Il caso in questione nasce dal fatto che molte istituzioni finanziarie si sono spesso rifiutate di fornire ai loro clienti o ex clienti accesso ai loro stessi dati relativi a finanziamenti non concessi, sulla base della Section 4 (4A) (b) (ii) del Data
Protection Act.
La regola generale, infatti, stabilisce che i dati personali relativi a un soggetto che consistono nell’espressione di un parere circa lo stesso possono essere divulgati all’interessato anche senza il consenso di chi ha espresso l’opinione, mentre il comma sopracitato costituisce un’eccezione prevedendo che
nel caso in cui l’opinione sia stata data in confidenza, i dati possano non essere divulgati.
Il Data Protection Commissioner, interpellato sulla questione, ha precisato che tale esenzione deve essere limitata alle sole opinioni contenute nella documentazione e non a tutto il resto dei dati che invece può e deve essere fornito su richiesta dell’interessato.
Ne consegue, quindi, che un responsabile del trattamento può soddisfare la richiesta di accesso semplicemente rendendo non leggibili quelle porzioni del documento che consistono in pareri o opinioni sul soggetto.
Inoltre, il DPC ha sottolineato che, dal momento che le opinioni espresse dai dipendenti di un istituto finanziario sono parte delle loro attività quotidiane e delle funzioni che gli competono, gli stessi dovrebbero anche assumersi la responsabilità di spiegare ad un eventuale cliente che ne fa richiesta, i motivi che li hanno portati a formulare quelle opinioni e a prendere una certa decisione in merito al finanziamento richiesto, senza nascondere il proprio pensiero appellandosi al diritto alla riservatezza e confidenzialità.
Sulla base di queste considerazioni, il Commissioner ha avvisato tutte le istituzioni finanziarie che ogni ulteriore ricorso alla Section 4 (4A) (b) (ii) del DPA al fine di rifiutarsi di fornire l’accesso a documenti contenenti opinioni confidenziali circa la concessione di un finanziamento, sarà sanzionato con provvedimenti amministrativi.
CONCLUSIONI
Giunti alla fine di questa trattazione si rendono necessarie alcune considerazioni.
Come abbiamo avuto modo di apprezzare durante l’analisi della normativa vigente in Irlanda in materia di protezione di dati personali, il governo irlandese ha sempre dimostrato una particolare attenzione all’argomento, precorrendo i tempi di molte altre nazioni e addirittura quelli europei. Infatti, mentre l’Irlanda approvava la prima legge sulla Data Protection nel 1988, il Parlamento Europeo e il Consiglio dell’Unione Europea hanno aspettato fino al 1995 per emanare la prima, e finora unica, normativa che tentasse di dare delle linee guida ai singoli Stati in modo che questi uniformassero la disciplina nazionale a determinati standard qualitativi.
Possiamo, quindi, dire che in passato, l’Irlanda ha fatto molto in materia di Data Protection, prima anticipando e poi, una volta emanata la Direttiva europea, adeguandosi a questa e cercando sempre di unificarsi a quanto richiesto dalla Comunità europea. La Repubblica irlandese ha, infatti, recepito la Direttiva 95/46/CE in modo quasi totale con il Data Protection Act del 2003.
Tuttavia, come abbiamo esaminato nel primo capitolo, la privacy è un diritto fondamentale che da sempre è calato nel suo ‘momento storico’ di riferimento. Per questo motivo, ad esempio, ai tempi di Warren e Brandeis, quando ancora i personal computer non erano stati inventati, i diritti che necessitavano di tutela erano soltanto quelli relativi alla protezione dell’ambiente familiare e del diritto di proprietà.
Ad oggi, la situazione è totalmente diversa. Viviamo, infatti, in un mondo che, cambiando rapidamente, pone sempre nuove e incessanti sfide per la tutela della privacy intesa nella sua accezione moderna di “controllo delle informazioni personali che ci riguardano”.
Nel suo Annual Report del 2011, il Data Protection Commissioner, ha affermato: “il panorama relativo alla protezione dei dati personali sta cambiando. Stiamo assistendo ad un importante mutamento circa la natura e il tipo di denunce ricevute dal nostro Ufficio, che sono passate dalle consuete lamentele riguardo all’uso inappropriato o scorretto dei dati personali da parte di soggetti incaricati ad un focus più preciso su certe violazioni tecnologiche ad opera di software che raccolgono e trattano dati in modo automatico”.
