dall’Europa si solleva l’attenzione per la privacy e per diritti ad essa connessi che meriterebbero nuove normative, e dei regolatori nazionali con il compito di far rispettare le regole. Già a dicembre , Reding aveva proposto una revisione delle politiche di protezione della privacy. Ma le nuove regolamentazioni a cui si riferirebbe il Commissario in quest’ultimo discorso pubblico potrebbero includere sanzioni più severe, forse anche sul fronte del penale, oltre a prevedere, qualora non si rispettassero garanzie di protezione della privacy, possibili class action da parte degli utenti aderenti ai servizi.
Sarebbe dunque necessario aggiornare la normativa attuale per adeguarla all’attuale scenario tecnologico. Uno scenario in cui, come più volte messo in luce dal Commissario stesso, siti di social networking o siti di condivisione di contenuti raccolgono una mole impressionante di dati che forniscono una moltitudine di informazioni personali a livello globale.
L’aggiornamento della direttiva sulla privacy dell’Unione Europea – un pacchetto di proposte sarà presentato durante l’estate – dovrebbe contemplare dunque delle novità sul fronte legislativo per tentare di rafforzare la protezione dei dati in favore degli utenti finali.
La continua evoluzione delle tecnologie, ha affermato Reding, “rende difficile rilevare quando i nostri dati personali vengono raccolti”, anche perché oramai esistono sofisticati strumenti che consentono di raccogliere automaticamente le informazioni”. Questi dati che “le autorità pubbliche utilizzano per una grande varietà di scopi, tra cui la prevenzione e la lotta contro il terrorismo e la criminalità – ha aggiunto – finiscono infatti anche nelle mani delle società di marketing, che le usano per creare pubblicità mirate”.
“La questione oggi è come la Commissione intenda garantire che il diritto alla privacy sia messo in atto”, ha ribadito Reding, dicendosi una convinta sostenitrice della necessità di rafforzare il controllo degli individui sui propri dati.
Il discorso del Commissario arriva a pochi giorni dalla pubblicazione sul blog personale del Capo della Privacy di Google, Peter Fleischer, di un’argomentazione ad otto punti in materia di protezione dei dati personali, con particolare riferimento al diritto all’oblio. Con un pensiero che stride con quello del commissario Reding, ha ribadito più volte l’impossibilità di poter pensare e realizzare un quadro legislativo efficace in mancanza di una struttura teorica che permetta di comprendere le questioni delicate che sottendono al diritto all’oblio, e le relazioni che si instaurano tra quest’ultimo e altri diritti inviolabili dell’uomo. Scettico su un’eventuale data di scadenza apposta alle informazioni, analizzando i contrasti anche a livello giuridico che si instaurerebbero tra libertà di espressione e privacy (sia attuale che storica), Fleischer aveva sostenuto di essere contrario nel permettere alla Rete di dimenticare quanto accaduto col passare del tempo, in quanto tale presupposto avrebbe comportato un grosso impedimento allo sviluppo digitale.
Con argomentazioni ben diverse, e con l’identificazione di quattro pilastri , si è mosso il discorso del commissario Reding. Primo fra tutti, tra i quattro aspetti che meritano la messa a punto di garanzie ad hoc, non poteva che essere il diritto all’oblio . “La gente avrebbe il diritto e non solo la possibilità – spiega il Commissario – di ritirare il consenso al trattamento dei dati. Le aziende responsabili del trattamento dei dati personali dovranno dimostrare che hanno bisogno di conservare tali dati”. “L’onere della prova” deve essere in capo a chi li tratta, e non ai cittadini. In sostanza, devono essere questi ultimi ad avere il controllo esclusivo dei propri dati, a meno che le aziende non dimostrino che sia necessario trattenerli.
L’obiettivo del Commissario, già ampiamente chiarito, è quello di far sì che gli utenti abbiano il diritto di poter decidere sulla propria privacy storica e di cancellare, qualora lo ritenessero necessario, quei dati per i quali non sussisterebbe nessun valido motivo affinché siano a disposizione di siti social.
Trasparenza è il secondo punto identificato dal commissario UE. Strettamente interconnesso con il primo punto, la trasparenza rappresenta una condizione “fondamentale per esercitare un controllo sui dati personali e per rafforzare la fiducia in Internet”. L’informazione dei cittadini sul perché devono essere raccolti tali dati e su come potrebbero essere utilizzati da terzi è indispensabile. “Gli individui – spiega Reding – devono conoscere i loro diritti e a quali autorità rivolgersi se essi vengono violati. Essi devono essere informati sui rischi connessi, particolarmente importanti per i giovani nel mondo online”.
“Bisogna garantire – ha continuato – maggior chiarezza già dal momento in cui ci si registra sui siti di social networking, che molto spesso non menzionano in modo chiaro e comprensibile le condizioni d’uso, come avviene il controllo degli utenti sui propri dati personali o come tali dati vengono resi pubblici. In particolare – ha tenuto a precisare il Commissario – per i bambini che devono essere pianamente consapevoli delle conseguenze nel momento in cui si iscrivono ai siti social”. “Tutte le informazioni – ribadisce – devono essere fornite in modo chiaro e comprensibile, facile da capire e facile da trovare”.
