Belgio: guerra GDPR tra le Fiandre e lo stato centrale

Belgio guerra GDPR tra le Fiandre e lo stato centrale

Interessante il caso citato, a titolo personale, da Alexandra Jaspar direttore del Knowledge Center del Garante Belga, in merito ad un ente di supporto regionale che scavalca l’Autorità nazionale nelle decisioni sulla protezione dei dati.

Il Belgio è un paese istituzionalmente diviso e la divisione è  soprattutto linguistica: francese al sud e olandese al nord. Mi è capitato di incontrare amici o colleghi Belgi (alcuni del nord ed altri del sud) che erano costretti a parlare in inglese perché nessuno dei due conosceva la lingua dell’altro.

Questa divisione, purtroppo, si trascina anche a livello decisionale e legislativo.

Regionalizzazione incostituzionale delle Fiandre

Nelle ultime settimane, le Fiandre (al nord) hanno messo in atto un sistema che consente alle forze di polizia locali di accedere al database federale dei dati di tracciamento dei contatti Covid al fine di monitorare il rispetto delle quarantene, con potenziali conseguenti sanzioni penali.

Tradotto in un decreto fiammingo del 18 dicembre, l’accesso e la condivisione di questi dati ha sollevato una semplice domanda: che fine fa il rispetto del diritto alla protezione dei dati e della vita privata? E inoltre: cosa pensa il Garante per la protezione dei dati personali?

Normalmente quando è previsto un trattamento di dati personali da parte di enti statali, come nel caso di specie, il Belgio dispone di un’autorità federale (Autorité de protection des données – APD) che deve essere consultata quando occorre un parere preventivo su una legge, un decreto ovvero un’ordinanza che prevede tale trattamento dei dati.

Negli ultimi mesi l’Autorità è intervenuta regolarmente nel dibattito pubblico e politico, in particolare attraverso i suoi pareri sul tracciamento dei contatti e più recentemente sulla registrazione programmata dei dati vaccinali.

È la garanzia per l’uso proporzionato e legale dei dati dei cittadini belgi da parte delle loro autorità. Ed è, soprattutto, l’unica autorità riconosciuta dal legislatore belga per monitorare il rispetto del GDPR e dei principi generali di protezione dei dati, e, a livello europeo, riconosciuta dal Comitato Europeo per la Protezione dei Dati.

Il VTC, che è diventato l’autorità di riferimento nelle Fiandre

Il decreto fiammingo del 18 dicembre è stato emanato senza la consultazione con il Garante.

Nelle Fiandre il Garante è stato sostituito dal VTC, che è diventato l’autorità di riferimento per la protezione dei dati.

La legislazione e l’autorità regionale non possono sostituire la legislazione federale e l’autorità federale. Afferma Elise Degraeve docente presso la Facoltà di Giurisprudenza a Namur

Il VTC è il Vlaamse ToezichtCommissieuna versione regionale e di lingua olandese dell’APD.

Ma chi è costui?

La struttura è stata creata nel 2016 e si presenta come un ente di supporto per le entità fiamminghe per assisterle nella protezione dei dati. Nel 2018, con un decreto di adeguamento al GDPR, è diventato autorità per la protezione dei dati competente a fornire pareri per la Regione fiamminga, quindi qualsiasi trattamento relativo a dati fiamminghi deve passare attraverso il VTC, ai sensi del suddetto decreto. Il suo sito (rigorosamente e esclusivamente in lingua olandese) afferma la sua competenza come autorità di controllo per tutti i trattamenti di dati effettuati dalle “autorità fiamminghe” (comuni, CPAS, scuole, asili nido, governo fiammingo, ecc.).

In questo modo i signori della terra del nord (Fiandre) hanno completamente ed incostituzionalmente scavalcato l’unica Autorità Belga per la protezione dei dati.

Secondo il GDPR, potrebbero essere istituite autorità di vigilanza regionali, come nel caso della Germania. Ma in Belgio, vista la ripartizione dei poteri, il ruolo delle autorità regionali si limita al controllo del rispetto delle “regole specifiche” che le Regioni prevedono oltre alla legislazione nazionale ed europea.

