Il decreto delegato di adeguamento della normativa nazionale alle disposizioni del GDPR è finalmente stato pubblicato in Gazzetta Ufficiale, ma adesso bisogna correre. Sul Garante Privacy la norma pone infatti nuovi grandi poteri e altrettante responsabilità, perché nei prossimi mesi l’Italia possa passare definitivamente dal vecchio al nuovo sistema privacy. Con tutti i vantaggi che ne derivano per il sistema Paese e le aziende.
L’arrivo del testo in Gazzetta
È stata così esercitata, dopo un processo lungo e molto tormentato di preparazione, esame e discussione, che ha attraversato due legislature e due diversi governi, la delega contenuta nell’art. 13 della legge di delega 25 ottobre 2016 n. 17, entrata in vigore il 21 novembre 2018.
Sulle vicende che hanno caratterizzato questo procedimento si è già detto nell’articolo pubblicato su Agenda Digitale del 23 agosto 2018.
In quell’articolo si è sottolineato in particolare il contrasto tra la scelta, compiuta inizialmente dalla Commissione Finocchiaro, di abrogare l’intero Codice privacy previgente per sostituirlo integralmente con un nuovo testo, coordinato e coeso, e quella adottata dal Consiglio dei Ministri del 21 marzo 2018, di procedere invece alla novella del vecchio Codice contenuto nel d.lvo n. 193 del 2003 e successive modificazioni.
Un quadro normativo complesso
La scelta fatta dal Governo comporta necessariamente molte difficoltà per chi debba ora interpretare e applicare un apparato normativo composto dal GDPR, dal nuovo decreto legislativo e dal Codice del 2003 come novellato per effetto delle nuove norme.
Una difficoltà che forse potrà esser attenuata se il Garante vorrà procedere lui stesso a promuovere e pubblicare una versione del vecchio d.lvo n. 193 del 2003 coordinata col nuovo testo normativo. Alcune versioni, promosse più che meritevolmente, da alcuni studi legali, e che certamente si moltiplicheranno ad opera di editori e commentatori nei prossimi mesi, non hanno infatti alcun valore legale anche se possono essere utili ausili compilativi.
Purtroppo non avrà valore legale neppure una attività di coordinamento ad opera del Garante. Il nuovo decreto che pure affida alla Autorità un numero notevolissimo di compiti e poteri, compresa l’adozione di regole deontologiche, provvedimenti a carattere generale, misure di garanzia e provvedimenti sostituitivi o, quando è possibile, anche confermativi o adeguativi delle precedenti autorizzazioni generali, non dà alcun potere al Garante in merito. Il che non toglie che un testo coordinato edito dall’Autorità sia massimamente auspicabile, anche per la sua autorevolezza.
Va altresì sottolineato che neppure la delega dell’art. 13 della l. n. 163 del 2017 prevede, al contrario di quanto ormai avviene in moltissimi casi, la possibilità per il Governo di adottare uno o più decreti correttivi entro il primo o il secondo anno dall’entrata in vigore di questo decreto.
Dunque, allo stato delle cose, e senza una nuova delega al Governo, non possiamo neppure contare su un nuovo decreto delegato di coordinamento fra il vecchio testo del d.lvo. n.193 del 2003 e il testo del decreto legislativo del 10 agosto 2018, n. 101, pubblicato in Gazzetta Ufficiale il 4 settembre 2018.
Ci troviamo insomma di fronte a una situazione piuttosto complessa e che tale è destinata a restare a lungo.
Siamo costretti a operare nel quadro di un unico contesto normativo, costituito da fonti regolatorie a più livelli. Il pilastro portante della costruzione è costituito ovviamente dal GDPR (e per le attività di polizia e giustizia anche dalla dottrina Direttiva 2016/680). Il contesto nazionale però, pur ruotando tutto intorno al GDPR, è costituito sia dal nuovo decreto delegato che dal vecchio decreto delegato come novellato a seguito della entrata in vigore di quest’ultimo.
Inoltre, tenendo conto della Direttiva 2016/680 (la Direttiva NIS 2016/1148 tocca solo indirettamente la nostra materia), il quadro regolatorio nazionale di adeguamento alla normativa europea in materia di tutela dei trattamenti dei dati personali si completa col decreto legislativo 18 maggio 2018, n. 51.
