L’Ue e la protezione dei dati personali: dalla prossima primavera regole più strette, anche in Repubblica Ceca
Col nuovo Regolamento Generale sulla Protezione dei Dati Personali, (c.d. General Data Protection Regulation o “Gdpr”), che entrerà in vigore il 25 maggio 2018, l’Unione Europea punta a irrigidire le regole in tema di dati personali, sforzandosi soprattutto di promuovere la c.d. ‘privacy by design’, cioè facendo sì che le imprese si organizzino da sé per garantire la ‘compliance’, anziché attendere l’impulso esterno delle autorità preposte. L’obiettivo è far prendere consapevolezza delle problematiche relative al trattamento dei dati personali, in particolare dei rischi che insorgono dal mancato rispetto della normativa.
Il Gdpr non comporterà cambiamenti radicali delle regole sostanziali, ma le renderà uniformi all’interno dell’Unione Europea e conferirà maggiori diritti a tutti i cittadini – ad esempio, il “diritto di essere dimenticato” – inasprendo le sanzioni in caso di inadempienza.
Sul tema della privacy, anche nella Repubblica Ceca si registrano decisioni esemplari che, oltre a far riflettere su quanto sia ineffabile il concetto di ‘dato personale’, rendono visibile a tutti la superficialità di taluni operatori e l’imprevedibilità di quello che può succedere a seguito di semplici operazioni di immagazzinamento e trattamento dei dati.
Durante la proiezione di un episodio di “Soukromá dramata” – serial televisivo dell’emittente TV Prima – la ripresa ricade su una visura camerale che esibisce i codici anagrafici di due cittadini. L’emittente viene multata, nonostante la visura camerale sia stata ottenuta dal Registro delle Imprese – cioè un registro liberamente consultabile da chiunque. La diffusione del dato a mezzo televisione, conclude la Corte Costituzionale nel gennaio 2017, è avvenuto senza il consenso degli interessati e perciò, l’uso è illegittimo.
La T-Mobile trasmette contratti a clienti sbagliati, a colpa di un errore del software, mettendo così nelle mani del cliente Caio i dati personali del cliente Tizio, e viceversa. L’infrazione, tuttavia, non viene sanzionata, in quanto l’operatore “adotta immediati provvedimenti”. L’amministrazione di un palazzo pubblica sul web i verbali delle adunanze condominiali, esponendo nomi e cognomi, date di nascita e residenza di 156 condomini. Un ingegnere che chiede di disdire l’assicurazione Vzp apprende che, contrariamente a quanto crede, è assicurato presso un altro istituto che non conosce. Riveleranno le indagini che un intermediario assicurativo aveva acquistato, da “persona ignota”, un elenco di 100 soggetti da assicurare, fra cui era ricompreso l’ignaro ingegnere, che si era limitato a fornire al broker un modello contenente i propri dati personali.
L’impressione è che nella Repubblica Ceca manchi ancora la sensibilità giusta, nonostante lo zelo dell’Autorità per la tutela dei dati personali, che ha intensificato i controlli principalmente su chi, dei dati in questione, fa un uso massiccio: istituti assicurativi, compagnie telefoniche, banche, ospedali, cliniche private, pubbliche amministrazioni. Sono proprio questi i soggetti maggiormente tenuti ad adeguarsi al nuovo Regolamento.
Dagli enti pubblici ci si aspetterebbe un atteggiamento rigoroso; tuttavia, così non è, a guardare le decisioni pubblicate sul sito dell’Autorità ceca. Esempio eclatante è la vicenda del Comune di Vysoké Mýto, che aveva affidato ad una società privata lo smaltimento di migliaia di carte di identità e targhe dei propri cittadini – ritrovate, poi, in perfetto stato, all’interno di una discarica. Non basta – ha decretato il Tribunale Municipale di Praga – stipulare una convenzione volta a garantire l’osservanza della legge sulla tutela dei dati personali; il Comune doveva anche assicurarsi che venisse adempiuta con esattezza. La sentenza è stata di recente confermata dal Tribunale Supremo Amministrativo del Paese.
Per la legge, “dato personale” non è solo nome e cognome, ma praticamente tutto ciò che rende identificabile ciascuno di noi. Sono “dato personale” le fotografie e, a seconda delle circostanze, possono esserlo il gruppo sanguigno, l’ultimo luogo o orario in cui si è usata la carta di credito, il ristorante preferito, la destinazione di un biglietto aereo, il numero di scarpe, le preferenze sessuali. Secondo gli esperti consiglieri della Commissione Europea, è ‘dato personale’ persino il valore di una casa. O il disegno fatto fare a un bambino per capirne la personalità.
Un classico esempio, forse più comprensibile a tutti, è la registrazione video all’interno di un sistema di telecamere a circuito chiuso. Nella Repubblica Ceca, sul punto si sono già formati interessanti precedenti giudiziari. Ad esempio, il padrone di casa timoroso che riprende per anni, con due videocamere private, il proprio ingresso, strade e case circostanti. Il condominio che installa un impianto di videocamere in pressoché tutto il palazzo – dall’ingresso all’interno dell’ascensore – limitandosi ad informare i residenti che “l’immobile è sorvegliato da videocamere”. In tutti questi casi, l’Autorità e i tribunali hanno confermato le sanzioni.
Per il futuro, le sanzioni potranno soltanto inasprirsi e la sensibilità dei cittadini continuerà ad aumentare, grazie alle campagne di informazione delle autorità locali ed europee. L’atteggiamento lassista e “scarica barile” – ancora prevalente in tante realtà aziendali medie e grandi – troverà ancor meno giustificazioni che prima e dovrà far posto ad una nuova sensibilità, che qualcuno ha già chiamato “l’igiene dei dati personali”.
di Massimiliano Pastore
(L’autore è un partner dello Studio legale Smed Jorgensen di Praga)