La nuova direttiva dell'Unione Europea sulla privacy, la General Data Protection Regulation (GDPR) è in fase di test in tutta Europa. Il primo caso in Romania è iniziato con un'indagine pubblicata il 5 novembre su uno scandalo per corruzione riguardante un politico e i suoi stretti legami con un'azienda indagata per frode.
Lettera aperta chiede bilanciamento di protezione dei dati e libertà di espressione
L'autorità rumena per la protezione dei dati (ANSPDCP) ha inviato una serie di domande ai giornalisti che hanno scritto un articolo chiedendo informazioni che potrebbero rivelare le fonti. L'autorità per la protezione dei dati ha fatto riferimento anche ad una multa fino a 20 milioni di euro se i giornalisti non rispondessero. L'autorità per la protezione dei dati insiste nel dire di aver agito indipendentemente, senza alcuna interferenza politica e che il motivo è “garantire un bilanciamento tra il diritto alla protezione dei dati personali, la libertà di espressione e la libertà di informazione”.
L'Association for Technology and Internet (ApTI) insieme ad altre 11 organizzazioni per i diritti umani e media ha inviato una lettera aperta all' ANSPDCP. ApTI è un'ONG per i diritti digitali e membro della European Digital Rights (EDRi), che sostiene e promuove una rete libera e aperta in cui i diritti umani sono garantiti e protetti. La lettera chiede che l' ANSPDCP analizzi attentamente i casi GDPR che potrebbero mettere in pericolo la libertà di espressione e chieda di mettere in piedi un meccanismo urgente e trasparente per valutare i reclami per operazioni di trattamento dei dati a scopo giornalistico.
Allo stesso tempo, ApTI, insieme a Privacy International, EDRi e altre 15 ONG per i diritti digitali, ha inviato una lettera allo European Data Protection Board, con ANSPDCP e la Commissione Europea in copia, chiedendo che la GDPR non venga utilizzata per minacciare la libertà dei media in Romania.
Autorità rumena per la protezione dei dati contesta post su Facebook
L'hashtag #TeleormanLeaks si riferisce a un legame tra Tel Drum, società di costruzioni stradali con sede nella provincia di Teleorman, in Romania, attualmente sotto indagine per abuso dei fondi europei, e Liviu Dragnea, presidente del Partito Socialdemocratico e presidente della Camera dei Deputati, a capo di un impero economico nella stessa provincia. La prima parte delle indagini è stata pubblicata il 5 novembre da RISE Project, un'emittente d'inchiesta rumena. E' stato pubblicato anche un post su Facebook per promuovere l'inchiesta, come teaser.
L'8 novembre, l'ANSPDCP ha inviato una nota a RISE Project in cui chiede informazioni su dati personali contenuti nel post su Facebook, comprese le fonti. Questo ha generato l'indignazione internazionale e le preoccupazioni dell'Organised Crime and Reporting Project (OCCRP), della Commissione Europea e di decine di giornalisti e testate mediatiche.
Il giorno prima della lettera da parte dell'autorità al RISE Project, i media rumeni avevano riportato la notizia secondo cui una delle persone coinvolte nello scandalo, al momento direttore commerciale di Tel Drum ed ex presidente del dipartimento di controllo di prevenzione finanziaria nella stessa azienda, aveva presentato un ricorso per il “diritto all'oblio” alla stessa ANSPDCP. Tuttavia, sembra che la nota di ANSPDCP al RISE Project si basi su informazioni di terzi anziché su questo avviso specifico.
Dalla nota, sembra che ai sensi della GDPR, l'ANSPDCP si consideri titolata a chiedere da dove vengano delle informazioni pubblicate su dei post su Facebook. Tuttavia, non spiega come questo non violi le leggi rumene che proteggono la libertà di espressione, compreso l'uso di dati a scopo giornalistico. L' ANSPDCP non ha ancora chiarito come intenda conciliare entrambi i diritti fondamentali in causa.
GDPR e la libertà di espressione
L'articolo 153 della GDPR stabilisce che il regolamento non possa essere usato come strumento per esercitare il godimento di altri diritti, compresa la libertà di espressione dei giornalisti. Tutti i diritti fondamentali si trovano su un piano di parità e quando emerge un conflitto è necessaria una ricomposizione.