Il terzo pilastro è la ” privacy by default “. Il cambiamento normativo dovrebbe avvenire per quanto riguarda le impostazioni della privacy. Tale principio “sarà utile nei casi di trattamento ingiusto, inaspettato o ingiustificato dei dati, come ad esempio quando questi vengono utilizzati per scopi diversi da quelli per cui una persona aveva inizialmente dato il consenso o quando i dati raccolti sono irrilevanti, e con esso pertanto si impedirà la raccolta di tali dati attraverso alcune applicazioni software. Grazie a tale principio, l’utilizzo dei dati per scopi diversi da quelli precedentemente consentiti dovrebbe essere autorizzato solo dall’esplicito consenso dell’utente.
Infine, ultimo punto della lista, è stato la protezione indipendentemente dalla posizione dei dati . Ciò equivale a dire che le norme sulla privacy dei cittadini europei dovranno applicarsi indipendentemente dall’area del mondo in cui i dati sono stati trattati e a prescindere dalla collocazione geografica del fornitore di servizi e di qualsiasi mezzo tecnico utilizzato per fornire il servizio.
Non ci dovrebbero essere eccezioni per i fornitori di servizi di paesi terzi. L’avvertimento è chiaro: le aziende che risiedono legalmente al di fuori delle 27 nazioni appartenenti all’Unione, Stati Uniti compresi, devono immediatamente adattare la propria politica sulla privacy affinché sia garantita e rispettata appieno la normativa europea.
Ad esempio, ha affermato Reding, “un social network con sede negli Stati Uniti ma che conta milioni di utenti attivi in Europa deve rispettare le norme UE” e per questo i garanti della privacy dovrebbero essere dotati “di poteri per indagare e avviare azioni legali contro i responsabili del trattamento situati al di fuori della UE”.
Nonostante Reding non vi abbia fatto diretto riferimento nel proprio discorso, sono molte le fonti che hanno ricollegato Facebook e Google a tale esempio. Entrambe sono tra le aziende Internet prese sotto esame, anche in passato, dalla Comunità Europea per possibili sconfinamenti nella vita privata dei cittadini.
A tal proposito un portavoce dell’azienda di Palo Alto, Sophy Silver, ha dichiarato che Facebook si è già adoperato per essere in linea con la normativa europea affermando di lavorare fianco a fianco di funzionari di Bruxelles per la revisione delle norme sulla protezione dei dati.
“Le parti interessate a una recente consultazione pubblica sulla protezione dei dati mi hanno chiesto di chiarire che le nostre norme sulla protezione dei dati si applichino anche alla conservazione dei dati”, ha poi continuato il Commissario. “La conservazione dei dati è già inclusa nella definizione di trattamento anche se il pubblico non è a conoscenza che il trattamento comprende l’archiviazione e la conservazione”. “La Carta dei diritti fondamentali dell’UE stabilisce i principi di base per la protezione dei dati personali in tutta Europa. Questo comprende anche i casi in cui le autorità di polizia possono richiedere alcune informazioni per circostanze particolari come ad esempio bonifici, acquisti di biglietti aerei, check-in, navigazione Internet, invio di email o telefonate”. “Questi dati – ha continuato Reding – vengono raccolti di solito da aziende private per scopi commerciali, ma possono essere utilizzati dalle autorità per indagini sul terrorismo o per la criminalità organizzata.
Un cambiamento importante dopo l’introduzione del Trattato di Lisbona è che ora la Commissione può considerare di estendere le norme generali in materia di protezione dei dati anche all’area di cooperazione tra di polizia e autorità giudiziaria in materia penale.
“Ultimo e importante aspetto – si è apprestata a concludere il Commissario – è l’aspetto relativo all’esecuzione di tale normativa”. “Per essere efficaci le norme sui diritti di protezione dei dati devono essere effettivamente applicate, e per rendere questo possibile bisogna lavorare per rafforzare l’indipendenza e armonizzare i poteri delle autorità nazionali in merito alle normative volte alla garanzie della privacy in tutti i 27 Stati membri”.
L’Unione Europea vorrebbe , dunque, tentare di avviare una politica di tutela della protezione dei dati molti più restrittiva e dettagliata di quella esistente in altre aree e certamente più severa di quella prevista negli Stati Uniti , a cui la maggior parte delle potenziali aziende che possono essere investite da tale direttiva fa riferimento.
Necessario, ha infine concluso il commissario Reding, è il rafforzamento degli strumenti di cooperazione specie per quanto concerne casi che coinvolgono più paesi europei. A riguardo, Reding ha citato le recenti preoccupazioni per i servizi di mapping online che spesso mostrano foto di persone o delle loro case, con riferimento al servizio di mappatura di Google.
“Si tratta di chiari casi in cui – ha ribadito il Commissario UE – è fondamentale un approccio coordinato a livello europeo per affrontare le questioni in modo coerente ed efficace”.
Raffaella Gargiulo