L’Europa, il voto sulla privacy e quello che ancora manca
3 min letturaMentre Le Monde rivelava l'ennesimo episodio di abusi dell'NSA americana a danno dei cittadini europei, nella serata del 21 ottobre la Commissione LIBE (libertà civili, giustizia e affari interni) del Parlamento Europeo ha approvato il regolamento in materia di Data Protection, adottando vari emendamenti di compromesso, in particolare quelli relativi all'art. 6 e 20 del testo.
We made it! #EUdataP
— Jan Philipp Albrecht (@JanAlbrecht) October 21, 2013
Come asserito dopo il voto dal relatore Jan Philipp Albrecht, i miglioramenti conseguenti all'approvazione del testo sono indubbi, specialmente in considerazione del fatto che attualmente ogni Stato ha una sua propria legislazione in materia che può differire rispetto agli altri Stati dell'Unione, così realizzandosi incertezze applicative nell'ambito del mercato europeo.
Il regolamento Data Protection, invece, porrà una singola legislazione per tutti gli Stati, cosa che sicuramente renderà più semplice ai cittadini conoscere i propri diritti, e alle aziende adeguarsi ai nuovi standard in materia.
Con l'approvazione del testo è stata espunta, inoltre, la possibilità per i singoli Stati membri di esentare se stessi dal rispetto delle norme sulla profilazione. Ricordiamo che a seguito dello scandalo sul progetto americano Prism e la susseguente raccolta indiscriminata di dati anche di cittadini europei, alcuni Stati dell'Unione hanno rimarcato l'importanza di avere una normativa forte a tutela degli europei che impedisca il ripetersi di tali pratiche abusive. La Gran Bretagna, invece, in più occasioni si è posta in contrasto con tale orientamento arrivando a suggerire non solo una normativa ampiamente depotenziata, ma anche l'introduzione di specifiche esenzioni, e di procedere solo per una direttiva (che necessita di una legge di recepimento statale) e non per un regolamento (che entra in vigore automaticamente per gli Stati dell'Unione).
L'adozione di alcune soluzioni di compromesso, ovviamente determinate dalle fortissime pressioni delle aziende che non vedono di buon occhio una stretta sulla possibilità di collezionare dati dei cittadini a fini di profilazione per inviare pubblicità mirata, potrà creare problemi nell'applicazione delle norme adottate, fino a, secondo alcuni, rendere inefficace l'intero testo per una tutela dei cittadini. La critiche si appuntano soprattutto sull'introduzione dell'interesse legittimo e dei dati pseudonimi.
In generale, la Data Protection prevede un preventivo consenso per l'utilizzo dei dati dei cittadini, a meno che l'uso di tali dati non sia collegato ad una espressa e specifica richiesta da parte del cittadino oppure sia indispensabile per rendere un servizio.
L'art. 6, invece, prevede la possibilità da parte delle aziende di utilizzare i dati degli utenti anche quando ciò diventa necessario per un interesse legittimo dell'azienda:
processing is necessary for the purposes of the legitimate interests pursued by the a controller or in case of disclosure, by the third party to whom the data is disclosed, and which meet the reasonable expectations of the data subject based on his or her relationship with the controller, except where such interests are overridden by the interests or fundamental rights and freedoms of the data subject which require protection of personal data.
Il concetto di interesse legittimo può dare adito ad abusi, consentendo all'azienda l'utilizzo di dati personali anche in contrasto con le altre restrizioni previste dalla normativa. Per capire, in tal modo Google potrà giustificare l'accorpamento (già avvenuto nel marzo 2012) di tutti i dati provenienti da tutti i suoi servizi, per i quali finora ci sono stati consensi separati, in un unico database, anche in assenza di uno specifico consenso. L'Unione Europea contesta a Google tale pratica, ma il “legittimo interesse” potrebbe risolversi a favore della scelta di Mountain View.
Inoltre, l'estensione del legittimo interesse anche a terze parti moltiplica le possibilità di abusi. Un'azienda terza potrebbe ritenere proprio “legittimo interesse” uno diverso, e utilizzare i dati per una finalità diversa dallo scopo della raccolta originaria.
L'altro aspetto che desta preoccupazione è la facoltà di usare dati personali se anonimizzati, come previsto dall'emendamento all'art. 20. La pseudoanonimizzazione (art. 4) è una tecnica che prevede la separazione del nome dai dati, in modo che essi formalmente non consentano l'identificazione del soggetto fisico, così ritenendo, formalmente, rispettata la normativa sulla protezione dei dati personali che mira a proteggere l'individuo fisico.
L'emendamento approvato consente l'uso di dati a fini di profilazione o per altre finalità se anonimizzati nel senso detto sopra. Il problema è lampante, oggi siamo perfettamente consci che non è affatto necessario conoscere il nome di un soggetto per una sua identificazione, spesso è sufficiente la combinazione di diversi dati anonimi (pensiamo al numero di telefono cellulare).
In conclusione si tratta di un testo che fa decisamente un passo in avanti per la protezione dei cittadini europei, ma al contempo è sicuramente molto più debole del testo che si era pensato in origine.
Ovviamente non si tratta del voto definitivo. Da adesso partirà una fase di negoziazione tra la Commissione Europea e i singoli Stati, trattandosi di un regolamento che entra in vigore immediatamente per tutti gli Stati aderenti, senza necessità di recepimento.
La particolarità, decisa sempre il 21 ottobre, dopo il voto, è data dal fatto che la negoziazione sarà un dialogo a tre (Commissione europea, Parlamento europeo e il Consiglio - i ministri dei singoli Stati) a porte chiuse, per cui scarsamente trasparente.
La votazione finale, dinanzi al Parlamento in seduta plenaria, si dovrebbe tenere ad aprile del 2014.