L’Autorità garante ha messo la parola fine a un periodo di oggettiva ambiguità normativa in merito alle Autorizzazioni generali, individuando, con le prescrizioni contenute nel Provvedimento n. 497 del 13 dicembre 2018, le Autorizzazioni generali che risultano compatibili con il Gdpr e con il d.lgs. n. 101/2018 di adeguamento del Codice Privacy. E’ stata contestualmente avviata una consultazione pubblica (che terminerà il 12 marzo) col fine di acquisire osservazioni e proposte sulle predette prescrizioni.
Esaminiamo quali autorizzazioni generali restano valide (5) e quali cessano la loro validità alla luce della nuove disposizioni, cominciando con lo specificare che tutte le prescrizioni, aggiornate alla luce della nuova disposizioni in materia di privacy, che dovranno continuare ad essere rispettate da ogni soggetto che tratta dati personali per le finalità indicate sono evidenziate nell’Allegato 1 al Provvedimento.
Cosa cambia
Il principale cambiamento rilevabile a colpo d’occhio è il venir meno della base giuridica lecita per tutti quei trattamenti di dati personali particolari contenuti nelle prescrizioni delle Autorizzazioni generali non più valide:
- Ag n. 2/2016 al trattamento dei dati idonei a rivelare lo stato di salute e la vita sessuale;
- Ag n. 4/2016 al trattamento dei dati sensibili da parte dei liberi professionisti;
- Ag n. 5/2016 al trattamento dei dati sensibili da parte di diverse categorie di titolari;
- Ag n. 7/2016 al trattamento dei dati a carattere giudiziario da parte di privati, di enti pubblici economici e soggetti pubblici.
Quindi bisognerà prestare a particolare attenzione sia alla base giuridica che al trattamento delle categorie particolari di dati che – ricordiamo – dovranno essere effettuati nel rispetto dell’Art. 9 (Trattamento di categorie particolari di dati personali) del Regolamento 2016/679 UE.
I provvedimenti e i termini
Ma vediamo i provvedimenti e i termini.
L’Autorità Garante per il trattamento dei dati personali ha assunto il 13 Dicembre 2018, ai sensi dell’Art. 21 del D. Lgs. 10 agosto 2018, n. 101 (Autorizzazioni generali del garante per la protezione dei dati personali) le prescrizioni contenute nelle Autorizzazioni generali nn. 1/2016, 3/2016, 6/2016, 8/2016 e 9/2016 che contengono specifiche prescrizioni compatibili con il nuovo assetto normativo.
Il decreto, in particolare al comma 1 dispone che “Il Garante per la protezione dei dati personali, con provvedimento di carattere generale da porre in consultazione pubblica entro novanta giorni dalla data di entrata in vigore del presente decreto, individua le prescrizioni contenute nelle autorizzazioni generali già adottate, relative alle situazioni di trattamento di cui agli articoli 6, paragrafo 1, lettere c) ed e), 9, paragrafo 2, lettera b) e 4, nonché al Capo IX del regolamento (UE) 2016/679, che risultano compatibili con le disposizioni del medesimo regolamento e del presente decreto e, ove occorra, provvede al loro aggiornamento. Il provvedimento di cui al presente comma è adottato entro sessanta giorni dall’esito del procedimento di consultazione pubblica”.
In particolare sono state ritenute compatibili con il Gdpr e con il D. Lgs. 196/2003 (Codice in materia di protezione dei dati personali) come modificato dal D. Lgs. 101/2018:
- l’Autorizzazione generale n. 1/2016 al trattamento dei dati sensibili nei rapporti di lavoro,
- l’Autorizzazione generale n. 3/2016 al trattamento dei dati sensibili da parte degli organismi di tipo associativo e delle fondazioni,
- l’Autorizzazione generale n. 6/2016 al trattamento dei dati sensibili da parte degli investigatori privati,
- l’Autorizzazione generale n. 8/2016 al trattamento dei dati genetici e
- l’Autorizzazione generale n. 9/2016 al trattamento dei dati personali effettuato per scopi di ricerca scientifica
E’ stata quindi sancita la cessazione dell’efficacia delle altre Autorizzazioni generali: nn. 2/2016, 4/2016, 5/2016 e 7/2016.
