La protezione dei dati personali: chiarimenti sulla normativa europea applicabile

Il gruppo di lavoro dell'art. 29 della direttiva 95/46/CE ha emesso il parere 8/2010 per fornire ulteriori chiarimenti sull'applicazione della normativa UE in materia di protezione dei dati personali, all'interno e al di fuori dello spazio economico europeo.

Lo scopo è quello di garantire una migliore certezza giuridica, offrendo un quadro più chiaro per i diretti interessati, anche mediante esempi pratici utilizzati a supporto dei charimenti, ad esempio nel contesto delle basi dati HR (Human Resources) centralizzate, dei servizi di geolocalizzazione, del cloud computing, delle reti sociali, ecc...

Il parere fornisce alle imprese una guida per assisterle nell'interpretazione dell'art. 4 della direttiva 95/46/CE - la disposizione chiave - in base alla quale ogni stato membro deve applicare le norme nazionali quando il trattamento dei dati si svolge nel contesto delle attività di uno stabilimento del responsabile sul territorio di uno Stato membro, oppure se il responsabile non è stabilito all'interno dello spazio economico europeo, ma si avvale di attrezzature che si trovano in uno stato membro per trattare dati personali, a meno che queste non siano utilizzate soltanto a fini di transito.

A tale proposito il gruppo di lavoro chiarisce che:

  • lo stabilimento sul territorio di uno stato implica l'esercizio effettivo e reale delle attività mediante una organizzazione stabile, a prescindere dal fatto che lo stabilimento sia dotato o meno di personalità giuridica;
  • il concetto di "contesto di attività di uno stabilimento" significa che il luogo in cui si trovano i dati o dove è stabilito il responsabile non è decisiva nel determinare il diritto applicabile;

Al contrario, di fondamentale importanza dovrebbe essere la posizione dello stabilimento che svolge l'attività di trattamento dei dati, insieme ad altri fattori chiave come il grado di coinvolgimento dello stabilimento nelle attività di trattamento e la natura delle stesse.

Inoltre il gruppo considera le "attrezzature" in modo da ricomprendere in tale significato quello più ampio di "mezzi" senza peraltro escludere che, in determinate circostanze, il medesimo termine possa abbracciare anche intermediari tecnici ed umani.

Infine,un suggerimento per migliorare l'applicazione dell'art. 4 è quello di tornare al principio del paese di origine, nel senso di applicare soltanto le leggi dello stato membro in cui è situato lo stabilimento principale del responsabile; attualmente, invece, l'approccio "distribuito" favorisce la frammentazione, il che si traduce nell'applicazione di diverse leggi nazionali a differenti stabilimenti, a discapito dell'armonia e, probabilmente, anche della sicurezza dei dati.

Invece per una migliore regolamentazione dei casi di responsabili di trattamento stabiliti fuori dello spazio economico europeo, viene suggerita l'inclusione di criteri aggiuntivi, idonei a creare una connessione con questo territorio, come la determinazione del "target di individui" o l'approccio orientati ai servizi.

0 commenti: