Il Working Document approvato il 30 maggio scorso dal "Gruppo per la tutela delle persone con riguardo al trattamento dei dati personali" non è un atto normativo, non ha alcun potere cogente e non presenta novità sostanziali. Eppure costituirà il punto di riferimento per una parte essenziale della futura normativa sulla privacy.
Il tema affrontato nel documento è dibattuto da anni: l'invasione della vita privata degli utenti dell'internet attraverso i cookie e i diversi software-spia che, all'insaputa dell'interessato, scandagliano il suo computer per catturare dati di ogni genere. Ma per la prima volta questi problemi sono affrontati con un taglio sistematico, che tiene presente anche l'aspetto critico della giurisdizione, nei casi in cui il titolare del trattamento risieda fuori dall'Unione Europea. Anche questo punto non è nuovo: si vedano le modifiche introdotte nella nostra legge 675/96 (art. 2, commi 1-bis e 1-ter) dal decreto legislativo 467/01.

Il  Working Document completa, sotto alcuni aspetti, la direttiva approvata nel suo testo finale il giorno successivo (31 maggio) in materia di tutela della riservatezza nei servizi di comunicazione elettronica, che dovrebbe essere varata definitivamente e pubblicata entro questo mese, con alcune modifiche rispetto alla posizione comune del 28 gennaio scorso.
Il quadro organico della protezione dei dati personali nell'ambito delle telecomunicazioni si completa con la Raccomandazione relativa ai requisiti minimi per la raccolta di dati on-line nell'Unione Europea, approvata dalla stesso Working Party  il 17 maggio dello scorso anno. Si porrà quindi fine alle incertezze e discussioni seguite alla precedente direttiva sulla materia (la 97/66/CE), con un ordinamento sistematico dell'intera materia, al quale si aggiungeranno i previsti codici di autoregolamentazione.

L'applicabilità della normativa europea a trattamenti svolti da titolari che risiedono in paesi stranieri  (per "straniero" si intende uno Stato che non fa parte dell'Unione) è un tema importante del Working Document. Come tutti sanno, perseguire questi trattamenti illeciti è arduo, perché si pongono problemi di giurisdizione e di accordi internazionali.
Per superare l'ostacolo è stato escogitato il criterio dell'utilizzo di un server situato nel territorio della UE, criterio già adottato in Italia con il comma 1-bis della legge 675/96:

La presente legge si applica anche al trattamento di dati personali effettuato da chiunque è stabilito nel territorio di un Paese non appartenente all'Unione europea e impiega, per il trattamento, mezzi situati nel territorio dello Stato anche diversi da quelli elettronici o comunque automatizzati, salvo che essi siano utilizzati solo ai fini di transito nel territorio dell'Unione europea.

Il concetto è chiaro, ma la sua applicazione potrebbe essere difficile, per gli stessi motivi che abbiamo visto a proposito del recepimento della direttiva sul commercio elettronico (vedi Provider e responsabilità nelle legge comunitaria 2001). Infatti l'espressione "impiega mezzi situati nel territorio della Stato" può essere interpretata restrittivamente, con la conseguenza che qualsiasi trattamento originato al di fuori della UE sfugge all'applicazione della legge dello Stato europeo, oppure è passibile di un'interpretazione estensiva, considerando come mezzi impiegati anche i proxy server o altri computer che in un modo o nell'altro intervengono nel processo. Si tratta, in ultima analisi, di capire che cosa significa "solo ai fini di transito", e non sembra facile.

Tuttavia non si tratta di semplici affermazioni di principio, come dimostra il comma 1-ter:

Nei casi di cui al comma 1-bis il titolare stabilito nel territorio di un Paese non appartenente all'Unione europea deve designare ai fini dell'applicazione della presente legge un proprio rappresentante stabilito nel territorio dello Stato.

Facciamo un esempio pratico: un produttore di software con sede negli Stati Uniti raccoglie dati relativi agli  acquirenti italiani, attraverso una filiale o anche solo un server situato nel nostro territorio. Questo trattamento ricade nel campo di applicazione delle nostre leggi sulla protezione dei dati e quindi la società americana, che resta titolare del trattamento, deve nominare il proprio rappresentante in Italia. Qualcuno chiederà come si fa a costringere una società americana o giapponese ad adempiere a questa prescrizione e quali siano gli obblighi del rappresentante, ma questo è un altro discorso. L'importante è che sia stato stabilito un principio di protezione degli utenti europei, passaggio indispensabile prima di porre mano agli strumenti che consentiranno di rendere effettiva questa protezione.

Tutto questo, però, non cambia il principio di fondo: anche questi trattamenti rientrano a pieno titolo nelle previsioni della direttiva del '95 e della nostra legge del '96, come osserva il Garante nella sua nota pubblicata nella newsletter n. 132. Resta dunque valido il principio del consenso informato che deve essere ottenuto dall'interessato prima dell'inizio del trattamento. Per misurare la portata di questa affermazione si devono leggere le indicazioni contenute nella già citata Raccomandazione relativa ai requisiti minimi per la raccolta di dati on-line nell'Unione Europea.
Queste raccomandazioni saranno alla base della normativa ancora da emanare, in primo luogo nel recepimento della direttiva in corso di pubblicazione, e anche nella stesura del codice di autoregolamentazione dei fornitori dei servizi, che dovrebbe essere scritto entro quest'anno.

Qui si dovranno conciliare esigenze diverse, come si è già visto nella prima applicazione della legge 675/96. L'esperienza dei primi anni ha determinato diverse modifiche introdotte dal decreto legislativo dello scorso dicembre: da una parte la tutela della riservatezza degli utenti, dall'altra la necessità di non appesantire oltre misura le incombenze dei provider. Che, nello stesso tempo, dovranno fare i conti con il recepimento della direttiva sul commercio elettronico, con tutto il suo minaccioso carico di ipotesi di responsabilità.
Insomma, nei prossimi mesi non mancheranno gli argomenti di discussione.