Se la legge non e' social
A fine gennaio la Commissione europea ha proposto una nuova disciplina sulla protezione dei dati personali. Una svolta epocale: dopo anni di onorata attività è messa da parte la direttiva 95/32 che aveva, per la prima volta, recepito la trasfigurazione della privacy dalla sua originaria dimensione statica a una dinamica. Dal right to be left alone, al concetto di controllo continuo sul trattamento dei propri dati.
Se le norme della direttiva erano all'avanguardia nel 1995, non c'è dubbio che oggi siano del tutto superate dal mutato contesto tecnologico. A quale ricetta ha fatto ricorso la Commissione europea per elaborare una disciplina che potesse risultare finalmente adeguata per poter assicurare una protezione effettiva alla e-privacy? Gli ingredienti sono più di uno. In primo luogo, la scelta di un differente strumento normativo. Alla direttiva, la cui disciplina vincola soltanto nei fini, e non nei mezzi, gli stati membri, si preferisce il regolamento, dall'impatto molto più incisivo sui sistemi giuridici degli stati (dal momento della sua entrata in vigore è immediatamente obbligatorio e vincolante). Quindi, minore discrezionalità degli stati membri e maggiore uniformità della disciplina sul territorio dell'Unione.
In secondo luogo, l'obbligo per le imprese operanti in rete di fare proprio un modello di privacy by design insieme a un altro di privacy by default. Il primo fa emergere la necessità di strutturare i servizi che utilizzano nuove tecnologie in modo tale da garantire il rispetto della riservatezza degli utenti. Il secondo, invece, obbliga Facebook e altri social network a offrire agli utenti il loro servizio in modo che le informazioni che postano siano private, per l'appunto, di default e solo per volontà degli utenti stessi rese pubbliche. Altro principio fondamentale è la data portability: i cittadini avranno un accesso più facile ai loro dati personali, potendoli trasferire da un service provider a un altro al fine di favorire la competitività tra servizi.
È poi codificato, a fare da contraltare alla memoria che niente dimentica del web, il diritto all'oblio, cioè il diritto, da parte dell'utente, a richiedere la cancellazione dei propri dati immessi in rete se non sussistono motivi legittimi per mantenerli. Quello che però colpisce è l'intento, che emerge dalle disposizioni del regolamento, di prevedere un'applicazione della disciplina anche al di fuori dell'Unione europea quando il trattamento dei dati riguarda l'offerta di beni e servizi o il controllo di comportamenti di residenti in uno dei paesi membri, da parte di imprese non stabilite all'interno dell'Unione. È evidente la volontà di andare a colpire i giganti del web con server farm in Silicon Valley che non potranno quindi più avvalersi dello scudo fornito dall'argomento no server, no law. Si può dubitare di quale possa essere la reale effettività e giustiziabilità di questo principio alla luce delle divergenze sul punto tra le due sponde dell'oceano.
Francesco Pizzetti, garante dell'Autorità per la protezione dei dati personali, in un'intervista rilasciata a www.medialaws.eu, sostiene che "in un contesto in cui i problemi sono sempre più di natura transnazionale, avrebbe giovato non costituire, come mi sembra si sia fatto invece con questa nuova disciplina, una fortezza europea della privacy poco incline ad aprirsi a modalità e forme di accordi internazionali". Flessibilità: sembra questo l'ingrediente mancante nella proposta della Commissione. C'è però ancora il tempo di aggiungerlo prima che la normativa entri in vigore.