- EUROPA E ISTITUZIONI DELL´ UE

CORTE EUROPEA DEI DIRITTI UMANI

- La CEDU affronta, ancora una volta, la tematica del rapporto privacy/libertà di espressione con riguardo a VIPs. In questo caso, relativo alla pubblicazione giornalistica di foto ritraenti Carolina di Monaco e suoi familiari, ritenuta dalla ricorrente pretestuosa e irrilevante rispetto alla notizia contenuta nell´articolo, la CEDU respinge la richiesta della Von Hannover ritenendo che non vi sia stata una violazione della vita privata e che il bilanciamento fra i due diritti (vita privata – Art. 8 / Libertà di espressione – Art. 10) sia stato fatto correttamente dalle corti nazionali (che avevano respinto l´istanza di risarcimento e la richiesta di impedire la pubblicazione delle foto incriminate).

- Si segnala la scheda aggiornata della CEDU che riunisce la giurisprudenza pertinente in tema di diritto all´immagine. Disponibile anche la versione in lingua francese: http://www.echr.coe.int/Documents/FS_Own_image_FRA.pdf

- Da segnalare una decisione della CEDU relativa alla persistenza nel casellario giudiziale austriaco della menzione di condanne inflitte a varie persone in rapporto a reati di natura sessuale. La CEDU ha riconosciuto che l´insufficiente chiarezza delle disposizioni vigenti all´epoca del reclamo per ottenere la cancellazione dal casellario (essendo stato nel frattempo abrogato l´articolo del Codice penale austriaco che prevedeva il reato in oggetto, giudicato incostituzionale anche sulla base di giurisprudenza della stessa CEDU, in quanto discriminatorio nei confronti dell´omosessualità) ha comportato una violazione del diritto alla tutela da forme di discriminazione, in questo caso attinenti la vita privata dei ricorrenti.

-  Interessante anche la sentenza della CEDU (Grand Chamber) che torna sul caso Soderman/Svezia (v. Notizie in breve maggio-giugno 2012) per affermare che la legislazione svedese non offriva tutela sufficiente a proteggere un  minore da intrusioni nella propria vita privata (in questo caso un filmino girato nascostamente dal patrigno mentre la minore era in bagno). La sentenza precedente aveva affermato che la tutela era sufficiente, ma si riferiva ai poteri investigativi degli organi competenti, e molti giudici avevano manifestato il proprio dissenso dalle conclusioni raggiunte in maggioranza; in questo caso la Corte valuta, invece, l´intero sistema di rimedi civili o penali disponibili all´epoca dei fatti in Svezia, giudicandolo carente alla luce dell´obbligo positivo degli Stati di promuovere e garantire la tutela di cui all´Art. 8 della CEDU.

- Importanti conclusioni sono state raggiunte dalla CEDU nel caso Delfi/Estonia rispetto alla responsabilità dei fornitori di contenuti su Internet. La Corte ha affermato che non era eccessiva la sanzione (pecuniaria) inflitta ad una pubblicazione online gestita da un´azienda  che aveva omesso (secondo le corti nazionali) di adottare misure sufficienti ad impedire forme di "hate speech" nei confronti di un soggetto (ebreo) a seguito di un evento che aveva causato problemi in Estonia e che era stato commentato ampiamente sul sito di tale pubblicazione. La sola rimozione su notifica ("notice and takedown") non è sufficiente, a giudizio della Corte, che ha ritenuto la società responsabile dei commenti diffamatori postati dai lettori sul suo portale di notizie Internet.
 

CORTE DI GIUSTIZIA UE

La decisione della CGUE nel caso C-473/12 riguarda l´interpretazione dell´Art. 13 della direttiva 95/46 e la sua applicazione all´attività di un investigatore privato. La Corte conferma che ciascuno Stato membro è libero di  ("può") prevedere o meno le deroghe di cui all´Art. 13 (in particolare, rispetto all´obbligo di informativa degli interessati) nella legislazione nazionale; se lo ha fatto, tali deroghe si applicano all´attività degli investigatori privati che agiscano per conto di organismi che tutelano la deontologia professionale (i quali sono ricompresi, dunque, nella disposizione di cui all´Art. 13, comma 1, lettera d.).

PARLAMENTO EUROPEO

Due importanti studi in tema di sorveglianza sono stati realizzati per la Commissione LIBE del Parlamento europeo. Il primo riguarda l´impatto in UE della sorveglianza made in USA. Oltre a presentare un quadro chiaro della situazione dal punto di vista dei fondamenti giuridici (legislazione americana, FISA, giurisprudenza USA in materia di privacy, ecc.), contiene alcune interessanti critiche rispetto all´approccio seguito sinora dal WP29 e dalle DPA europee, a partire dalle BCR fino al Safe Harbor, e sottolinea l´incapacità delle DPA europee di affrontare e comprendere appieno le questioni e le implicazioni delle nuove tecnologie e della sorveglianza. Si propongono, al riguardo, modifiche radicali nell´impostazione e nella composizione dello staff delle DPA, anche in vista del futuro Regolamento UE sulla protezione dei dati. L´altro studio riguarda i programmi di sorveglianza nazionale vigenti in alcuni Paesi UE. Vi si afferma la necessità di superare l´opposizione privacy-sicurezza guardando al quadro più generale dei diritti in una società democratica ed al funzionamento di una tale società; secondo lo studio, ci sarebbero già oggi gli strumenti per vagliare più attentamente l´impatto delle singole iniziative di sorveglianza. Molto interessanti anche le raccomandazioni finali per il PE, dove si parla di Safe Harbor, accordo-quadro  UE-USA in materia di protezione dati, tutela giuridica dei whistleblowers, ecc..

