Europa: riforma della privacy colpita e affondata
3 min letturaAbbiamo già dato conto dell'importanza della riforma europea in materia di privacy, una regolamentazione che ha lo scopo di armonizzare le normative nazionali dei paesi membri dell'Unione europea in materia di protezione dei dati personali, garantendo maggiore tutela per i diritti dei cittadini e nel contempo semplificando le procedure e gli adempimenti per le imprese.
La riforma è stata approvata in Commissione LIBE (libertà civili), e quindi a gennaio avrebbero dovuto partire i dialoghi a tre per poi concludersi ad aprile col voto finale in seduta plenaria al Parlamento.
Purtroppo negli ultimi mesi abbiamo assistito ad un fuoco di sbarramento sempre più forte da parte delle imprese, teso a depotenziare questa regolamentazione che non incontra il gradimento delle imprese, principalmente di quelle tecnologiche che fanno affari grazie alla gestione dei dati personali, alla profilazione degli utenti dei loro servizi e quindi alla pubblicità comportamentale mirata. Non stiamo parlando solo delle aziende americane, ma anche di molte aziende europee che si sono poste di traverso. Il risultato è che al momento il futuro della riforma appare sempre più incerto.
Alla Gran Bretagna, che non ha fatto mistero di non vedere di buon occhio la nuova normativa, proponendo emendamenti tesi a ridurne la portata e addirittura chiedendo che la sua attuazione nei singoli Stati fosse facoltativa o comunque implementabile parzialmente, nelle ultime settimane pare si sia unita la Germania. I punti controversi appaiono molteplici: si va dall'incompatibilità delle norme che prevedono il consenso preventivo dei cittadini, che impedirebbe la raccolta dei dati da parte delle autorità a fini di controllo e repressione dei reati, agli eccessivi oneri legati alla portabilità dei dati, cioè la possibilità (prevista dalla nuova normativa) per il cittadino di trasferirsi da un servizio online ad un altro (es. un social network) trasferendo i propri dati senza dover perdere nulla e senza dover ricreare un account da zero.
Ma le critiche principali si focalizzano sul principio del “one stop shop” (sportello unico) previsto dall'art. 51 del Regolamento:
“Where the processing of personal data takes place in the context of the activities of an establishment of a controller or a processor in the Union, and the controller or processor is established in more than one Member State, the supervisory authority of the main establishment of the controller or processor shall be competent for the supervision of the processing activities of the controller or the processor in all Member States, without prejudice to the provisions of Chapter VII of this Regulation”.
Nella prospettiva delle imprese il principio del one stop shop è fondamentale perché introduce una importante semplificazione delle procedure: le aziende avranno a che fare solo con l'autorità di protezione dei dati del paese in cui hanno la sede principale, piuttosto che con le 28 autorità degli Stati nei quali operano, così apportando certezza legale nelle decisioni e maggiore efficienza.
Questo però vuol dire che i reclami di un cittadino di uno Stato europeo non saranno gestiti dall'autorità del paese ove risiede il cittadino, alimentando così l'immagine di una Unione europea burocratica e lontana dai cittadini. In effetti la distanza e la differenza di lingua potranno costituire barriere importanti che scoraggerebbero i cittadini dal presentare reclami, e quindi ottenere tutela (basti pensare alle difficoltà che l'austriaco Max Schrems ha incontrato nel dialogo con l'autorità irlandese per la protezione dei dati personali).
Andare a spiegare ai cittadini perché l'Autorità della Germania non è competente a tutelare i diritti di un tedesco se la sede principale dell'azienda si trova in Irlanda è estremamente problematico, e il principio del one stop shop è stato tacciato di essere in contrasto con le stesse normative europee.
La Commissione europea, che sta portando avanti la riforma, è chiaramente schierata con le aziende, anche se poi in Commissione LIBE (libertà civili) si è discusso una modifica al principio in questione, nel senso di porre la DPA del paese dove l'azienda ha la sede principale come “lead authority” che supervisiona le attività dei regolatori del paese nel quale è avvenuta la violazione con le quali dovrà svolgere consultazioni al fine di raggiungere una decisione comune. Ovviamente tale approccio mina sicuramente la celerità dei provvedimenti, che saranno ritardati dalle comunicazione tra le varie autorità.
Il punto è che il principio dello “sportello unico” appare, al momento, l'unico vantaggio di questa riforma per le aziende, ma al contempo è difficile da far digerire ai cittadini, cosa che potrebbe pesare sul consenso elettorale. Senza questo principio, però, la riforma in sé sembra non avere molte speranze di approvazione.
Adesso i dialoghi a tre sono stati ritardati, e il voto finale dovrebbe aversi non più nel 2014 bensì nel 2015. Forse.