Come ricorda Federica Resta nel suo contributo pubblicato in questa rubrica, quest’ultimo decreto ha un particolare interesse anche rispetto alla corretta interpretazione e applicazione del nuovo decreto delegato di adeguamento al GDPR.
Infatti, specialmente per la parte penalistica, per quella relativa al rapporto tra Garante e Autorità giudiziaria e per quella attinente alla tecnica della abrogazione ad efficacia differita di alcune norme del vecchio Codice (cfr.art.49 d.lvo n.51/2018) anch’esso ha avuto una forte influenza in sede di adozione del decreto delegato di cui ci stiamo occupando.
Difficoltà interpretative e controversie attuative
In questo contesto possiamo essere certi che, specialmente in una prima fase, non mancheranno le difficoltà interpretative e le controversie attuative relative alla nuova normativa. Né potrebbe stupire se in fase di attuazione essa, tanto più tenendo conto dei suoi rapporti con le altre fonti citate, desse luogo anche a ricorsi sia alla Corte costituzionale, specialmente per alcuni aspetti relativi alle norme penali e ai rapporti tra PM e Garante come disciplinati nei commi 4 e 5 del nuovo art. 167, come definito dall’art. 15 del decreto legislativo di adeguamento. Né ci sarebbe da stupirsi di eventuali ricorsi alla Corte di giustizia circa un apparato sanzionatorio che, basato su fattispecie che possono essere sia passibili di sanzioni amministrative che di sanzioni penali, pare spesso rischiare di violare il principio del ne bis in idem.
Il rischio di aumento dei contenziosi
Le difficoltà interpretative e applicative di un sistema normativo così articolato e complesso potranno anche aumentare il numero dei ricorsi all’Autorità giudiziaria ordinaria contro i provvedimenti del Garante, anche tenendo conto di una novità molto importante, che merita segnalare.
La nuova normativa, applicando quanto previsto dall’art. 80 del GDPR, prevede che gli interessati possano ricorrere sia al Garante che all’Autorità giudiziaria ordinaria (direttamente o contro un provvedimento del Garante), dando mandato a un “ente del terzo settore soggetto alla disciplina del decreto legislativo 3 luglio 2017 n. 117” di esercitare per suo conto ‘azione, ferme restando le norme sul gratuito patrocinio (cfr. art. 13 e art. 17 del decreto di adeguamento).
È ragionevole attendersi che anche la introduzione di questa singolare e specifica forma di class action, possa concorrere a incrementare il contenzioso, sia davanti al Garante che all’Autorità Giudiziaria, anche agendo per il risarcimento dei danni subiti.
Inoltre, con riguardo agli aspetti innovativi della disciplina che possono aumentare il contenzioso anche davanti alla Autorità giudiziaria ordinaria, non va dimenticato il nuovo art.154-ter, introdotto nel vecchio Codice dall’art. 14 del nuovo decreto.
La norma legittima esplicitamente il Garante ad agire in giudizio nei confronti del titolare o del responsabile del trattamento in caso di violazioni delle disposizioni in materia di dati personali.
Il Garante può dunque anche decidere d’ufficio di agire direttamente davanti alla Autorità giudiziaria, tutelato dalla Avvocatura dello Stato o, se questo non è possibile per conflitto di interessi, con propri funzionari iscritti all’albo speciale dei dipendenti degli enti pubblici o con avvocati del liberto foro.
Il rafforzamento dei poteri del Garante
La complessità del quadro normativo è ulteriormente accentuata dal forte rafforzamento dei poteri del Garante che si estende anche alla adozione di regole deontologiche, provvedimenti a carattere generale e misure di garanzia che si configurano di fatto come un ampio strumentario di soft law.
Almeno nel caso delle regole deontologiche, peraltro, parlare di soft law è molto riduttivo, visto che, ex art. 2-quater inserito nel Codice dall’art. 1 dal decreto di adeguamento, la loro violazione è causa di illegittimità dei trattamenti.
Questo forte rafforzamento dei poteri e del ruolo del Garante è stato proposto e suggerito già dalla Commissione Finocchiaro ed è stato ulteriormente irrobustito in base alle raccomandazioni pervenute dalla Commissioni parlamentari al Parere reso dal Garante ai sensi della legge di delegazione.
