Il 19 settembre è entrato in vigore il decreto legislativo 101/2018, decreto di adeguamento della normativa nazionale alle disposizioni del GDPR. Oggi, quindi, il quadro normativo deve ritenersi più definito e non ci sono alibi per non procedere con il necessario adeguamento. Non si può non osservare, però, un disorientamento generale, generato da grossolani e fuorvianti titoloni su presunti esoneri generalizzati per i professionisti e sospensioni delle sanzioni di otto mesi per tutti.
Facciamo chiarezza su presunti esoneri e “periodi di grazia”
Oggi non sappiamo con certezza che tipologia di semplificazioni ci saranno per imprese o professionisti che il decreto di adeguamento rimanda a strumenti di “soft law”, in mano principalmente a un Garante per la protezione dei dati personali decisamente rafforzato nelle sue funzioni di vigilanza, controllo e regolamentazione dalle modifiche normative appena entrate in vigore.
Passiamo, quindi, a questa famigerata sospensione di otto mesi (da alcuni definita “stato di grazia”) di cui si è tanto parlato e scritto prima che il decreto di adeguamento al GDPR venisse finalmente pubblicato in Gazzetta Ufficiale: ora che il tanto discusso decreto c’è e finalmente è fonte di legge (e non solo fonte di diatribe dottrinali più o meno affidabili) questo “periodo di grazia” esiste o non esiste? L’art. 22 comma 13 del decreto legislativo 10 agosto 2018 n. 101 recita così: “per i primi otto mesi dalla data di entrata in vigore del presente decreto, il Garante per la protezione dei dati personali tiene conto, ai fini dell’applicazione delle sanzioni amministrative e nei limiti in cui risulti compatibile con le disposizioni del Regolamento (UE) 2016/679, della fase di prima applicazione delle disposizioni sanzionatorie”.
Credo che difficilmente si potesse scrivere una norma così bene per non farle dire nulla, o quasi, nella sua evidente ambiguità. La sospensione evidentemente non c’è, ma si rintraccia piuttosto una sorta di “preghiera” al Garante, affinché nell’applicare le sanzioni tenga conto (per un periodo di 8 mesi) della situazione di confusione in cui (ancora) si versa (dopo più di due anni dall’entrata in vigore del GDPR).
Sì, perché – ricordiamocelo – il GDPR è in vigore dal maggio del 2016, è fonte primaria del diritto della protezione dei dati personali nel nostro Paese e chiave interpretativa sia del D.Lgs. 101/2018 che ha modificato pesantemente il Codice per la protezione dei dati personali (contenuto ancora oggi nel Decreto legislativo 196/2003, come appunto novellato e parzialmente abrogato da questa ultima riforma finalizzata a coordinarlo con il GDPR), sia di qualsiasi altra normativa nazionale che possa contenere norme rilevanti in materia di protezione dei dai personali (e loro libera circolazione).
Parola d’ordine: trasparenza
Il primo consiglio, anzi la premessa necessaria a tutto ciò che diremo successivamente, è che ora non si può più scherzare e non ci sono alibi per non procedere con i necessari, importanti e faticosi adeguamenti. Il GDPR c’è ed è fonte primaria (e prevede sanzioni rilevanti). È in vigore anche il decreto di adeguamento e quindi occorre applicare i principi contenuti in queste normative in modo proattivo e secondo metodi sartoriali. Ho già avuto modo di proporre sulle pagine di Agendadigitale.eu un “pezzo estivo” che rimane una utile guida orientativa, pratica e non troppo pedante su come procedere con l’assessment privacy preteso dal GDPR. Quanto suggerito rimane valido in ogni suo principio e ne consiglio l’attenta lettura.
La parola d’ordine da seguire – ancor prima della accountability, della privacy by design e by default che costituiscono ormai le parole chiave del martellante storytelling di ogni convegno o seminario in materia – è la trasparenza. Effettuare una rigorosa, efficace e trasparente mappatura di tutti i trattamenti di dati afferenti alla propria organizzazione, siano essi svolti direttamente dal Titolare o affidati all’esterno, costituisce, infatti, il presupposto necessario di ogni azione di assessment.
