Diritti fondamentali: Bilanciamento fra tutela della privacy e libertà di stampa
Da segnalare tre sentenze interessanti della CEDU di Strasburgo, tutte sul tema del rapporto fra diritto al rispetto della vita privata e libertà di stampa ed espressione (Articolo 8 / Articolo 10 Convenzione diritti umani), anche se con aspetti diversi. La decisione nel caso Telegraaf Media riguarda la segretezza delle fonti giornalistiche e l´impiego di forme di sorveglianza occulta da parte dei servizi di intelligence nei riguardi di due giornalisti (giudicate eccessive e quindi in violazione dell´Articolo 8 della Convenzione). Le due sentenze [Rothe v. Austria e Kuchl v. Austria] relative all´Austria sono legate alla pubblicazione di articoli e foto su presunti abusi avvenuti in un Seminario ad opera dei vertici di quest´ultimo, ed in entrambe la Corte ha ritenuto che non vi sia stata violazione dell´Articolo 8 guardando ai criteri di notorietà pubblica (o ruolo pubblico) delle persone coinvolte, all´effettività della tutela offerta dal diritto nazionale, alle modalità di ottenimento e pubblicazione delle foto e degli articoli in questione.

Dati di traffico: legittimo comunicarli a società di recupero crediti
La Corte di giustizia UE (caso C-119/12) ha affrontato il tema della conservazione dei dati di traffico (telefonico e telematico) per scopi di fatturazione e della loro comunicazione ulteriore a soggetti "terzi" (qui: società di recupero crediti). Per la Corte un soggetto che agisca quale cessionario dei crediti vantati dal responsabile del trattamento è un soggetto che agisce "sotto l´autorità del responsabile del trattamento" ai sensi della direttiva 2002/58 (Articolo 6), e quindi la comunicazione in questione è ammessa purché siano rispettate alcune condizioni (specifici criteri e garanzie fissati su base contrattuale per disciplinare i servizi prestati al responsabile del trattamento; trattamento limitato ai dati necessari per la fatturazione, da cancellare non appena sia realizzato lo scopo per cui sono stati comunicati al soggetto terzo, ecc.).

Poca indipendenza per l´Autorità austriaca di protezione dei dati
Con sentenza del 16 ottobre 2012 (caso C-614/10)  la Corte di giustizia UE ha stabilito l´inadempienza della Repubblica d´Austria agli obblighi della Direttiva 95/46/CE, relativi  al necessario requisito dell´indipendenza dell´autorità di controllo in materia di protezione dati. I rilievi della Corte si riferiscono, in particolare, alla circostanza per cui il "managing director" dell´Autorità è, nei fatti, un dipendente della Cancelleria federale soggetto ad un obbligo di "informazione" nei confronti di quest´ultima, cosa che del resto vale anche per il personale assegnato all´Autorità. La sentenza conferma la posizione già assunta dalla Corte nel caso relativo all´indipendenza delle autorità di protezione dati dei Laender tedeschi (sentenza C-518/07 del 9/3/2010), ribadendo che si tratta di un requisito essenziale da valutare con riguardo a tutte le caratteristiche del funzionamento dell´autorità e non soltanto all´autonomia finanziaria o alla capacità decisionale.

Cloud Computing: Strategie europee

- Pubblicata (a fine settembre) l´attesa Comunicazione della Commissione relativa alla strategie UE in materia di cloud computing. Il taglio è soprattutto economico, in termini di vantaggi ed economie di scala. Sul tema specifico della protezione dei dati, si ventila l´idea di clausole contrattuali modello per i servizi cloud in cui si tenga conto "anche" dei principi di protezione dati e, soprattutto, di standard univoci di sicurezza e portabilità, accompagnate alla promozione di "norme vincolanti di impresa" (con il coinvolgimento necessario delle autorità di protezione dati) per i soggetti che offrono tecnologie cloud. Il Gruppo "Articolo 29" ha recentemente pubblicato un proprio parere in materia di cloud computing (WP196 – v. infra).

- Il Garante europeo della protezione dei dati si è pronunciato sulla Comunicazione della Commissione europea in tema di cloud computing analizzandola alla luce della proposta di Regolamento europeo in materia di protezione dati e formulando numerose osservazioni. Da rilevare che, a giudizio dell´EDPS, occorre pensare in alcuni casi ad una sostanziale con-titolarità di trattamento fra fornitore di servizi cloud e cliente (impresa o soggetto pubblico) di tali servizi, anche se i relativi criteri definitori devono essere precisati meglio. Moltissime le raccomandazioni contenute nel parere, anche di natura tecnologica.

- La Conferenza internazionale delle Autorità di protezione dati e privacy di Montevideo (vedi infra) ha approvato, fra l´altro, una risoluzione in tema di cloud computing, con cui si chiede a tutte le parti interessate, Governi inclusi, di non abbassare il livello di tutela, di prevedere una valutazione di impatto privacy prima di ricorrere al Cloud, di favorire la responsabilizzazione di tutti i soggetti e la definizione di standard comuni, anche contrattuali.

- Una risoluzione sul "Futuro della privacy", guardando ai processi in corso finalizzati a modificare e aggiornare, a vari livelli, strumenti sovranazionali essenziali quali la Direttiva 95/46, la Convenzione 108/81 del Consiglio d´Europa, le Linee-guida OCSE in materia di privacy, al fine di promuovere collaborazione e scambio reciproco di informazioni e contributi;

- Una "Dichiarazione" in cui si richiamano opportunità e rischi legati al crescente impiego di tecniche di profilazione. Quanto ai rischi, le Autorità chiedono maggiori garanzie sia sul processo di definizione e aggiornamento degli algoritmi di profilazione, sia sul loro utilizzo e sulle rispettive finalità, distinguendo le responsabilità dei diversi soggetti coinvolti e prevedendo la consultazione delle Autorità di protezione dati ogniqualvolta, in particolare, siano soggetti pubblici a ricorrere a tali tecnologie; si sollecita anche una maggiore trasparenza sulla costituzione e l´impiego di database che utilizzino la profilazione, evitando il ricorso a decisioni esclusivamente automatizzate che comportino conseguenze giuridicamente significative per gli interessati.

Documenti approvati dal WP29
Segnaliamo la traduzione italiana di alcuni documenti recentemente adottati dal Gruppo "Articolo 29":

- WP194 (Casi nei quali non è necessario il consenso preventivo dell´utente/contraente ai fini dell´impiego di cookies nella navigazione online)

- WP196 (Parere sul cloud computing)

Segnaliamo, inoltre, due documenti adottati recentissimamente dal Gruppo:

- WP198 (Adeguatezza del livello di protezione dati nel Principato di Monaco)

- WP199 (Ulteriori input alla discussione sul futuro quadro normativo in UE relativamente alla protezione dei dati personali)