Uno dei primi compiti che le nuove Commissioni parlamentari si troveranno ad affrontare è l’esame dello schema di decreto legislativo volto ad adeguare la normativa italiana al GDPR, che è stato predisposto da una commissione di studio istituita presso il Ministero della giustizia.
È una sfida importante, nell’ottica della politica pubblica e della qualità della regolazione. I recenti episodi di cronaca mostrano i rischi concreti di un trattamento abusivo dei dati personali nel contesto digitale e intaccano la fiducia dei cittadini nell’utilizzo delle tecnologie. È più che mai evidente la necessità di un efficace quadro giuridico, che sappia conciliare l’innovazione e la libera circolazione dei dati con la tutela dei diritti fondamentali delle persone.
Vediamo ora quale bussola seguire per l’adeguamento della normativa italiana al GDPR.
Il GDPR è un modello avanzato
Per perseguire l’obiettivo, vi è un punto di partenza da cui il legislatore nazionale non può prescindere: l’insieme delle regole contenute nel GDPR, che diventerà operativo il 25 maggio prossimo, è il modello più avanzato esistente a livello globale, rappresenta un punto di riferimento anche per gli altri ordinamenti ed è stato disegnato tenendo conto delle sfide del contesto digitale. Il sistema proposto dal GDPR si basa su tre caratteristiche chiave.
- La prima è la fissazione di una disciplina uniforme a livello europeo (il digitale non segue i confini nazionali).
- La seconda è un approccio basato sull’accountability, in cui i soggetti che effettuano trattamenti di dati personali devono rispettare i principi cardine (privacy by design, privacy by default, minimizzazione del trattamento), tutelare i diritti degli interessati e gestire i rischi in relazione al contesto concreto in cui operano.
- La terza caratteristica è che l’applicazione delle regole è affidata a una rete di autorità nazionali strettamente integrata a livello europeo e dotata di incisivi poteri, sia di indagine che sanzionatori.
Se questo è il quadro, il primo compito del legislatore nazionale è quello di assicurare che l’Italia contribuisca alla buona applicazione del nuovo modello europeo.
Gdpr, perché abrogare il Codice Privacy è la scelta migliore e che cosa comporta
Semplicità del quadro normativo ed enforcement efficace
Serve anzitutto un approccio rigoroso volto ad assicurare la chiarezza e semplicità delle regole che vanno rispettate. In questa prospettiva, suscita simpatia la richiesta della Commissione europea agli Stati membri di non riscrivere le disposizioni del regolamento nella normativa nazionale: le regole del GDPR sono direttamente applicabili e vanno interpretate insieme ai relativi “considerando”. Duplicazioni non servono e anzi possono generare incertezze e inutile contenzioso, laddove invece ci si dovrebbe concentrare sulla sostanza degli obblighi. Meglio, per tutelare i diritti, impegnarsi a comprendere e applicare le regole comuni, valide in tutta l’Unione europea.
In tale contesto, l’indicazione della commissione ministeriale di abrogare non solo le disposizioni della normativa nazionale preesistente in palese contrasto con il GDPR, ma anche quelle che costituirebbero in sostanza delle duplicazioni di quanto previsto dal regolamento, tanto da finire per abrogare il Codice privacy, è una scelta di pulizia che obbliga a guardare alla fonte europea, senza distrarsi con eventuali norme corrispondenti a livello nazionale.
Ricordando che tra i principi generali che devono ispirare l’adeguamento della normativa italiana alle regole europee contenuti nella legge n. 234/2012 vi è quello della semplificazione normativa con indicazione esplicita delle norme abrogate, la tecnica seguita dalla commissione di studio centra il bersaglio.
Il secondo compito del legislatore nazionale è quello di compiere le scelte affidate dal GDPR agli Stati membri (ad esempio, decidere a quale età, tra i 13 e i 16 anni, un minore può esprimere direttamente il consenso nel contesto digitale). Per questi aspetti, lo schema di decreto legislativo contiene una serie di proposte, in parte in continuità con la normativa precedente, affidando al Garante il compito di mettere a punto la disciplina anche sulla base di consultazioni pubbliche.
Il terzo compito del legislatore è assicurare che il sistema di enforcement incentrato sul Garante abbia tutte le premesse per funzionare bene. Occorre in particolare che al Garante siano attribuite risorse sufficienti, anche in termini di personale. Per attuare il GDPR, infatti, l’Autorità deve essere attiva sia a livello nazionale che a livello europeo, e deve da un lato esercitare i poteri di indagine e sanzionatori per assicurare la deterrenza, dall’altro aiutare i destinatari delle prescrizioni nella compliance, con risposte a quesiti, chiarimenti e così via. Lo schema di decreto legislativo contiene una serie di previsioni con questo obiettivo. Probabilmente il testo definitivo, in relazione ai maggiori poteri attribuiti al Garante dovrebbe prestare una maggiore attenzione ai profili delle garanzie procedurali, richiamando in particolare i principi del contraddittorio e della separazione tra funzione istruttoria e funzione decisoria.
Inquadrare lo strumento sanzionatorio nel nuovo sistema
Il tema delle sanzioni ha subito attirato l’attenzione dei primi commentatori dello schema di decreto legislativo. Alcuni, in particolare, hanno lamentato con veemenza il ridimensionamento del ricorso alla sanzione penale, che in passato era prevista dal Codice privacy per un’ampia gamma di violazioni della disciplina.
L’esatto novero delle fattispecie per cui prevedere la sanzione penale può certo essere oggetto di discussione, ma sarebbe sbagliato non rendersi conto che, date le novità introdotte dal GDPR anche sul fronte delle sanzioni, il sistema sanzionatorio nazionale va oggi ripensato in profondità alla luce del nuovo quadro europeo. Siamo di fronte a un cambiamento radicale del sistema, gli strumenti vanno rivisti con occhi nuovi, senza posizioni precostituite volte a mantenere gli assetti scelti nel Codice privacy nel contesto della direttiva del 1995.
