Mentre si sta avvicinando rapidamente il termine finale1 per allinearsi con il nuovo regolamento europeo sulla privacy (General Data Protection Regulation, “GDPR“)2 e le imprese sono impegnate in uno sforzo significativo per soddisfare i suoi diversi requisiti, nuove norme nazionali sulla protezione dei dati personali sono state pubblicate sulla Gazzetta Ufficiale e nuove linee guida sono previste per i primi di marzo dal Garante per la protezione dei dati personali (il “Garante“).
Tuttavia, come si legge qui di seguito, alcune delle nuove disposizioni italiane potrebbero sollevare qualche preoccupazione e sono già state oggetto di critiche.
Solo pochi giorni fa, nella sua comunicazione al Parlamento Europeo e al Consiglio del 24 gennaio 2018, la Commissione ha invero ribadito che il GDPR deve essere “un singolo insieme di regole per cittadini e imprese [comunitari]”, soggetto a “un’applicazione uniforme e coerente in tutti gli Stati membri“. Infatti, secondo la Commissione, “il GDPR è l’occasione per semplificare il quadro normativo [relativo alla protezione dati] e, quindi, avere meno regole nazionali e una maggiore chiarezza per le operazioni“. Inoltre, “è importante dare agli operatori abbastanza tempo per prepararsi a tutte le disposizioni che devono rispettare“.
È discutibile se la recente promulgazione, solo pochi mesi prima del 25 maggio, di nuove disposizioni nazionali italiane in materia di dati personali, sia coerente con tali indicazioni.
1. La Legge di Delegazione Europea e la Legge Europea 2017
Come informazione preliminare di contesto, va considerato che nel 2012, con la legge n. 234, l’Italia ha riformato le procedure interne per garantire la partecipazione dello Stato ai processi decisionali dell’Unione Europea e per soddisfare gli obblighi derivanti dall’adesione all’UE. Da allora, ogni anno il legislatore italiano è chiamato a discutere e approvare due leggi distinte:
• la Legge di Delegazione Europea e
• la Legge Europea.
Attraverso la prima, il Parlamento delega il Governo al recepimento nel diritto italiano di direttive, decisioni quadro e altre disposizioni dell’UE che non sono direttamente applicabili.
Dall’altra parte, tramite la seconda, il Parlamento coordina direttamente la legislazione italiana sulla base di quella dell’UE, abrogando e modificando le leggi nazionali in conformità con la normativa europea.
Disposizioni significative e di forte impatto sulla protezione dei dati personali sono contenute sia nella legge di delegazione europea che in quella europea 2017.
1.1 La Legge di Delegazione Europea
La Legge annuale di Delegazione Europea (legge n. 163/2017, articolo 13) ha conferito al Governo la delega a emanare – entro il 21 maggio 2018 – uno o più decreti legislativi per:
a) abrogare o modificare le norme del D.Lgs. 196/2003 (l’attuale “Codice Privacy“), nella misura in cui non siano compatibili con il GDPR;
b) coordinare il sistema di sanzioni amministrative previsto dal Codice Privacy con quello previsto nel GDPR ed esercitare la delega ivi contenuta (articolo 84 del GDPR), introducendo altre sanzioni (penali), che devono essere “effettive, proporzionate e dissuasive“;
c) coordinare con il GDPR qualsiasi altra legge nazionale che disciplini la materia della protezione dei dati personali; e
d) prevedere il necessario conferimento di poteri al Garante, per integrare e completare il quadro giuridico a protezione dei dati personali, attraverso suoi provvedimenti generali e autorizzazioni.
| Per effetto di queste disposizioni, il Governo ha tempo per emanare i previsti decreti delegati fino al 21 maggio (pochi giorni prima della definitiva e piena efficacia del GDPR, fissata per il 25 maggio 2018). Si tratta, tuttavia, di decreti che potrebbero modificare in modo significativo il quadro giuridico, nel qual caso le imprese italiane potrebbero essere costrette a una frenetica rincorsa per allinearsi alle nuove disposizioni governative, con solo pochi giorni a disposizione sulla data d’inizio dell’efficacia del GDPR. |
1.2 La Legge Europea
Poche settimane prima del conferimento della delega di poteri al Governo, descritta nel paragrafo precedente, il Parlamento ha anche approvato la Legge Europea 2017 (legge n. 167/2017), il cui articolo 28 modifica l’articolo 29 del Codice Privacy, nel quale introduce altresì un nuovo articolo 110-bis.
