Privacy: primo passo verso una regolamentazione globale

La circolazione dei dati personali ha assunto ormai da tempo dimensioni globali. Al contrario, le norme che ne regolano trattamento e conservazione (quella che nel complesso chiamiamo tutela della privacy) finora sono state al massimo condivise a livello di “regioni”; pensiamo ad esempio alla direttiva Ue del 1995. Ma ora qualcosa è cambiato: venerdì scorso le Autorità per la protezione dei dati personali di 50 Paesi, riunite a Madrid per la 31ma Conferenza internazionale sulla protezione dei dati, hanno approvato un documento che contiene il primo pacchetto di regole standard condivise a livello mondiale.

Abbiamo chiesto a Francesco Pizzetti, presidente dell’Autorità Garante per la Privacy, cosa rappresenta la “Risoluzione di Madrid” e perché segna un passaggio tanto importante.
“Il pacchetto di regole – ci spiega Pizzetti – consiste in una serie di prescrizioni a tutela e protezione dei dati dei cittadini che, muovendo da un impianto simile a quello della direttiva europea, ma trovando un punto di accordo con tutte le Autorità di protezione dati del mondo (e quindi facendo i conti anche con diverse aree culturali) assicura per la prima volta norme uniformi e principi condivisi. È un passaggio fondamentale, perché ovviamente oggi i dati circolano continuamente, a livello globale e a una velocità incredibile, quindi una protezione dei dati sviluppata all’interno di un singolo Stato è a prescindere e a priori inadeguata”.

Fa riferimento, in particolare, alla circolazione dei dati sul web?
Non solo. Globalizzazione significa anche che le persone si muovono in tutto il mondo e, assieme a loro, si muovono i dati, che vengono trasferiti attraverso il sistema delle telecomunicazioni. Se lei, partendo da Roma per Sidney, riesce già ad avere la carta d’imbarco dell’aereo che poi la porterà, mettiamo, da Sidney a Città del Capo è perché c’è un sistema di telecomunicazioni a livello mondiale che consente al check in di Fiumicino di prenotare già il suo posto su un aereo che partirà nei giorni seguenti e da un altro continente. È evidente, quindi, che i dati circolano a livello globale e che la protezione assicurata da un singolo Stato, o anche da un’intera regione, è inadeguata. È inutile applicare le norme europee al check in di Fiumicino, se poi il dato circola e arriva in Australia, in Sudafrica e via dicendo. La protezione deve essere globale.

Quali sono i principi cardine del sistema di protezione dei dati inseriti nella “Risoluzione di Madrid”?
L’informativa, il consenso, il fatto di usare i dati in base al principio di proporzionalità, essenzialità e necessità (cioè solo quelli necessari e in modo proporzionale al fine), la tenuta dei dati e i tempi di conservazione limitati alle esigenze che si devono perseguire, misure di sicurezza adeguate a evitare furti di dati e utilizzazioni improprie. Questi i principi cardine condivisi a livello mondiale dalle Autorità, che si impegnano a prenderli come unità di misura nell’espletamento delle proprie funzioni e competenze. Poi, nel dettaglio, cos’è un’informativa adeguata, come si individua chi è responsabile del trattamento del dato, come si riconduce il dato a una persona fisica alla quale spetta il riconoscimento del diritto, tutto questo appartiene alle regole dei singoli Paesi. Ma d’ora in avanti, pur essendo riconducibili a culture giuridiche diverse, queste regole avranno un minimo comune denominatore omogeneo.

Tuttavia gli standard approvati nella Risoluzione non hanno un valore vincolante per i governi…
Non sono vincolanti, ma forniscono ai governi indicazioni importanti e concrete su come poter assicurare una protezione dati adeguata a livello planetario. La Risoluzione è, inoltre, uno strumento di “pressione” sulla strada di una futura regolamentazione globale, perché dice ai governi che tecnici ed esperti del settore hanno ritenuto di individuare criteri e regole compatibili con le rispettive culture nazionali. E questo fa fare un importante passo avanti anche alla possibilità di accordi sovranazionali che, in quanto stipulati tra Stati, diventano poi vincolanti per i legislatori.