L'Irlanda è uno dei pochi Paesi europei a non aver ancora dato piena attuazione alla direttiva 95/46/CE e, per questo motivo, è stata chiamata dalla Commissione a rispondere dinanzi alla Corte di Giustizia Europea. Il ritardo nell'attuazione, è dovuta, almeno in parte, al fatto che la Repubblica irlandese si era già dotata di una legge in materia sin dal 1988, quando, con il Data Protection Act (DPA), aveva recepito la Convenzione del Consiglio d'Europa sulla protezione delle persone rispetto al trattamento automatizzato di dati di carattere personale del 1981.

C'era quindi l'esigenza di avere un'unica legge che stabilisse chiaramente diritti e doveri dei soggetti interessati, che fosse allo stesso tempo flessibile e capace di adattarsi alle evoluzioni tecnologiche, ma soprattutto che mantenesse il più possibile intatta la legislazione previgente, così da non impattare negativamente sul mercato.

Ad oggi, tuttavia, la Direttiva non ha trovato piena attuazione e il quadro normativo di riferimento resta il DPA 1988 come modificato dai regolamenti successivi, l'ultimo dei quali viene commentato qui di seguito.

II. Le novità introdotte dal Regolamento n. 626 del 2001

Il Ministero irlandese per la Giustizia, l'Equità e le Riforme ha emanato, nel dicembre scorso, un regolamento (S.I. no. 626 of 2001 - European Communities (Data Protection) Regulations, 19 December 2001),  che modifica il DPA, recependo gli art. 4, 17, 26 e 26 della Direttiva 95/46/CE. La normativa, che entrerà in vigore il 1° aprile 2002, attiene all'ambito territoriale di applicazione del DPA, alle misure per la sicurezza del trattamento e al trasferimento dei dati verso Paesi terzi.

Innanzitutto, viene ridisegnato l'ambito di applicazione della legge. Il nuovo comma 5 dell'art. 1 prevede che il DPA trovi ora applicazione non solo rispetto ai trattamenti effettuati nel territorio della Repubblica da un titolare ivi stabilito, ma anche nel caso di trattamenti effettuati da un titolare stabilito in un Paese al di fuori dell'Area economica europea che utilizzi strumenti situati nel territorio della Repubblica. In questa seconda ipotesi il titolare dovrà eleggere un rappresentante in Irlanda.
Si osserva, intanto, che la legge irlandese considera come rilevante, ai fini dell'applicazione del DPA, lo Spazio economico europeo, anziché l'UE. Questa particolarità, che si rinviene anche per quanto riguarda le norme sul trasferimento dei dati verso Paesi terzi, crea un'evidente anomalia nell'attuazione della Direttiva comunitaria.
E' interessante notare poi che tra le modifiche recentemente apportate dal legislatore italiano alla legge 675/96 ve ne sia una tesa a recepire l'art. 4 della direttiva europea in modo del tutto analogo a quanto operato dal legislatore irlandese.

Novità anche per quanto riguarda le misure di sicurezza. Il DPA imponeva al titolare del trattamento di adottare misure di sicurezza adeguate a garantire la protezione dei dati da accessi non autorizzati, alterazione, diffusione, distruzione o perdita accidentali. Ora, con il recepimento dell'art. 17 della direttiva, viene precisato con cosa debba intendersi per misure "adeguate" e, soprattutto, si prevede la possibilità di graduare le misure a seconda del tipo di trattamento e della natura dei dati, tenendo conto del livello di sviluppo tecnologico e dei costi per l'attuazione.

Cambia, infine, la disciplina sul trasferimento dei dati personali all'estero. Il DPA, nella formulazione originaria, prevedeva, da un lato, che spettasse ai titolari del trattamento assicurarsi che il trasferimento dei dati all'estero avvenisse in osservanza della legge, e dall'altro, che l'Autorità garante avesse il potere di proibire il trasferimento di dati al di fuori del territorio della Repubblica, nei casi in cui era probabile che il trasferimento contravvenisse i principi della Convenzione del 1981.
La normativa comunitaria, recepita dal regolamento in oggetto, innova radicalmente la disciplina sul punto in quanto, essendo mirata a rimuovere gli ostacoli alla circolazione di dati personali tra gli Stati Membri, sulla base dell'armonizzazione del livello di protezione dei diritti e delle libertà individuali rispetto al trattamento dei dati, ragionevolmente non prevede delle restrizioni al trasferimento dei dati al di fuori dei confini nazionali, ma piuttosto al di fuori della Comunità. E, anche nel caso dei trasferimenti verso Paesi terzi, il principio che viene accolto è quello di consentire il trasferimento di dati verso i Paesi che offrono un livello di tutela adeguato. Si considerino poi gli sforzi compiuti dalla Comunità per favorire il trasferimento dei dati verso gli Stati Uniti -con il piano Safe Harbour - e verso i Paesi terzi in genere - con l'approvazione delle clausole contrattuali standard.
Il recepimento della normativa comunitaria su questo punto rappresenta una apertura di vitale importanza per un Paese, come l'Irlanda, che in pochi anni ha attirato i capitali di delle grandi imprese multinazionali.

Il regolamento che qui commentiamo rappresenta un passo significativo sulla strada del recepimento della direttiva, che tuttavia, per essere completo, necessita di un intervento legislativo più ampio. Il pieno recepimento della direttiva è atteso per la fine del 2002.