a) Il nuovo comma 4-bis dell’art. 29 del Codice Privacy stabilisce ora che il responsabile del trattamento è individuato dal titolare del trattamento stesso attraverso un contratto o un atto di designazione che deve dettagliare: (i) l’oggetto del trattamento, (ii) le finalità rilevanti perseguite, (iii) la durata del trattamento, (iv) le categorie di dati personali trattati, nonché (v) i diritti e gli obblighi del responsabile del trattamento.
| Di conseguenza, è divenuto necessario che le imprese ricontrollino tutti i loro atti di designazione a responsabile del trattamento, vuoi nei confronti di dipendenti o organi interni, vuoi nei confronti di soggetti esterni (ad esempio, i fornitori del servizio di buste paga, i fornitori di servizi IT, le agenzie che si occupano di marketing o concorsi a premi, ecc.). Tale revisione delle nomine dovrà infatti verificare che gli atti di designazione siano in linea con la nuova normativa e contengano tutti gli elementi sopra elencati. |
b) Il nuovo articolo 110-bis del Codice della Privacy riguarda, invece, il “riutilizzo dei dati a fini di ricerca scientifica e statistica” e prevede che il Garante possa (ma non debba) autorizzare l’uso secondario di dati personali, inclusi i dati sanitari (ma con l’esclusione dei dati genetici), a fini di ricerca scientifica o statistica, a condizione che i dati siano sottoposti a processi di minimizzazione e anonimizzazione in grado di proteggere gli interessi delle persone coinvolte. L’autorizzazione del Garante, da rilasciarsi entro 45 giorni dalla data di presentazione della richiesta, stabilisce le condizioni e le misure necessarie che il titolare del trattamento deve attuare per tutelare i diritti e le libertà delle persone interessate.
| La disposizione è di difficile coordinamento con il GDPR4. Le disposizioni italiane, infatti, da un lato sembrano ignorare la “presunzione di compatibilità” del riutilizzo dei dati sanitari per scopi di ricerca, prevista dal GDPR e, dall’altro lato, richiedono l’autorizzazione del Garante, il che appare in contraddizione con il principio di “responsabilizzazione” dei titolari del trattamento che permea l’intero GDPR (vale a dire, il principio per il quale nessuna autorizzazione ex ante è richiesta per il trattamento, ma ciascun titolare deve valutare autonomamente la propria conformità con il GDPR e risponderne ex post in caso di violazione). |
2. La Legge di Bilancio 2018
Il 29 dicembre 2017, pochi giorni prima della fine dell’anno, il Parlamento italiano è infine tornato ad occuparsi di protezione dei dati personali, introducendo nel nostro ordinamento una serie di disposizioni che non sembrano perfettamente coordinate né con il GDPR né con il Codice Privacy. In particolare, il Parlamento ha incaricato il Garante di emanare uno o più provvedimenti entro la fine di marzo 2018, attraverso i quali:
a) stabilire regole su come lo stesso Garante applicherà il GDPR;
b) regolamentare l’adozione di formati interoperabili da parte dei titolari del trattamento, al fine di consentire la portabilità dei dati da un titolare a un altro, su richiesta dell’interessato;
c) approvare un modello di informativa per il trattamento dei dati personali, effettuato attraverso nuove tecnologie, strumenti automatizzati e basato sull’interesse legittimo del titolare del trattamento dei dati (ossia, senza ottenimento del consenso dell’interessato);
d) definire linee guida e buone pratiche sui trattamenti dei dati personali, fondate sull’interesse legittimo del titolare del trattamento.