La Direttiva 95/46/CE, pilastro fondamentale nell’impianto della vigente normativa in materia di protezione dei dati personali, non basta più. La stessa, infatti, è stata adottata nel 1995 con due obiettivi: salvaguardare il diritto fondamentale alla protezione dei dati e garantire la libera circolazione degli stessi tra gli Stati membri.
Tuttavia, venti anni fa neanche l’1% degli europei sapeva usare Internet. Oggi, al contrario, sono incalcolabili i dati personali scambiati in una frazione di secondo da una parte all’altra del globo; senza contare il fatto che il modo in cui sono raccolti, consultati e utilizzati i dati personali è radicalmente cambiato nel tempo.
Per questi motivi, la Commissione europea, nel 2012, ha proposto una riforma globale della normativa del 1995 in materia di protezione dei dati, che comprende sia un nuovo Regolamento sia una nuova Direttiva, la quale, una volta
approvata, andrà a sostituire quella del 1995, che attualmente costituisce la normativa vigente in materia.
La riforma ha due intenti: rafforzare i diritti alla privacy online da una parte, e stimolare l’economia digitale europea dall’altra. Peraltro, la Direttiva 95/46/CE è stata attuata in modo diverso nei 27 Stati membri, con una conseguente frammentazione e divergenza sul piano dell’effettiva applicazione.
Il piano d’azione della Commissione ha sottolineato che “in una società globalizzata, caratterizzata da un rapido progresso tecnologico in cui lo scambio d’informazioni non conosce confini, è quanto mai importante garantire il rispetto della vita privata. L’Unione deve assicurare l’applicazione sistematica del diritto fondamentale alla protezione dei dati. Occorre rafforzare la posizione dell’UE in relazione alla protezione dei dati personali in tutte le politiche europee, anche nel contrastare e prevenire la criminalità e nelle relazioni internazionali”.
Tra i principali cambiamenti introdotti dalla riforma si avrà, innanzitutto, un corpus unico di norme di protezione dei dati valido per tutta l’Unione. Inoltre, sarà più facile accedere ai propri dati personali e grazie al cd. “diritto all’oblio” qualsiasi soggetto potrà decidere quali informazioni che lo riguardano far continuare a circolare dopo un determinato periodo di tempo (in particolare nel mondo online), e quali cancellare. Un altro aspetto interessante riguarda i poteri delle autorità nazionali di controllo, il cui parere sarà indispensabile qualora si intendano adottare strumenti normativi, comprese le leggi, che impattino sulla protezione dei dati personali. Inoltre, le stesse autorità, al fine di applicare al meglio le norme UE nei rispettivi paesi, avranno la possibilità di comminare sanzioni
pecuniarie a quelle imprese che violeranno il diritto dell’Unione.
La riforma in materia di protezione dei dati personali è ancora una bozza a livello europeo, attualmente al vaglio del Parlamento Europeo.
E’ auspicabile che si arrivi presto ad una riforma, e in particolare all’emanazione di un Regolamento europeo in materia di protezione dei dati personali, in modo tale che tutti gli Stati membri siano sempre al passo con i tempi e con tutti gli eventuali pericoli che una società “digitale” può presentare.
L’Irlanda, ad esempio, a parte qualche specifica
regolamentazione, è rimasta bloccata al Data Protection Act del 2003, nonostante da allora il panorama mondiale in materia di condivisione di informazioni personali sia cambiato notevolmente. Per di più, l’approvazione di un Regolamento unico, al contrario di quanto avviene per una Direttiva, lo renderebbe immediatamente efficace. Ciò significa che, una volta adottato, sarà vigente in tutti gli Stati membri dell’Unione europea, senza bisogno di un recepimento dello stesso nella normativa nazionale dei singoli Stati, con la conseguenza che, almeno per quanto riguarda i principi basilari, non ci saranno disparità di trattamento in materia. Spetterà, poi alle singole nazioni, Irlanda compresa, tenere aggiornata la normativa interna attraverso il costante monitoraggio dei pericoli e dei meccanismi di tutela per gli individui.