Il travagliato percorso della riforma

Acquisita, alla luce del processo normativo europeo e internazionale, l’emersione del (nuovo) diritto alla protezione dei dati personali come fattispecie complessa, non suscettibile di essere piegata a un criterio di lettura univoco, occorre esaminarne le prospettive di sviluppo futuro.

Negli ultimi anni, in seno alle Istituzioni europee, si è avvertita la necessità di intervenire per razionalizzare e rendere coerente il quadro regolamentare esistente. La Commissione Europea si è assunta il compito “titanico” di mettere in campo una revisione generale del sistema di data protection.

117

Gloria GONZÁLEZ FUSTER and Raphaël GELLERT, “The fundamental right of data protection in the European Union: in search of an uncharted right”,

International Review of Law, Computers & Technology, 2012, Vol. 26, N. 1, pp.

79-80.

118

Orla LYNSKEY, “Deconstructing data protection: the 'added-value' of a right to data protection in the EU legal order”, cit., p. 15.

58

La riforma non scaturisce da un interesse contingente e occasionale, bensì rappresenta il frutto compiuto e maturo di un lento e complesso percorso di ripensamento dello status quo ante.

Le premesse della recente riforma vanno rintracciate nelle consultazioni pubbliche sul tema della protezione dei dati personali promosse dalla Commissione, rispettivamente, nel 2009 e nel 2011, volte a far emergere i nodi critici da risolvere, acquisendo il punto di vista dei vari attori coinvolti. Contestualmente è stata sondata la percezione diffusa nell’opinione pubblica, attraverso un sondaggio Eurobarometro119 condotto nel 2010 ed è stata commissionata una serie di studi a gruppi di esperti cultori della materia.

A conclusione di questi lavori, il 25 gennaio 2012 la Commissione ha presentato ufficialmente il pacchetto di riforma, articolato in due strumenti:

 una proposta di regolamento del Parlamento Europeo e del Consiglio concernente la tutela delle persone fisiche con riguardo al trattamento dei dati personali e la libera circolazione di tali dati (regolamento generale sulla protezione dei dati), destinato ad abrogare la direttiva 95/46/CE120;

 una proposta di direttiva del Parlamento Europeo e del Consiglio concernente la tutela delle persone fisiche con riguardo al trattamento dei dati personali da parte delle autorità competenti a fini di prevenzione, indagine, accertamento e perseguimento di reati o di esecuzione di

119

Speciale Eurobarometro (EB) 359, Data Protection and Electronic Identity in

the EU (2011), consultabile al seguente indirizzo:

http://ec.europa.eu/public_opinion/archives/ebs/ebs_359_en.pdf. I risultati del sondaggio hanno evidenziato come un’elevata percentuale di cittadini europei (70%) nutra forti preoccupazioni in ordine alla possibilità che i dati personali che li riguardano, detenuti dalle imprese, siano impiegati per una finalità diversa da quella per la quale sono stati raccolti.

120

Commissione Europea, Proposta di regolamento del Parlamento Europeo e del Consiglio concernente la tutela delle persone fisiche con riguardo al trattamento dei dati personali e la libera circolazione di tali dati (regolamento generale sulla protezione dei dati), 25.1.2012, COM(2012) 11 final.

59

sanzioni penali, e la libera circolazione di tali dati121, che prenderà il posto della decisione quadro 2008/977/GAI.

L’avanzamento della riforma è stato rallentato da tentativi ostruzionistici del Regno Unito e, più sorprendentemente, della Germania e Svezia122, per il timore che le nuove regole potessero imporre oneri eccessivi in capo alle imprese.

L’iter legislativo ha subito una momentanea battuta d’arresto in concomitanza con la fine della legislatura e le nuove elezioni per il Parlamento Europeo, tenutesi nel maggio 2014, e il conseguente rinnovamento della composizione della Commissione.

La base giuridica, sulla quale si è fondata l’emanazione di entrambi gli strumenti che compongono il pacchetto di riforma, è rappresentata dall’art. 16, par. 2 TFUE123, che impone il ricorso alla procedura legislativa ordinaria, nell’ambito della quale Parlamento e Consiglio agiscono da co-legislatori.

Il 12 marzo 2014 il Parlamento Europeo ha approvato in prima lettura il testo del regolamento, apportandovi degli emendamenti.

Il 15 giugno 2015 il Consiglio ha concordato un orientamento generale sul proposto regolamento, dando così alla Presidenza un mandato di negoziato per avviare “triloghi”124

con il Parlamento Europeo.

121

Commissione Europea, Proposta di direttiva del Parlamento Europeo e del Consiglio concernente la tutela delle persone fisiche con riguardo al trattamento dei dati personali da parte delle autorità competenti a fini di prevenzione, indagine, accertamento e perseguimento di reati o esecuzione di sanzioni penali, e la libera circolazione di tali dati, 25.1.2012, COM(2012) 10 final.

122

Tale notizia è riportata, ex multis, nell’articolo di Raegan MACDONALD,

Human Rights Day: EU’s Data Protection Reform: restoring trust by reinforcing user rights, 10.12.2013, reperibile al seguente indirizzo: https://www.accessnow.

org/human-rights-day-eus-data-protection-reform-restoring-trust-by-reinforcing/.

123

V. supra, par. 2.3.

124

I cc.dd. “triloghi” non sono previsti da alcuna disposizione dei trattati istitutivi, ma rappresentano una prassi ormai diffusa nella procedura di co-decisione, dando vita a negoziati inter-istituzionali, al fine di ridurre i tempi dell’iter legislativo. Si tratta di incontri informali ai quali partecipa un numero ristretto di membri del Consiglio, rappresentanti del Parlamento e della Commissione, con l’obiettivo di raggiungere un accordo su un pacchetto di emendamenti che sia accettabile sia per il Consiglio che per il Parlamento.

60

All’esito di questi triloghi, nel dicembre 2015 Consiglio e Parlamento Europeo hanno raggiunto un accordo sul testo di compromesso globale.

Su questa base il Consiglio ha definito la propria posizione in prima lettura l’8 aprile 2016.

Il Parlamento Europeo ha approvato in via definitiva il regolamento il 14 aprile 2016, senza introdurre modifiche rispetto al testo del Consiglio, ponendo fine all'iter legislativo.

Contestualmente è stata approvata la direttiva (UE) 2016/680 del Parlamento Europeo e del Consiglio relativa alla protezione delle persone fisiche con riguardo al trattamento dei dati personali da parte delle autorità competenti a fini di prevenzione, indagine, accertamento e perseguimento di reati o esecuzione di sanzioni penali, nonché alla libera circolazione di tali dati e che abroga la decisione quadro 2008/977/GAI del Consiglio.

Il regolamento (UE) 2016/679 del Parlamento Europeo e del Consiglio relativo alla protezione delle persone fisiche con riguardo al trattamento dei dati personali, nonché alla libera circolazione di tali dati e che abroga la direttiva 95/46/CE (regolamento generale sulla protezione dei dati) non sarà immediatamente applicabile. Si preannunzia un periodo transitorio di un paio di anni, per consentire ai vari attori coinvolti nel trattamento dei dati personali di adeguarsi alla nuova e complessa normativa, ponendo in essere tutte le misure necessarie per conformare la propria struttura organizzativa.

61