La legge è stata oggetto di critiche.
| Ancora una volta, desta preoccupazione il fatto che le importanti regole, la cui fissazione è stata delegata al Garante, vedranno la luce a marzo 2018. Considerando che i titolari del trattamento devono conformarsi pienamente al GDPR entro la fine di maggio 2018, regole così importanti avrebbero dovuto essere adottate ben prima. |
La legge sul bilancio 2018 pare, inoltre, imporre alle imprese obblighi aggiuntivi, non previsti dal GDPR.
| In primo luogo, la legge sembra rendere obbligatoria l’adozione di formati interoperabili ai fini della portabilità dei dati (vd. supra sub (b)), obbligo, quest’ultimo, nient’affatto prescritto dal GDPR5. |
| Inoltre, i commi 1022 e 1023 della legge di bilancio (vd. supra sub (c)) introducono un meccanismo speciale di notifica preventiva al Garante (in caso di trattamento di dati personali effettuato attraverso nuove tecnologie e strumenti automatizzati, basati sull’interesse legittimo del titolare), ma si tratta, ancora una volta, di un impianto normativo difforme dal quadro generale ideato dal GDPR6. Infatti, se è vero che in alcuni casi il GDPR richiede al titolare del trattamento di effettuare una propria valutazione di impatto sui dati personali e di consultare il Garante, è altresì vero che ciò è dovuto soltanto quando il rischio residuo di tale trattamento è “elevato”. In ogni caso, si tratta di un adempimento che il titolare fa di propria iniziativa e che risulta ben diverso da qualsiasi obbligo di notifica preventiva al Garante. Al contrario, la nuova norma italiana sembra prevedere un obbligo di notifica generale, per taluni tipi di trattamento, del tutto svincolato dal livello di rischio con (ancora una volta) un meccanismo di supervisione ex ante da parte del Garante, di difficile coordinamento con il GDPR. |
Mentre, naturalmente, si auspica che il Garante faccia uso dei poteri delegati con giudizio e perizia tecnica, introducendo regole coerenti con il quadro europeo, che non creino sovrapposizioni o attriti con il GDPR (un principio enfatizzato anche dalla Commissione europea nella sua recente comunicazione), le imprese devono comunque prudentemente prepararsi e vigilare sulle nuove regole che verranno adottate nei prossimi mesi a livello nazionale.
***
1 Restano, infatti, solo pochi mesi di qui alla scadenza del 25 maggio 2018.
2 Regolamento (UE) 2016/679 del Parlamento Europeo e del Consiglio.
3 Il medesimo comma 4-bis aggiunge che tali atti di designazione possono essere emessi a partire da modelli standard predisposti dal Garante.
4 L’Articolo 9, comma 2 let. J) e il Considerando 50 del GDPR consentono il trattamento dei dati sanitari quando “necessario a fini di archiviazione nel pubblico interesse, di ricerca scientifica o storica o a fini statistici, in conformità dell’articolo 89, paragrafo 1, sulla base del diritto dell’Unione o nazionale, che è proporzionato alla finalità perseguita, rispetta l’essenza del diritto alla protezione dei dati e prevede misure appropriate e specifiche per tutelare i diritti fondamentali e gli interessi dell’interessato”, mentre il Considerando (50) chiarisce che “Il trattamento dei dati personali per finalità diverse da quelle per le quali i dati personali sono stati inizialmente raccolti dovrebbe essere consentito solo se compatibile con le finalità per le quali i dati personali sono stati inizialmente raccolti. In tal caso non è richiesta alcuna base giuridica separata, oltre a quella che ha consentito la raccolta dei dati personali. (…). L’ulteriore trattamento a fini di archiviazione nel pubblico interesse, o di ricerca scientifica o storica o a fini statistici dovrebbe essere considerato un trattamento lecito e compatibile. La base giuridica fornita dal diritto dell’Unione o degli Stati membri per il trattamento dei dati personali può anche costituire una base giuridica per l’ulteriore trattamento (…)”.
5 Il Considerando 68 interpreta il diritto alla portabilità dei dati sancito dall’Articolo 20 del GDPR, sottolineando che: «(…) È opportuno incoraggiare i titolari del trattamento a sviluppare formati interoperabili che consentano la portabilità dei dati. (…). Il diritto dell’interessato di trasmettere o ricevere dati personali che lo riguardano non dovrebbe comportare l’obbligo per i titolari del trattamento di adottare o mantenere sistemi di trattamento tecnicamente compatibili».
6 Cioè quei trattamenti che implicano l’uso di soluzioni tecnologiche potenzialmente invasive e che possono risultare nel monitoraggio o nella profilazione degli interessati, oppure quelli che richiedono il trattamento di categorie particolari di dati personali su larga scala.