Si è trattato di una scelta non solo legittima ma anche estremamente utile. Il Garante potrà favorire nel tempo una ampia flessibilità nella applicazione della normativa e un suo costante adeguamento anche alle innovazioni tecnologiche in settori delicatissimi, come quelli dei trattamenti relativi a dati genetici, biometrici o relativi alla salute. Aspetti, questi, che mette benissimo in rilievo Giuseppe D’Acquisto nel contributo pubblicato in questa rubrica.
In alcuni casi la necessità di rendere queste numerose forme di soft law compatibili con il GDPR ha costretto il legislatore delegato a cambiare nome e procedure di adozione anche a istituti già previsti nel Codice (come è avvenuto nel passaggio dai Codici deontologici e di buona condotta alle Regole deontologiche).
Inoltre molti di questi poteri a contenuto sostanzialmente regolamentare attribuiti al Garante sono stati previsti in settori specifici allo scopo di consentire all’Autorità di trovare costantemente, anche tendo conto del passare del tempo e dei mutamenti delle tecnologie, un corretto punto di equilibrio tra le ragioni della ricerca scientifica e la tutela degli interessati, come avviene nel caso dei trattamenti di dati genetici, biometrici e relativi alla salute di cui all’art. 2-septies dell’art. 1 del decreto di adeguamento.
Tutto questo può comportare ulteriori problemi interpretativi e applicativi, sia in ordine alla delimitazione delle competenze del Garante che al contenuto delle sue scelte e la loro compatibilità col sistema complessivo.
Lo stesso si può dire per i casi in cui il Garante può adottare, d’ufficio, “provvedimenti di carattere generale” e prescrivere misure di garanzia relative a trattamenti di interesse pubblico che possono comportare rischi elevati, richiamando a tal fine l’art. 36, paragrafo 6 del GDPR relativo alla Valutazione di impatto di cui all’Art. 35, come dispone l’art.2-quinquiesdecies contenuto nell’art. 1 del decreto legislativo.
Il potere del Garante in materia di accreditamento
Assai complesso, e di non facilissima applicazione, è anche il potere assegnato al Garante in materia di accreditamento.
Infatti, mentre l’art.43 del GDPR consente agli Stati membri di assegnare il potere di accreditare i certificatori sia al Garante che a un Organismo nazionale di accreditamento individuato dalla legge nazionale, l’art. 2-septieces introdotto dall’art. 1 del decreto, individua come Organismo nazionale di Accreditamento l’Ente nazionale di accreditamento ACCREDIA, salvo restando il potere (dovere) del Garante di assumere direttamente, con deliberazione pubblicata in G.U., e “in caso di grave inadempimento dei suoi compiti da parte dell’Ente nazionale di accreditamento” l’esercizio di tali funzioni, anche con riferimento a una o più categorie di trattamenti”. Una norma molto complessa che, se dovesse essere attuata, potrebbe dare luogo a molte difficoltà e problemi giuridici. È tuttavia una norma utile, perché almeno procedimentalizza il tema, diventato in Italia un po’ volutamente complicatissimo, delle modalità di accredito dei certificatori e delle relative certificazioni previste dal GDPR.
Un immane lavoro per il Garante
Quello che fin d’ora possiamo dire è che il rilevante lavoro che attende il Garante richiederà un grande impegno, destinato a durare certamente alcuni mesi.
E’ necessaria una fondamentale opera di verifica dei precedenti Codici deontologici; la loro rielaborazione come Regole deontologiche dove la competenza dello Stato, o consente; la incentivazione alla presentazione di nuovi Codici di condotta ex art. 40 GDR, dove non sono possibili le Regole deontologiche per carenza della competenza normativa dello Stato; la adozione delle misure di garanzia, dove richieste da norme specifiche del nuovo decreto; la adozione dei provvedimenti generali, dove previsti; la rivisitazione delle Autorizzazioni generali, dove tale rivisitazione è possibile perché sussiste la competenza dello Stato; la messa a punto delle procedure di consultazione pubblica, rese vincolanti per le regole deontologiche dall’art. 2-quater, comma 2 dell’art. 1 del decreto, ma previste anche per alcuni provvedimenti generali e, almeno implicitamente, pure per le misure di garanzia.
