E’ giunto al temine il percorso iniziato nel 2012 per l’approvazione di una legge sulla protezione dei dati personali valida per tutta l’Unione Europea. Il 4 maggio 2016, sono stati pubblicati sulla Gazzetta Ufficiale dell'Unione Europea i testi del Regolamento europeo per la protezione delle persone fisiche riguardo al trattamento dei dati personali e per la libera circolazione dei dati stessi e della Direttiva che tratta della privacy nei settori di prevenzione, contrasto e repressione dei crimini. (vai al testo del Regolamento (link)).

Ecco –fra i tanti - il commento di V?ra Jourová, Commissaria eurpoea responsabile per la Giustizia, i consumatori e la parità di genere: "Oggi concretizziamo la promessa della Commissione Juncker di portare a termine la riforma della protezione dei dati nel 2015. Queste nuove norme paneuropee sono adatte sia ai cittadini sia alle imprese. I cittadini e le imprese beneficeranno di norme chiare adeguate all'era digitale che conferiscono una protezione forte e al tempo stesso creano opportunità e incoraggiano l'innovazione nel mercato unico digitale europeo” (dal comunicato stampa 15 dicembre 2015 http://europa.eu/rapid/press-release_IP-15-6321_it.htm)

Dopo vent’anni si abroga la direttiva europea del 1995 e inizia il percorso per applicare le nuove norme, che raccolgono, uniformano e ampliano la normativa nazionale fino ad oggi vigente in ogni Stato. Il Regolamento sarà applicato in via diretta in tutti i Paesi dell’Unione Europea a partire dal 25 maggio 2018; entro quella data ogni stato membro dovrà fare in modo che le proprie regole siano perfettamente allineate alle disposizioni europee, che sostituiranno la normativa nazionale in materia di privacy senza necessità di recepimento formale. La Direttiva, invece, che riguarda aspetti di carattere giudiziario e penale,dovrà essere recepita dagli Stati membri entro 2 anni con proprie leggi.

Alcuni aspetti del Regolamento sono fortemente innovativi e merita citarli da subito:

In primo luogo, un’unica norma per l’intera Unione europea: cadono i confini nazionali e questo, specialmente in ambito privato, darà modo di gestire un unico grande spazio economico e informatico, in cui i cittadini avranno livelli protezione uniformi ovunque e le imprese potranno muoversi su un terreno più paritario rispetto ai colossi americani del mondo digitale.

Altro cardine, che proietta il Regolamento verso il futuro, è la cosiddetta privacy by design: si deve creare un’architettura della protezione dei dati personali nella fase di progettazione dei sistemi informativi e non agire dopo, con paletti e tortuosità complesse, costose e meno efficaci. La “prevenzione” diventa quindi una modalità di lavoro standard anche per gli operatori della privacy e, com’è avvenuto in altri campi, sarà la tecnica a definire le modalità attraverso cui garantire i principi definiti dalla norma di legge e non viceversa, consentendo in tal modo un adeguamento automatico, di pari passo con il progresso tecnologico.

Il Responsabile della protezione dei dati personali (DPO-data protection officer) sarà la nuova figura che, all’interno delle organizzazioni pubbliche e private, dovrà occuparsi del rispetto del Regolamento e far da tramite fra le unità operative, l’amministrazione o direzione, gli interessati, l’ autorità garante. Si riconosce che occuparsi di privacy non è un corollario di altre funzioni (legali, informatiche, organizzative) ma richiede competenze, conoscenze e abilità specifiche proprie, per le quali è necessaria una formazione professionale e un’attribuzione formale.

I cittadini potranno meglio controllare i loro dati personali; si dovrà garantire il “diritto all'oblio" ossia la possibilità di far cancellare i propri dati dai sistemi informativi e anche dal web (purché non sussistano motivi legittimi per conservarli); si estenderà un sistema di allerta sugli incidenti che possano occorrere ai sistemi e ai database in cui si raccolgono i dati personali; si dovranno adottare tecniche come l'uso di pseudonimi, (o, come l’abbiamo definita finora “anonimizzazione”) affinché si possano sfruttare i vantaggi dell'innovazione dei big data tutelando nel contempo la privacy.

Nel corso della discussione della legge la comunità scientifica aveva fatto emergere le proprie perplessità sull’impatto della nuova normativa rispetto all’uso dei dati personali, specialmente quelli sanitari, per la ricerca; sul sito dell’Associazione Italiana di Epidemiologia è stato pubblicato un documento che dà conto della valutazione favorevole del nuovo testo di legge sotto questo profilo, osservando come dopo una serrata discussione si sia giunti a modificare gli articoli che avrebbero imposto nuovi e sproporzionati limiti all’uso dei dati sanitari per la ricerca. ( http://aie.volanet.it/?p=1824)

Avremo occasione di sviluppare in seguito più nei dettagli le tematiche specifiche del trattamento dati in sanità pubblica, per la prevenzione e per la ricerca scientifica in modo da poter affrontare per tempo e con competenza le novità.

Per approfondire:

sito del Garante per la protezione dei dati personali – pagine di commento alla riforma

sito della Commissione Europea – pagine di commento e documentazione  (inglese)

Regolamento europeo per la protezione dei dati personali 2016/679