- La Commissione competente del PE (LIBE) ha votato il 21 ottobre gli emendamenti di compromesso sul testo della proposta di Regolamento e di Direttiva. La volontà del PE è di iniziare quanto prima il "trilogo" con il Consiglio e la Commissione UE in modo da arrivare entro il mese di maggio 2014 ad un accordo politico o ad un accordo (anche parziale) su un testo condiviso. Gli emendamenti al testo della proposta di Regolamento mantengono molte delle impostazioni della proposta originale (ad esempio in materia di consenso, diritto alla portabilità dei dati), semplificando alcune disposizioni (diritto all´oblio: solo diritto alla rettifica), rafforzando le norme sui trasferimenti verso Paesi terzi (con l´introduzione di un articolo che prevede l´obbligo di previa autorizzazione dei Garanti nazionali prima di inviare dati su richiesta di autorità giudiziarie o amministrative di Paesi terzi) e modificando il sistema delle sanzioni amministrative (la cui definizione viene rimessa alle autorità nazionali entro una soglia massima con l´intervento chiarificatore e di indirizzo del Comitato europeo della protezione dati, l´erede del WP29). Alcuni aspetti critici riguardano, in particolare, l´introduzione della definizione di "dato pseudonimo", in termini piuttosto ambigui; le norme sulla profilazione; l´introduzione di un "certificato europeo" della protezione dati; la previsione di informative-standard basate su simboli.

Gli emendamenti sono disponibili qui:

• http://www.europarl.europa.eu/meetdocs/2009_2014/documents/libe/dv/comp_am_art_01-29/comp_am_art_01-29en.pdf (emendamenti ad artt. 1-29 Regolamento)
• http://www.europarl.europa.eu/meetdocs/2009_2014/documents/libe/dv/comp_am_art_30-91/comp_am_art_30-91en.pdf (emendamenti ad artt. 30-91 Regolamento)
• http://www.europarl.europa.eu/meetdocs/2009_2014/documents/libe/dv/comp_am_art_01-64/comp_am_art_01-64en.pdf (emendamenti Direttiva)

COMMISSIONE EUROPEA

La Commissione ha pubblicato un primo "deliverable" del progetto iniziato qualche mese fa rispetto all´introduzione di un "certificato europeo della privacy" (European Privacy Seal). Si tratta di un´ampia ricognizione degli schemi di certificazione esistenti, nell´UE ed in altre aree, confrontati in termini di requisiti, meccanismi di verifica della compliance, robustezza, ecc. . Ne emerge un quadro variegato, difficilmente riconducibile ad unità, anche rispetto alla supervisione su tali meccanismi (in UE affidata sempre alle autorità di controllo, altrove rimessa a soggetti privati), e si evidenzia la necessità di un ampliamento delle competenze e conoscenze dei soggetti (pubblici o privati) chiamati in causa anche in vista del futuro Regolamento europeo (che prevede appositi schemi di certificazione). A fronte dei vantaggi conseguibili a vari livelli, domina una frammentazione che non favorisce la diffusione di questi schemi di certificazione; viceversa, universalità/interscambiabilità, credibilità, coerenza sono i fattori individuati come chiave in questo ambito.

ENISA (European Network and Information Security Agency)

ENISA ha pubblicato una Guida alle verifiche (audit) in tema di misure di sicurezza, indicando i pro ed i contro dei vari schemi (anche ISO) ad oggi noti.

- PAESI UE

BELGIO

- In Belgio è stato istituito ed è entrato in funzione un Registro di opposizione alle chiamate telefoniche indesiderate ("Ne m´appelez plus"). Il Registro è gestito dall´Associazione delle imprese belghe di marketing diretto e riguarda unicamente il telemarketing (non l´invio di pubblicità postale, ad esempio).

- La Commissione per la tutela della vita privata ha firmato un protocollo con il Ministero della giustizia (cui spetta l´autorizzazione ultima) in cui sono indicati i criteri adottati per valutare la rispondenza di clausole contrattuali per i trasferimenti di dati verso Paesi terzi agli standard fissati dalla Commissione europea nelle relative decisioni ovvero, se si tratta di clausole ad-hoc, ad analoghi standard definiti dalla Commissione stessa. Interessante è soprattutto l´elenco dei criteri di adeguatezza.

GERMANIA

Le Autorità regionali (dei Länder) raccomandano in una specifica Risoluzione di implementare meccanismi di cifratura "end-to-end" per garantire la comunicazione fra privati/aziende e pubblica amministrazione.

SPAGNA

L´Autorità federale ha lanciato un portale dedicato alla tutela dei minori su Internet, comprendente vari strumenti per i docenti/genitori e un percorso ludico specificamente pensato per gli adolescenti attraverso l´uso di un fumetto.

SVIZZERA

L´Autorità federale di PD ha pubblicato una guida alla valutazione di impatto privacy, sotto forma di un questionario compilabile online che indirizza verso le aree maggiormente "sensibili" in termini di rischi per la protezione dei dati.

- ALTRI ORGANISMI E PAESI

CANADA

Importante studio preparato da un consulente per l´Autorità canadese federale di PD, sulla tematica dei "mobile payments". Ci sono alcune interessanti raccomandazioni finali soprattutto per i "mobile carriers".