Non danno cenno di smorzarsi le riserve e i disaccordi tra stati membri sul pacchetto europeo di riforma della protezione dei dati personali. Le trattative nelle stanze del Consiglio Ue si susseguono a capofitto da svariati mesi, ma faticano ancora a trovare la quadra su una delle colonne portanti della normativa. Si tratta della prevista introduzione del principio del “one-stop-shop” o sportello unico, sulla base del quale quando il trattamento dei dati avviene in più di un paese Ue la supervisione e l’eventuale adozione di misure correttive saranno affidate ad una singola Autorità di vigilanza, ovverossia quella dello stato in cui è basata l’azienda che controlla o gestisce le informazioni personali.
Pensata in una ragionevole ottica di semplificazione burocratica, la misura ha speditamente cristallizzato il dissenso di un nutrito contingente di governi nazionali. Il timore diffuso è che possa essere cavalcata dalle grandi web company internazionali per interfacciarsi con Garanti nazionali per la privacy notoriamente più accomodanti. Come quello dell’Irlanda, ad esempio. Il paese, cioè, dove sono acquartierati quasi tutti i colossi digitali americani, ironicamente i principali bersagli del giro di vite sul trattamento dei dati personali prefigurato dalla normativa. E perfino l’autorevole New York Times, in un lungo articolo di ieri consacrato al pacchetto europeo di riforma, evidenzia come per puro paradosso le nuove norme potrebbero tornare a vantaggio degli Ott statunitensi.
Per Germania e Olanda, in particolare, si tratta di uno scenario inaccettabile. Così il meccanismo dello “sportello unico” sarà di nuovo al centro del prossimo Consiglio dei Ministri europei della Giustizia in calendario per il 6 giugno. In quella sede verrà discusso un testo di compromesso preparato dalla presidenza di turno greca dell’Ue che dovrebbe offrire più garanzie agli stati sfavorevoli alla misura, allargando la fattispecie dei casi in cui – come avviene già oggi – sarà l’Autorità locale (e non quella del paese in cui ha sede l’azienda) a trattare eventuali denunce per violazione della privacy online o ad avere comunque la facoltà di contestare la decisione di un altro Garante nazionale.
Ma questa impalcatura a due livelli, è l’opinione di diversi analisti, minaccia piuttosto di alimentare confusione e contenziosi. Peggio: secondo il direttore generale di DigitalEurope, John Higgins, “le nuove regole potrebbero perpetuare in tal modo lo stato di frammentazione su base nazionale cui attualmente è consegnata la disciplina europea della privacy, con la differenza che infliggeranno costi maggiori sulle imprese”. Proprio la Germania teme che la normativa influisca negativamente sulla sua legislazione in materia di protezione dei dati personali, ritenuta tra le più stringenti nel mondo. E nel frattempo, a valle del Datagate che tanta sensazione ha creato nel paese, prosegue la sua battaglia in solitaria. Di ieri è infatti la notizia che il governo tedesco starebbe pensando all’istituzione di “tribunali informatici” specializzati nella tutela della privacy e in particolare del diritto all’oblio.
Secondo il commissario per la protezione dei dati olandese, Jacob Kohnstamm, il tentativo di mediazione di Atene potrebbe comunque non essere sufficiente ad appianare le divergenze. Il rischio è dunque che le tempistiche dei negoziati sul pacchetto continuino ad allungarsi, anche tenuto conto che dall’altro lato dello spettro Regno Unito, Danimarca ed alcuni paesi dell’Est Europa seguitano a chiedere un sostanziale annacquamento delle norme più stringenti paventandone contraccolpi negativi sulle proprie aziende. E anche se l’emanazione della normativa, come predicono in molti, dovesse finalmente materializzarsi nella primavera del 2015, la sua entrata in vigore è rimandata al 2017 in virtù di una deroga di due anni per dare agli stati nazionali il tempo di uniformarsi alle nuove disposizioni.
Presentato dalla Commissione Ue a inizio 2012, il pacchetto sulla data protection (composto da un regolamento e da una direttiva gemella) è stato votato in prima lettura dal Parlamento europeo nel mese di marzo. L’ambizione del commissario per la giustizia, Viviane Reding, è quella di riformare un quadro normativo vecchio di diciannove anni e applicato con troppe incoerenze dagli stati membri. Il testo approvato da Strasburgo al termine di una intensa guerriglia legislativa ha conservato in linea generale buona parte dei profili della proposta originaria. Per la prima volta le nuove norme sulla privacy si applicheranno anche alle aziende extra-Ue che trattano dati di cittadini europei. Viene introdotto il consenso esplicito al trattamento, riconosciuto il diritto alla portabilità dei dati e quello all’oblio, ossia l’obbligo di cancellazione di informazioni personali su richiesta dell’utente. Sono state anche rafforzate le sanzioni per le aziende inadempienti: potranno elevarsi sino al 2% del fatturato.
