- EUROPA E ISTITUZIONI DELL´ UE

CORTE EUROPEA DEI DIRITTI UMANI

Una recente sentenza della CEDU riguarda la tutela dei dati personali di Testimoni di Geova che si erano opposti alla trasfusione di sangue in sede ospedaliera, con conseguente instaurazione di un procedimento giudiziario nel corso del quale, secondo la CEDU, non è stato cercato alcun bilanciamento (come invece necessario) fra la tutela della pubblica incolumità (eventuale) e il diritto fondamentale alla tutela delle informazioni personali (qui: la lista delle persone che si erano opposte a trasfusione per motivi religiosi).

CONSIGLIO D´EUROPA

Il Comitato dei Ministri del CoE ha adottato una dichiarazione in materia di tracciamento digitale e sorveglianza su Internet, nella quale ricorda i rischi derivanti dall´impiego sempre più diffuso di  tecniche di tracciamento sotto varie forme, e invita gli Stati membri del CoE ad adoperarsi per sensibilizzare tutte le parti in causa; sollecita, inoltre, il ricorso ad approcci di "privacy by design" - anche per evitare il rischio di abusi penalmente perseguibili, tenuto conto delle disposizioni contenute in materia nella Convenzione del CoE sulla criminalità informatica.

PARLAMENTO EUROPEO

La pagina del PE ove sono disponibili tutti i documenti prodotti dal Parlamento europeo relativi al dossier "protezione dati" per quanto riguarda le proposte di Regolamento e Direttiva:

http://www.europarl.europa.eu/oeil/popups/ficheprocedure.do?reference=2012/0011(COD)&l=en

http://www.europarl.europa.eu/oeil/popups/ficheprocedure.do?reference=2012/0010(COD)&l=en

CORTE DI GIUSTIZIA UE

- Interessante sentenza della CGUE con riguardo alla natura di "dato personale" delle informazioni contenute nel registro relativo alla presenze sul luogo di lavoro, alla luce dell´Art. 2  della direttiva 95/46. Nella sentenza si dà anche un´interpretazione dell´Art. 17 della direttiva, nel senso che quest´ultimo non osta alla consultazione immediata del registro delle presenze da parte dei dipendenti: secondo la Corte, infatti, la necessità per il titolare di garantire la sicurezza dei trattamenti non rileva a questo fine, in quanto i dipendenti sono pienamente legittimati ad accedere a tali informazioni (che sono dati personali riferiti a loro stessi); spetta invece al datore di lavoro adottare misure idonee ad impedire che altri soggetti (terzi) non autorizzati vi possano accedere.

- Sono state pubblicate il 25 giugno, come previsto, le Conclusioni dell´Avvocato Generale della Corte nel caso "Spagna (Google Spain) c. Commissione europea". Le Conclusioni danno ragione all´Autorità di protezione dati (ed al tribunale di I grado spagnolo), affermando l´importante principio per cui Google Spain (filiale costituita da Google Inc. ai sensi del diritto spagnolo) è uno "stabilimento" del titolare in Spagna, e identificando i trattamenti effettuati da Google Spain (che si occupa, apparentemente, solo di facilitare la raccolta pubblicitaria di Google Inc.) come parte integrante delle operazioni di trattamento effettuate da Google Inc. – alla luce di un´interpretazione "fattuale e concreta" che non può prescindere, secondo l´Avvocato Generale, dal modello imprenditoriale di un fornitore di servizi di ricerca su Internet quale è Google. In sostanza, l´opinione dell´Avvocato Generale individua nell´esistenza di tale stabilimento in Spagna il fattore che radica la competenza delle autorità spagnole nei confronti di Google Inc., alla luce della legislazione nazionale di protezione dati (in ultima analisi, ex Art. 4(1), lettera a), della direttiva 95/46).  Tuttavia, l´Avvocato esclude che Google Inc. sia "titolare" del trattamento per quanto riguarda i dati, anche personali,  contenuti nelle pagine web indicizzate dal motore di ricerca, in  quanto puro intermediario; pertanto, un motore di ricerca come Google non può essere oggetto di provvedimenti da parte delle autorità europee di PD (in questo caso quella spagnola) tesi a garantire il diritto all´oblio (qui: cancellazione di informazioni risalenti nel tempo relative ad un soggetto protestato); viceversa, secondo l´Avvocato Generale, la titolarità del motore di ricerca sussiste rispetto all´indice che lega URL delle pagine web reperite dal motore e keywords di ricerca, indice del quale Google è l´unico ideatore e gestore, cosicché la sua responsabilità viene in causa nella misura in cui ometta di eliminare informazioni sottratte alla reperibilità (ad esempio perché il sito sorgente ha inserito istruzioni tipo "no.robot" con riguardo a determinate aree) o non provveda ad aggiornare le informazioni indicizzate. Le Conclusioni affrontano poi un terzo quesito oggetto di rinvio pregiudiziale, relativo specificamente al "diritto all´oblio", escludendo che la direttiva attuale configuri un diritto assoluto individuale alla cancellazione o al blocco del trattamento, e ribadendo il valore essenziale della libertà di espressione.