L’avvio della consultazione pubblica
Come previsto sempre dall’Art. 21 del D. Lgs. 101/20198 è stato quindi previsto di avviare una consultazione pubblica volta ad acquisire osservazioni e proposte riguardo alle predette prescrizioni invitando tutti i soggetti interessati a far pervenire le osservazioni, i commenti, le informazioni, le proposte e tutti gli elementi ritenuti utili, entro 60 giorni dalla pubblicazione dell´Avviso pubblico di avvio della medesima consultazione sulla Gazzetta Ufficiale, all’indirizzo del Garante di Piazza Venezia n. 11, 00187 – Roma, ovvero al’indirizzo di posta elettronica consultazione.prescrizioni@gpdp.it specificando che i contributi inviati dai partecipanti alla consultazione non precostituiscono alcun titolo, condizione o vincolo rispetto ad eventuali successive determinazioni del Garante.
La consultazione pubblica prevista dall’Art. 21 del D. Lgs. 101/2018 ha avuto inizio con l’Avviso pubblico di avvio della consultazione sul provvedimento che individua le prescrizioni contenute nelle Autorizzazioni generali pubblicato sulla Gazzetta Ufficiale n. 9 dell’11 Gennaio 2019 e avrà termine il 12 marzo 2018.
La consultazione pubblica
Le motivazioni della necessità dell’avvio di una consultazione pubblica nascono da lontano e hanno una motivazione di tipo qualitativo. Infatti, la qualità delle procedure seguite nell’adozione degli Atti di regolazione condiziona – com’è facilmente intuibile – il raggiungimento del risultato programmato; in particolare, tale coinvolgimento, influisce in modo determinante sulla percezione che i destinatari hanno delle regole e quindi anche sul grado della loro osservanza raggiungendo in pieno gli obiettivi del regolatore/legislatore. Il punto di partenza per valutare l’impatto della regolazione è rappresentato dalle opinioni e dai pareri che i soggetti destinatari diretti dell’intervento possono fornire al regolatore.
Tali previsioni sono state fatte proprie – sin dal 1995 – dall’Ocse (Organizzazione per la cooperazione e lo sviluppo economico) che ha riconosciuto l’esigenza di produrre una regolazione di qualità e pertanto ha invitato gli Stati membri a conformarsi alle raccomandazioni a tal fine elaborate. In particolare, in esse viene sottolineata l’importanza di ricorrere alla consultazione preventiva dei potenziali destinatari delle regole da adottare. Tale attività, volta a raccogliere il maggior numero possibile di informazioni e valutazioni da parte dei soggetti interessati, si rivela utile in termine di efficienza della regolazione. In tal modo infatti le regole adottate sono condivise e in parte concordate con i soggetti tenuti a rispettarle.
Nel 2002 con la Comunicazione dal titolo “Governance europea: Piano d’azione semplificare e migliorare la regolamentazione” e successivamente nel 2005 con la Comunicazione al Consiglio e al Parlamento europeo dal titolo “Una migliore regolazione per la crescita e l’occupazione nell’Unione europea”, la Commissione europea ha sollecitato gli Stati membri ad adottare misure volte a semplificare e a migliorare l’attività di regolazione sia a livello comunitario che nazionale. A tal fine la Commissione ha auspicato l’introduzione dell’analisi di impatto della regolazione come strumento per verificare la necessità, l’adeguatezza e la proporzionalità dell’intervento regolatorio rispetto agli obiettivi che con esso si intendono perseguire.
In Italia, nell’ambito dell’azione di semplificazione normativa, la Legge 8 Marzo 1999, n. 50 (Delegificazione e testi unici di norme concernenti procedimenti amministrativi – Legge di semplificazione 1998) ha introdotto due importanti novità:
- l’obbligo di ricorrere a forme stabili di consultazione dei soggetti interessati ogni qualvolta è avviato un processo di regolazione e semplificazione;
- l’introduzione dell’analisi dell’impatto di regolazione per gli schemi di atti normativi adottati dal governo.
La Legge di semplificazione per il 2001 e successivamente la Legge 29 Luglio 2003, n. 229 (Interventi in materia di qualità della regolazione, riassetto normativo e codificazione) ha poi esteso quest’ultimo obbligo alle Autorità indipendenti cui la normativa attribuisce funzioni di controllo, di vigilanza o di regolazione come l’Autorità Garante per il trattamento dei dati personali. Attraverso l’obbligo di effettuare l’analisi di impatto della regolazione, la Legge ha indirettamente imposto alle Autorità indipendenti un obbligo di consultazione preventiva delle parti interessate dagli Atti regolatori. La consultazione rappresenta infatti una componente essenziale nella procedura di analisi di impatto, da utilizzare nelle diverse fasi della valutazione.
Le Autorizzazioni generali ricadono fra gli Atti regolatori e quindi sono assoggettate all’obbligo di consultazione preventiva.
