Cosa è cambiato nella privacy dell’Unione Europea?

È finalmente disponibile in lingua italiana la bozza del nuovo Regolamento UE Privacy (GDPR) che trovate qui.
L’attuale versione è stata approvata in data 15 dicembre 2015 dal c.d. Trilogo UE e la pubblicazione in Gazzetta Ufficiale Europea è prevista per la primavera, no senza qualche modifica ed integrazione (come desumibile da questa bozza).
Come cambia la normativa, in sostanza?
Molto poco. Più che altro è un tentativo di uniformare le varie regolamentazioni nazionali.
L’esigenza sottostante però è ben più forte.
Sotto la spinta dei casi di intercettazione da parte della NSA, e la rottura di una serie di equilibri primo tra tutti il cd. “Safe harbour” (ovvero quella prassi per cui dati di cittadini europei gestiti da multinazionali americane venivano trasferiti e salvati su server fuori dal territorio europeo).
A tal proposito si segnala ad esempio l’articolo 25 (da leggersi con il successivo art. 40) che parla esplicitamente di Rappresentanti di responsabili del trattamento non stabiliti nell’Unione “… il responsabile del trattamento o l’incaricato del trattamento designa per iscritto un rappresentante nell’Unione…”


In altre parole per uniformare il diritto civile europeo e il suo richiamo alle persone fisiche, in diretta contrapposizione alla prevalente personalità giuridica in capo alle società tipica del diritto americano, potrebbe avvenire che Google debba “fisicamente” indicare un responsabile diretto residente in UE per le policy e il trattamento dati relativo agli utenti Gmail, e che quest’ultimo ne risponda da cittadino europeo secondo le leggi europee dinanzi agli organi richiamati in questo regolamento.
Cui per altro i regolamenti nazionali devono uniformarsi e recepirlo.
Interessante anche l’articolo 55 che prevede una “collaborazione” tra le varie autorità di controllo nazionali. Come previsto nei precedenti articoli esse devono essere “indipendenti” ma anche di nomina governativa (più o meno le nostre Autority) il che però – parlando di dati personali dei cittadini – pone problemi ( e non risolve le attuali aree grigie) ad esempio sui confini tra la collaborazione tra le autority e quella tra servizi di intelligence, anch’esse governative ma indipendenti.


Infine l’articolo 80
Trattamento di dati personali e libertà d’espressione e di informazione
1. Gli Stati membri conciliano con legge il diritto alla protezione dei dati personali ai sensi del presente regolamento e il diritto alla libertà d’espressione e di informazione, incluso il trattamento di dati personali a scopi giornalistici o di espressione accademica, artistica o letteraria.
2. Ai fini del trattamento dei dati personali effettuato a scopi giornalistici o di espressione accademica, artistica o letteraria, gli Stati membri prevedono esenzioni o deroghe rispetto alle disposizioni di cui ai capi II (principi), III (diritti dell’interessato), IV (responsabile del trattamento e incaricato del trattamento), V (trasferimento di dati personali verso paesi terzi o organizzazioni internazionali), VI (autorità di controllo indipendenti), VII (cooperazione e coerenza) e IX (specifiche situazioni di trattamento dei dati) qualora siano necessarie per conciliare il diritto alla protezione dei dati personali e la libertà d’espressione e di informazione.
3. Ogni Stato membro notifica alla Commissione le disposizioni di legge adottate ai sensi del paragrafo 2 e comunica senza ritardo ogni successiva modifica.


Che costituisce – ad esempio – una vera occasione persa per uniformare, almeno in linea generale, i diritti di cronaca, di informazione, e in via indiretta dei principi generali utili alla libertà di stampa e di informazione. 
In alcuni Stati la questione si pone poco, legata ad una consolidata (anche laddove spesso discussa) giurisprudenza. Pensiamo a paesi come la Francia, la Germania, l’Olanda, la Danimarca, la Svezia. 
Lo stesso non può dirsi di paesi come Ungheria, Polonia, e molti dei paesi di recente ingresso nell’Unione, che spesso non hanno brillato per la tutela del diritto di cronaca, di tutela delle fonti, di libertà di critica e di informazione.
In questo caso non è l’Unione a dare linee guida di tutela minima e principi unici, ma recepisce e prende atto semplicemente delle normative nazionali eventualmente emendate.


Come sempre – e non sono solo questi articoli il caso – pioveranno interpretazioni più o meno estensive di queste norme.
Per questo motivo, prima che venga pubblicato e che diventi vigente, credo che – riguardando tutti noi – sia una cosa utile renderlo disponibile in lettura per farsi un’idea precisa di cosa comporterà questo nuovo regolamento.
Per altro si consideri che dala su entrata in vigore vale anche il principio della regola della “maggiore tutela” ovvero sino al suo recepimento, se un cittadino verrà maggiormente tutelato da questa normativa, si può rivalere riferendosi ad essa contro differenti policy e prassi e regolamenti applicati, ad esempio, dal proprio provider, servizio di posta, compagnia telefonica etc.