Del resto, come si può garantire una efficace informativa ai sensi degli artt. 13 e 14 del GDPR per gli interessati, se non si conoscono i dettagli dei trattamenti sviluppati in qualità di Titolari? Come si possono rendere effettivi i diritti degli interessati se non si ha un controllo trasparente di sistemi informativi, database, sistemi di gestione documentale e archivi?
Come si può effettuare una esauriente analisi dei rischi ai sensi dell’art. 32 del GDPR e implementare adeguate misure di sicurezza se non si è proceduto a verificare attentamente la tipologia di dati trattati e le relative modalità di trattamento?
Come si può verificare un software o svilupparlo disegnandolo secondo i parametri di protezione delineati dal GDPR se non si conoscono nel dettaglio la natura e le finalità del trattamento dei dati e il loro ambito di circolazione?
Quindi la premessa è conoscersi in trasparenza. Solo dopo si può procedere in modo sostanziale e meno formale rispetto a come abbiamo fatto sino ad oggi, cullandoci su fac simile e raffazzonati “fai da te”.
Il nuovo Codice privacy e la gerarchia delle fonti
Molti oggi si stanno chiedendo cosa dice di nuovo il decreto di adeguamento (e sono già pronti sul mercato miracolose certificazioni, manuali e manualini da sfogliare). Prima di tutto questo decreto va letto con pazienza e attenzione. Il decreto infatti non è di facile comprensione e va guardato con calma. È utile anche sfogliare con impegno (magari consultando fonti autorevoli) il Codice della protezione dei dati come modificato dal decreto (oggi rubricato Codice in materia di protezione dei dati personali, recante disposizioni per l’adeguamento dell’ordinamento nazionale al regolamento (UE) n. 2016/679 del Parlamento europeo e del Consiglio, del 27 aprile 2016, relativo alla protezione delle persone fisiche con riguardo al trattamento dei dati personali, nonché alla libera circolazione di tali dati e che abroga la direttiva 95/46/CE). In questo modo ci si potrà rendere conto che il legislatore italiano si è mosso pienamente nelle pieghe di autonomia concesse dal legislatore europeo, quindi in alcuni ambiti peculiari, abrogando molte parti del Codice e integrandolo per specificare alcuni concetti più generali disciplinati dal GDPR. Ma – lo ribadiamo – la fonte primaria rimane il GDPR.
Il GDPR ha concesso, infatti, agli Stati membri la facoltà di specificare o integrare le proprie disposizioni in alcuni particolari ambiti. In generale, il considerando n. 8 prevede che “ove il presente regolamento preveda specificazioni o limitazioni delle sue norme ad opera del diritto degli Stati membri, gli stessi possono, nella misura necessaria per la coerenza e per rendere le disposizioni nazionali comprensibili alle persone cui si applicano, integrare elementi del presente regolamento nel proprio diritto nazionale”.
In particolare e in modo esemplificativo e non esaustivo, ci si limita, inoltre, a ricordare: il considerando 10 (il presente regolamento prevede anche un margine di manovra degli Stati membri per precisarne le norme, anche con riguardo al trattamento di categorie particolari di dati personali («dati sensibili»)); il considerando 19 ([…] gli Stati membri dovrebbero poter mantenere o introdurre disposizioni più specifiche per adattare l’applicazione delle disposizioni del presente regolamento) e il considerando 27 (il presente regolamento non si applica ai dati personali delle persone decedute. Gli Stati membri possono prevedere norme riguardanti il trattamento dei dati personali delle persone decedute). Inoltre, in via più generale e senza volontà di completezza, si ricorda ancora che il GDPR:
- lascia libertà agli Stati di definire l’età minima (non inferiore a 13 anni) del minore per poter esprimere autonomamente il consenso in relazione ai servizi della società dell’informazione;
- prevede il rinvio espresso al legislatore nazionale riguardo ai seguenti ambiti di trattamento: giornalismo, espressione accademica, artistica e letteraria, rapporti di lavoro, ricerca scientifica, statistica e storica, sanità, archiviazione nel pubblico interesse, accesso ai documenti delle PA;
- prevede il rinvio al legislatore nazionale anche rispetto alla possibilità di prevedere sanzioni penali.