Gli stati membri e le autorità di regolamentazione devono applicare il più ampio quadro legale europeo in materia di diritti umani e tener conto della Carta dei Diritti Fondamentali dell'Unione Europea, della Convenzione Europea sui Diritti Umani e della giurisprudenza della Corte Europea sui Diritti Umani (Corte EDU).
Romania limita articolo 85 della GDPR
Il modo in cui la Romania ha implementato la GDPR solleva dei dubbi, poiché consente delle deroghe a scopi giornalistici solo in tre scenari molto specifici, che sono estremamente limitati. Si tratta del noto articolo 7. Il trattamento dei dati per attività giornalistiche è solitamente molto più ampio di quanto previsto da questo articolo. Limitare le deroghe per scopi giornalistici a solo tre opzioni elencate non è sufficiente a tutelare la libertà di espressione, in particolare la libertà giornalistica e la giurisprudenza sui diritti umani.
Intenti poco chiari dell'autorità
L'eccezione dell'articolo 7 discussa più sopra prevede che “il trattamento a scopo giornalistico o per finalità di espressione accademica, artistica o letteraria può essere realizzato se riguarda i dati personali riguardanti lo status di figure pubbliche o il carattere pubblico dei fatti in cui la persona è coinvolta”.
Dalla corrispondenza con il RISE Project, possiamo ipotizzare che l'ANSPDCP ha ritenuto che il post su Facebook non fosse stato scritto a scopo giornalistico né che questa situazione rientrasse in nessuna delle rigide eccezioni previste dall'articolo 7.
E' anche possibile che l'ANSPDCP non abbia mai inteso esaminare l'attività giornalistica, ma fosse interessata solo ad una possibile violazione dei dati personali in questione. Ma anche se la protezione dei dati avesse applicato l'articolo 7, considerati i suoi limiti non si sarebbe garantita una protezione adeguata della libertà di espressione e delle fonti giornalistiche.
Autorità rumena per la protezione dei dati non ha mai avuto titolo per chiedere le fonti
Considerata la giurisprudenza della Corte Europea dei Diritti Umani sulla libertà di parola, non è chiaro se l'ANSPDCP abbia il diritto di chiedere quali sono le fonti di un'indagine giornalistica. Al contempo, la richiesta è piuttosto vaga. L'autorità sembra essere alla ricerca di informazioni sui casi di protezione dei dati, come la fonte dei dati o il supporto di archiviazione dei dati.
Tuttavia, nella seconda parte della richiesta, l'ANSPDCP fa riferimento al diritto di accedere al supporto di archiviazione elettronica su cui sono memorizzati dati personali. Questo può essere interpretato come una richiesta di scoprire dove sono immagazzinati i dati, anche se questo tipo di accesso dovrebbe essere richiesto solo se fosse necessario per eseguire le indagini in conformità al diritto processuale rumeno.
Conciliare protezione dei dati e libertà di espressione
Affinché un'autorità per la protezione dei dati possa conciliare la libertà di espressione e la protezione dei dati, la legge deve innanzitutto prevedere un'adeguata esenzione. Come discusso più sopra, le rigide deroghe contenute nell'articolo 7 della legge rumena sollevano varie preoccupazioni. Affinché la legge sia applicata in maniera efficace e consistente, anche l'orientamento e la formazione sono importanti.
La giurisprudenza della Corte Europea dei Diritti Umani (Corte EDU) elenca i fattori che occorre prendere in considerazione rispetto a questi due diritti fondamentali. Tra questi vi sono l'impegno per l'interesse pubblico, il modo in cui le informazioni sono state ottenute e il contenuto, la forma e le conseguenze della pubblicazione del lavoro.
In risposta a questo caso Privacy International, EDRi, ApTI e altri hanno chiesto indicazioni e un intervento allo European Data Protection Board. Questo organismo dovrebbe essere usato per proteggere i diritti e non solo come uno strumento per azzittire o intimidire i giornalisti e le segnalazioni di interesse pubblico.