Guardando al dettaglio della questione, sinora il nostro ordinamento prevedeva per le violazioni del Codice privacy sia sanzioni amministrative pecuniarie (con massimali in cifra fissa che non andavano oltre 300 000 euro, aumentabili sino a quattro volte), sia sanzioni penali.
Nel nuovo quadro europeo del GDPR, la disciplina è oggi incentrata su sanzioni amministrative potenzialmente molto incisive, che verranno applicate da una rete di autorità amministrative coordinate tra loro, anche con la possibilità di intervento del Comitato dei garanti europei (European Data Protection Board) se il modo in cui le sanzioni sono utilizzate a livello nazionale sollevasse problemi di coerenza. I massimali delle sanzioni amministrative sono di un diverso ordine di grandezza rispetto a quelli a cui eravamo abituati. Per le violazioni dei principi di base del trattamento, dei diritti degli interessati, delle disposizioni sul trasferimento extra UE dei dati personali e per l’inosservanza degli ordini del Garante la sanzione può ora arrivare a 20 milioni di euro e, per le imprese, al 4% del fatturato mondiale totale se questo ammontare è superiore a 20 milioni.
È rispetto a questo quadro che gli Stati membri devono decidere se introdurre ulteriori sanzioni. Sicuramente vanno previste a livello nazionale sanzioni per le ipotesi di violazioni procedurali non coperte dal GDPR (ad esempio, false comunicazioni al Garante o ostacolo alle indagini), come peraltro espressamente indicato dallo stesso regolamento. Rispetto, invece, all’opzione di aggiungere alle sanzioni amministrative fissate a livello europeo anche le sanzioni penali, va tenuto conto di alcuni profili concreti e di alcune criticità.
Anzitutto, le sanzioni penali per le violazioni della disciplina in materia di protezione dei dati personali in Italia esistono da tempo ma di fatto sono state molto poco utilizzate. Lo strumento della sanzione amministrativa di importo potenzialmente molto elevato applicata direttamente dal Garante nell’ambito della rete europea può risultare più adatto ad assicurare una politica sanzionatoria chiara, coerente e dissuasiva per la stragrande maggioranza delle violazioni ipotizzabili.
Rispetto alla previsione di sanzioni amministrative e penali per la stessa violazione, le criticità stanno nell’esigenza di evitare il bis in idem, sancita dalla Corte di giustizia ed espressamente richiamata dallo stesso GDPR. In particolare, in una pronuncia dello scorso 20 marzo relativa alle sanzioni del Testo unico della finanza (C-537/16), la Corte di giustizia ha sottolineato che la doppia sanzione per la stessa fattispecie non è giustificata alla luce della Carta dei diritti fondamentali dell’Unione europea se uno dei due strumenti già svolge in modo adeguato la funzione repressiva.
Alla luce di tutto questo, si può comprendere la scelta compiuta nello schema di decreto legislativo elaborato dalla commissione ministeriale di fare in generale riferimento alle sole sanzioni amministrative pecuniarie introdotte dal regolamento europeo, prevedendo ulteriori sanzioni (penali) per le sole ipotesi per le quali lo strumento sanzionatorio non è disciplinato direttamente dal GDPR. I dettagli possono essere discussi ma la sostanza è che viene così proposta una razionalizzazione del sistema sanzionatorio, accentuando il ruolo del public enforcement di tipo amministrativo da parte del Garante, ora accompagnato da ben più forti poteri rispetto al sistema del Codice privacy.
Sempre in tema di sanzioni, un aspetto meritevole di attenzione è quello dell’approccio da seguire nella fase di prima applicazione della disciplina. In generale è tra i compiti del Garante quello di assicurare un efficace utilizzo della politica sanzionatoria. Il regolamento richiama ad esempio l’opportunità di distinguere tra le violazioni minori e le violazioni più gravi. In una prospettiva sistematica, va sottolineato che le sanzioni esercitano un utile impatto deterrente nell’interesse pubblico solo quando i confini della condotta illecita sono già chiaramente delineati; per quei profili in cui la disciplina si sta progressivamente chiarendo, può essere appropriato rinviare temporaneamente l’utilizzo dello strumento sanzionatorio a quando i precetti saranno stati definiti. In questo senso appare giustificata la scelta del Garante francese di annunciare che nel primo periodo di applicazione della disciplina lo strumento sanzionatorio verrà utilizzato distinguendo a seconda che la violazione riguardi regole già consolidate oppure nuove regole introdotte dal GDPR: per queste ultime l’autorità terrà conto della relativa novità della fattispecie (sempre che vi sia buona fede e un chiaro impegno alla compliance). Le dichiarazioni del Presidente del Garante italiano lasciano prevedere che anche in Italia sarà seguito un approccio analogo.
Non perdere la bussola
Il 25 maggio non solo il GDPR diviene direttamente operativo, ma gli Stati membri devono anche notificare alla Commissione europea le scelte normative adottate a valle del regolamento. Sulla base del lavoro già compiuto dalla commissione ministeriale si può immaginare che la discussione in vista del rilascio dei previsti pareri possa procedere in modo spedito, così da rispettare la scadenza.
In ogni caso, è fondamentale non perdere la bussola. Un quadro normativo in tema di protezione dei dati personali efficace, semplice, uniforme a livello europeo e proporzionato è nell’interesse di tutti, sia dei soggetti che dal 25 maggio devono rispettare le nuove regole, sia di quelli i cui diritti sono tutelati dalla disciplina. Occorre uno sforzo comune per assicurare che le nuove norme nazionali rispondano a queste esigenze.