Cosa sono le Autorizzazioni generali
Per mezzo delle Autorizzazioni generali il Garante per la protezione dei dati personali ha inteso – sin dalla metà degli anni ’90 – permettere il trattamento di dati sensibili (oggi dati particolari) o giudiziari a determinate condizioni, per determinati fini, e per certe categorie di Titolari del trattamento dei dati personali.
Possiamo quindi affermare che l’Autorizzazione, in senso generico, costituisce una condizione di liceità del trattamento anche per quelle categorie di dati, quali quelli particolari o giudiziari.
Le Autorizzazioni generali non sono state una novità del D. Lgs. 196/2003. Infatti, già il Capo II della Legge 675/96 (Tutela delle persone e di altri soggetti rispetto al trattamento dei dati personali) disciplinando gli obblighi per il Titolare del trattamento, ne contemplava l’esistenza. In particolare, l’Autorizzazione era richiesta per il trattamento dei – allora – dati sensibili, ovvero i dati personali “idonei a rivelare l’origine razziale ed etnica, le convinzioni religiose, le opinioni politiche, l’adesione a partiti, sindacati, associazioni od organizzazioni a carattere religioso, filosofico, politico o sindacale, nonché i dati personali idonei a rivelare lo stato di salute e la vita sessuale” questi dati avrebbero potuto, e possono, essere oggetto di trattamento solo con il consenso scritto dell’interessato o previa autorizzazione scritta del Garante. Infatti, l’Art. 40 del D. Lgs. 196/2003 (Autorizzazioni generali) – oggi abrogato dal D. Lgs. 101/2018 – prevedeva “Le disposizioni del presente Codice che prevedono un’Autorizzazione del Garante sono applicate anche mediante il rilascio di autorizzazioni relative a determinate categorie di titolari o di trattamenti, pubblicate nella Gazzetta Ufficiale della Repubblica italiana.”
Con l’entrata in vigore del Gdpr, il 25 maggio 2016 (dobbiamo sempre ricordare la data precisa di entrata in vigore del Regolamento in quanto il 25 maggio 2018 sono entrate in vigore “solo” le sanzioni ad esso legate) si è quindi resa necessaria una determinazione puntuale del legislatore sulla validità delle Autorizzazioni rilasciate nel tempo dall’Autorità garante che per altro con il Provvedimento del 19 Luglio 2018 in tema di di Autorizzazioni generali del Garante per la protezione dei dati personali “dispone che, nelle more del perfezionamento dell’iter legislativo di adeguamento del quadro normativo nazionale alle disposizioni del Regolamento, le garanzie e le misure appropriate e specifiche di cui alle Autorizzazioni generali, adottate in data 15 Dicembre 2016 (con Provvedimenti pubblicati sulla Gazzetta Ufficiale n. 303 del 29 Dicembre 2016), per taluni trattamenti di categorie particolari di dati personali e di dati personali relativi a condanne penali e reati o a connesse misure di sicurezza, si intendano in vigore fino all’adozione di eventuali misure che potranno essere previste nel decreto legislativo di adeguamento della disciplina in materia, riservandosi ulteriori valutazioni all’esito del predetto percorso normativo.” Quindi venne rimandato tutto al Decreto Legislativo di adeguamento della normativa nazionale (D. Lgs. 196/2003) al Regolamento 2016/679 UE.
In particolare, le ultime Autorizzazioni generali adottate in data 15 Dicembre 2016 furono:
- Ag n. 1/2016 al trattamento dei dati sensibili nei rapporti di lavoro
- Ag n. 2/2016 al trattamento dei dati idonei a rivelare lo stato di salute e la vita sessuale
- Ag n. 3/2016 al trattamento dei dati sensibili da parte degli organismi di tipo associativo e delle fondazioni
- Ag n. 4/2016 al trattamento dei dati sensibili da parte dei liberi professionisti
- Ag n. 5/2016 al trattamento dei dati sensibili da parte di diverse categorie di titolari
- Ag n. 6/2016 al trattamento dei dati sensibili da parte degli investitori privati
- Ag n. 7/2016 al trattamento dei dati a carattere giudiziario da parte di privati, di enti pubblici economici e soggetti pubblici
- Ag n. 8/2016 al trattamento dei dati genetici
- Ag n. 9/2016 al trattamento dei dati personali effettuato per scopi di ricerca scientifica
Oggi sono rimaste in vigore – prescrizioni ancora valide – come illustrato le 1, 3, 6, 8 e 9.
Le Autorizzazioni generali ricadono fra gli Atti regolatori e quindi sono assoggettate all’obbligo di consultazione preventiva.