In attesa delle azioni di soft law del Garante
Il nostro legislatore, quindi, con il decreto di adeguamento ha scelto di creare un certo equilibrio, (giustamente) ricordando in più punti la primarietà, almeno ai fini interpretativi, dei principi del GDPR anche negli ambiti di autonomia concessi ai legislatori nazionali. Quindi, gli impatti diretti del decreto nelle azioni di assessment per la protezione dei dati personali, possono risultare residuali per molte PMI o professionisti, in attesa di quelle azioni di soft law che arriveranno nei prossimi mesi da parte del Garante. Ed effettivamente il periodo transitorio del decreto risulta la parte più complessa da decifrare e non si può far altro che leggere con attenzione e provare a districarsi tra i periodi di efficacia e di sospensione di provvedimenti generali, autorizzazioni e codici deontologici in attesa che sia sviluppata la minuziosa e articolata azione integrativa e regolamentare del Garante.
Il Garante della protezione dei dati personali infatti esce rafforzato in molti suoi poteri e avremo presto diversi strumenti di soft law a disposizione che potranno essere d’ausilio interpretativo per sviluppare quell’opera di adeguamento che dovremmo già da tempo aver avviato. Vengono inoltre confermati nel decreto rilevanti specificazioni in materia di “attribuzioni e compiti ai soggetti designati” che permetteranno di gestire e applicare, anche nella propria organizzazione interna, l’importante principio dell’accountability che pervade la normativa europea. In particolare viene precisato nel decreto che “il titolare o il responsabile del trattamento possono prevedere, sotto la propria responsabilità e nell’ambito del proprio assetto organizzativo, che specifici compiti e funzioni connessi al trattamento di dati personali siano attribuiti a persone fisiche, espressamente designate, che operano sotto la loro autorità. Il titolare o il responsabile del trattamento individuano le modalità più opportune per autorizzare al trattamento dei dati personali le persone che operano sotto la propria autorità diretta” (art. 2-quaterdecies del Codice – attribuzione di funzioni e compiti a soggetti designati).
La vera novità riguardo il DPO
Non si possono dimenticare le specificazioni del legislatore in merito ai trattamenti svolti in ambito pubblico e la previsione dell’obbligo di DPO per i trattamenti effettuati dalle autorità giudiziarie nell’esercizio delle loro funzioni. E proprio in merito alla figura del DPO la vera novità degli ultimi giorni non riguarda il decreto di adeguamento, ma un’importante sentenza del TAR Friuli Venezia Giulia che ha con autorevolezza affermato il principio della non obbligatorietà (e oseremmo dire superfluità) delle certificazioni per svolgere questa delicata funzione, sottolineandone la necessaria competenza anche in ambito giuridico. Ma il DPO – giova ricordarlo – è una funzione che deve avere forti caratteristiche di multidisciplinarietà per occuparsi di ambiti così diversi e complessi.
Per concludere, e a prescindere da tutto ciò che non ho potuto ricordare e che è presente nel decreto di adeguamento e, quindi, dalle letture approfondite dello stesso che dovremo tutti fare, non posso non ricordare che l’aspetto oggi più importante per applicare la normativa (che rimane prima di tutto europea) è conoscersi in trasparenza e dimostrare di aver provato a mappare con serietà la propria situazione per avviare un percorso sostanziale e non solo formale di adeguamento. Per farlo, ci possono volere settimane, mesi o addirittura anni a seconda dell’organizzazione di riferimento.
L’adeguamento alla normativa europea è, infatti, un percorso complesso, delicato che ha un avvio, ma che poi deve andare avanti con costanza, senza mai terminare del tutto. E infine – lo dico con il sorriso, ma anche con una certa dose di preoccupazione per ciò che mi capita di leggere in giro – cercate di diffidare dei miracoli e dei bollini a buon mercato, perché uno studio approfondito e serio della normativa e della propria organizzazione rimane la migliore soluzione per mettersi in regola.