Nuovo regolamento europeo su privacy e trattamento di dati personali: a che punto siamo?

Sin dal 2012 si parla della riforma della normativa in tema di trattamento di dati personali e privacy. Come dichiarato più volte dai rappresentanti delle istituzioni Europee, le novità più importanti previste dal nuovo regolamento, che abroga l’attuale normativa in materia di privacy, riguarderanno:

- l’introduzione di una normativa unica per tutti e 28 i paesi dell’Unione Europea, con la conseguente eliminazione delle differenze di disciplina, anche significative, attualmente presenti nelle singole leggi nazionali;

- il rafforzamento del diritto all’oblio e la previsione di un diritto alla portabilità del dato;

- l’obbligo di applicazione della normativa europea in tema di privacy e trattamento di dati personali anche ai soggetti con sede fuori dall’Unione Europea che offrano beni e servizi sul territorio europeo;

- l’introduzione della regola “one stop - one shop”, secondo cui i singoli individui o le società che esercitano la propria attività in Europa avranno rapporti solo con un’unica autorità Garante, anche nel caso in cui i trattamenti di dati avvengano in più Stati Membri, differentemente da quanto accade oggi;

- l’obbligo per i titolari del trattamento di effettuare, in determinate circostanze, un "privacy impact assessment" (valutazione dell'impatto-privacy) in relazione a specifici trattamenti.

Nonostante lo stato di avanzamento dei lavori e il tempo trascorso dall’inizio del procedimento legislativo per la sua promulgazione, attualmente però non è ancora chiaro quando potrà essere trovato un accordo sul testo del regolamento. I più ottimisti parlano di una sua approvazione definitiva entro la fine del 2015 (ma si diceva lo stesso nel 2014), con l’entrata in vigore del nuovo provvedimento dopo due anni dalla sua promulgazione (quindi a fine 2017).

In realtà i negoziati a tre tra Consiglio Europeo, Commissione Europea e Parlamento Europeo (iniziati il 24 giugno 2015 a Bruxelles) partano sullo sfondo di grandi divergenze di opinioni. L’ultima bozza del regolamento approvata dal Consiglio Europeo differisce infatti notevolmente da quelle approvate dalla Commissione Europea e dal Parlamento Europeo, oltre che da quella proposta dal Garante Europeo per la Protezione dei dati personali, anche se quest’ultima ha solo carattere consultivo (a questo link è possibile vedere una tabella comparative di tutte le bozze approvate). In particolare grosse distanze tra le parti permangono su aspetti fondamentali della disciplina, come la definizione di “dato personale” e di “consenso” e il diritto ad opporsi al trattamento di dati personali.

In questa situazione, più che la celere promulgazione del nuovo regolamento, sembra invece auspicabile che le parti cerchino di produrre un testo che oltre tutelare i diritti dei cittadini europei sia il più chiaro e semplice possibile: un testo ambiguo, impreciso e contraddittorio, potenziale esito del compromesso politico, non gioverebbe a nessuno, Stati Membri compresi.