In un’epoca in cui la gestione dei dati personali assume dimensioni rilevanti, e i cittadini sono sempre più interessati a sapere dove vanno e come vengono gestite le informazioni relative a loro stessi, può essere utile sapere chi è e cosa fa il Garante europeo per la protezione dei dati personali. Un’istituzione come l’Unione Europea si pone sempre più spesso da referente diretto del cittadino, e sempre di più sono le sue articolazioni. Il Garante europeo è una figura indipendente che si occupa dei dati personali gestiti direttamente dagli uffici dell’Unione Europea, e dagli organi ad essa collegati.
Questa è una importante differenza rispetto agli uffici dei singoli stati membri, che devono invece controllare le violazioni in qualsiasi campo avvengano, cioè sia da parte di persone fisiche che di imprese. L’obbligo per gli stati di dotarsi di un’autorità garante è stabilito dalla direttiva 95/46/CE, e in particolare dall’articolo 28. L’Italia ha adempiuto istituendo il Garante per la protezione dei dati personali attraverso la legge 31 dicembre 1996, n. 675, intitolata Tutela delle persone e di altri soggetti rispetto al trattamento dei dati personali. La legge è stata poi sostituita dal decreto legislativo 30 giugno 2003, n. 196, intitolato Codice in materia di protezione dei dati personali, che ha riordinato l’intero settore.
Successivamente un’altra direttiva europea, la numero 2002/58 (pdf), usualmente definita direttiva sull’e-privacy, ha aggiornato la direttiva 95/46/CE alle esigenze che via via si sono fatte più stringenti ed attuali, in particolare quelle derivanti dalle comunicazioni elettroniche e dallo spam. I suoi 49 “considerando”, che precedono la direttiva vera e propria, costituiscono un utile quadro riassuntivo sull’intera tematica. I successivi articoli riguardano, oltre alle comunicazioni elettroniche vere e proprie, anche norme sulle comunicazioni telefoniche.
Il Garante europeo è stato invece istituito dal Regolamento 45/2001, che implementa l’articolo 286 del Trattato istitutivo della Comunità Europea. Più precisamente, l’articolo 286, ora articolo 16 nella versione consolidata del Trattato, prevede esplicitamente che le norme comunitarie sul trattamento dei dati si applichino alle istituzioni e agli organi comunitari, e la necessità di istituire un organo di controllo indipendente – il Garante, appunto – per sorvegliare sull’applicazione delle normative, sempre con riferimento alle istituzioni comunitarie.
Il Regolamento ha, inoltre, stabilito princìpi in merito alla qualità dei dati e al loro trattamento, obblighi di informazione così come diritti dell’interessato, e ha previsto l’obbligo per ogni istituzione europea di dotarsi di un ufficio per la protezione dei dati. Il Garante dura in carica cinque anni ed è nominato tramite una decisione congiunta del Parlamento e del Consiglio, sulla base di una lista predisposta dalla Commissione, lista a propria volta derivante da un bando pubblico.