Per maggiore chiarezza, si allega anche un estratto delle Conclusioni, contenente i punti salienti.

COMMISSIONE EUROPEA

La Commissione ha adottato il "Regolamento" attuativo di alcune disposizioni in materia di notifica delle violazioni di dati personali (data breach notification) ai sensi dell´Art. 4(3) della direttiva 2002/58 (Art. 32-bis del Codice Privacy). Il Regolamento disciplina tempistica e modalità della notifica, secondo criteri sostanzialmente identici a quelli delle linee-guida già emanate dal Garante. Il testo è in via di pubblicazione sulla GUCE.

- PAESI UE

AUSTRIA

E´ stata pubblicata recentemente sulla "Gazzetta Ufficiale" austriaca la novella che modifica la Legge federale di protezione dati stabilendo requisiti più chiari per quanto riguarda l´indipendenza funzionale e strutturale dell´Autorità di protezione dati . Quest´ultima non sarà più soggetta al controllo del Cancellierato, ed il suo personale non dipenderà più da quest´ultimo essendo stato costituito un "ruolo" autonomo dell´Autorità stessa. Si tratta di una novella che risponde alla procedura di infrazione aperta nel 2012 dalla Commissione europea contro l´Austria proprio a motivo della precedente configurazione, giudicata in contrasto con il requisito dell´indipendenza fissato nella direttiva 95/46 per le autorità di controllo.

FRANCIA

Lanciata dalla CNIL una consultazione pubblica sul tema "diritto all´oblio": http://www.cnil.fr/linstitution/actualite/article/article/construire-ensemble-un-droit-a-loubli-numerique/

Hanno associato alla consultazione anche un interessante pro-memoria su come cancellare dati personali dalle stringhe di ricerca: http://www.cnil.fr/linstitution/actualite/article/article/comment-effacer-des-informations-me-concernant-sur-un-moteur-de-recherche/

IRLANDA

L´Autorità irlandese ha firmato un "protocollo d´intesa" con la Federal Trade Commission degli USA al fine di disciplinare le modalità di collaborazione e scambio di informazioni. Da rilevare che molte aziende IT americane hanno scelto di creare filiali o succursali in Irlanda (Facebook, ad esempio).

SVIZZERA

L´Autorità federale ha pubblicato un "Promemoria" con cui fissa i requisiti che le banche dovranno rispettare per poter trasferire dati personali (sulla clientela, ad esempio) dal territorio svizzero a soggetti situati negli USA, principalmente per finalità di natura fiscale.

- ALTRI ORGANISMI E PAESI

Gruppo di Berlino (International Working Group on Data Protection in Telecommunications)

Il Gruppo ha adottato un documento di lavoro in materia di "web tracking" (Tracciamento sul web), in cui evidenzia il panorama molto variegato delle tecniche di tracciamento attualmente note (con e senza uso di cookies o simili dispositivi) e formula alcune raccomandazioni specifiche: rispetto del contesto (principio di finalità), trasparenza (informazione all´utente, no a forme "occulte" di tracciamento), potenziamento della possibilità per l´utente/interessato di avere il controllo delle informazioni in rete (disponibilità di meccanismi per l´espressione di un consenso o di una scelta, reversibilità della scelte o delle configurazioni implementate, ecc.).