Il GDPR definisce cosa sia un’autorità di controllo. Per il momento in Belgio, solo il APD ha questo status perché solo lei ha tutte le prerogative legalmente attribuitele (legge del 3 dicembre 2017)”. Ciò significa, ad esempio, che solo l’APS ha il famoso potere sanzionatorio. aggiunge Élise Degraeve.

Se la situazione sembra chiara a livello legislativo, non lo è nei fatti.

Nella guerra continua tra la terra del nord e quella del sud questa è una scalata a favore della terra del nord: Il VTC sta prendendo il posto dell’APD e questo non sembra disturbare nessuno.

Le Fiandre ignorano il Consiglio di Stato

Il Garante per la protezione dei dati è indipendente, ma la Camera, che le assegna il budget e nomina i suoi membri, dovrebbe garantire che l’Autorità sia in grado di adempiere ai suoi compiti.

Éliane Tillieux, Presidente della Camera, è a conoscenza del problema e ricorda le norme: Tutti i progetti di legge, decreti o ordinanze che riguardano il trattamento dei dati devono essere presentati al Garante per la protezione dei dati […] Il Consiglio di Stato ha affermato che la tutela della privacy è e rimane una competenza centrale. Inoltre, recentemente, ha dichiarato che un decreto fiammingo dovrebbe essere sottoposto al APD anche se è già esaminato dal VTC.

Dopo le indagini, dal luglio 2019 nessun decreto fiammingo è arrivato sulla scrivania del Knowledge Center dell’APD, la camera che emette pareri sui progetti legislativi.

“È come se le Fiandre negassero l’esistenza dell’autorità federale” , riferisce una fonte vicina alle due autorità.

E la guerra continua

Stante questa situazione, Liesbeth Homans, presidente del parlamento fiammingo, ha affermato: L’APD si occupa di regole generali di riservatezza – come le impronte digitali sulla carta d’identità – mentre il VTC fornisce consulenza su norme specifiche che si applicano solo al territorio fiammingo. Perché il parlamento fiammingo dovrebbe chiedere consiglio a un organo federale quando le Fiandre stesse hanno un comitato di supervisione?

Per Élise Degraeve, la risposta è inequivocabile: Legislazione e autorità regionale non possono sostituire la legislazione federale e l’autorità federale. Si potrebbe prevedere che il DPA e il VTC condividano il lavoro del DPA. ma per questo sarebbe necessario che l’ente federale e la Regione concludano un accordo di cooperazione.

In questa tipica situazione “alla belga”, il Consiglio di Stato, che è lì per vegliare, dovrebbe rimettere i puntini sulle i.

Va notato che è stato abbastanza chiaro sull’argomento poiché ha costantemente confermato che si trattava di una competenza esclusiva della DPA . Insiste in più pareri sulla necessità di una preventiva consultazione del Garante per qualsiasi progetto di decreto fiammingo relativo al trattamenti di dati, e lo ha ribadito anche in suo parere del 2 dicembre scorso.

Ma quelli del nord da questo orecchio non ci sentono.

Per adesso Liesbeth Homans replica: Il Consiglio di Stato lo ripete sistematicamente, ma non ci obbliga a farlo.

E il presidente della Camera dei rappresentanti constata: “In effetti, finora, il governo fiammingo ha rifiutato di fare quanto richiesto dal Consiglio di Stato“.

L’ultima risorsa

Nel frattempo Alexandra Jaspar (direttrice del Knowledge Center dell’Autorità), ha deciso di presentare un ricorso, a titolo personale, dinanzi al Consiglio di Stato contro uno dei decreti approvati nelle Fiandre senza preventiva richiesta di parere all’Autorità per la protezione dei dati personali .

Reference: L’Echo

 

0 0 votes
Article Rating
Subscribe
Notificami
guest
0 Commenti
Inline Feedbacks
View all comments