In sostanza quello che attende il Garante italiano è un lavoro immane di messa in asse del sistema costituito dal GDPR, dal decreto delegato di attuazione e dal vecchio Codice come novellato dal decreto.
Un sistema che va concepito come un ordinamento “integrato” il cui punto di riferimento essenziale è il GDPR, come esplicitamente (e correttamente) è ora detto all’art.1 del decreto legislativo n. 196 del 2003 come novellato dall’art. 1 del decreto legislativo di adeguamento. Il nuovo art. 1 stabilisce infatti che: “Il trattamento dei dati personali avviene secondo le norme del regolamento (UE) 2016/679 e del presente Codice, nel rispetto della dignità umana e dei diritti fondamentali della persona”.
Il concetto è ulteriormente ribadito. e rafforzato, dall’art. 22 del decreto delegato di adeguamento, secondo il quale: “Il presente decreto e le disposizioni dell’ordinamento nazionale si interpretano e si applicano alla luce della disciplina dell’Unione in materia di protezione dei dati personali e assicurando la libera circolazione dei dati personali tra Stati membri ai sensi dell’art. 1, paragrafo 3, del regolamento UE) 2016/679”.
Non può esservi alcun dubbio, dunque, che le norme del decreto di adeguamento ma più in generale del Codice come novellato da quest’ultimo, vanno interpretate e applicate alla luce del GDPR, e sono applicabili solo in quanto siano ad esso conformi.
Anche nelle materie rimesse alla possibilità per la legislazione statale di dettare norme integrative, infatti, le leggi nazionali in tanto sono legittime e applicabili in quanto siano conformi al GDPR. Un vincolo che vale sia per quanto riguarda la competenza che il contenuto.
È in questo quadro che devono essere esaminate le numerose norme contenute nel Capo VI del decreto delegato di adeguamento, relativamente alle “disposizioni transitorie e finali”.
Si tratta infatti di una normativa estremamente complessa che riguarda due categorie di soggetti tra loro diversissimi.
GDPR e poteri soft law del Garante
Da un lato alcune disposizioni, e sono certamente quelle che saranno più studiate nei prossimi tre mesi, riguardano chi abbia procedimenti pendenti davanti all’Autorità relativi a procedimenti sanzionatori che riguardano la violazione di articoli del vecchio Codice esplicitamente elencati, o abbia presentato reclami, segnalazioni o ricorsi prima della data del 25 maggio 2018.
Da un altro lato, vi sono disposizioni infinitamente più importanti che attengono anche ai numerosi compiti di regolazione e di adozione di provvedimenti a carattere generale assegnati al Garante.
Il punto di maggiore rilievo dal punto di vista generale e sistematico è che in molti casi l’eventuale inadempienza del Garante ad adottare le normative di soft law di sua competenza determina la prolungata vigenza di norme del vecchio Codice esplicitamente abrogate del decreto delegato di adeguamento.
Ne deriva che in sede di prima applicazione del decreto delegato il tema più importante da affrontare riguarda la interpretazione e applicazione delle norme relative ai doveri del Garante relativi all’esercizio dei suoi poteri di soft law.
Gli articoli 20 (codici di buona deontologia e buona condotta vigenti all’entrata in vigore del decreto), 21 (autorizzazioni generali del Garante per la protezione dei dati personali) e 22 (altre disposizioni transitorie e finali) impongono obblighi al Garante di adeguamento di un complesso sistema di soft law che in parte deve essere sottoposto a verifica di compatibilità col GDPR e in parte maggiore deve essere modificato sia dal punto di vista della denominazione che del contenuto.
In molti settori spetta inoltre al Garante adottare nuove tipologie di provvedimenti di carattere generale e di misure di garanzia per individuare il corretto punto di equilibrio tra la tutela del diritto fondamentale alla protezione dei dati personali e il perseguimento dell’interesse pubblico, o le ragioni della ricerca scientifica o, ancora, la necessità di non limitare senza ragione la libera circolazione dei dati al fine di favorire lo sviluppo dell’economia digitale.
La cosa più delicata, tuttavia, è che quasi in ognuna delle norme citate si specifica che, in attesa delle verifiche del Garante e dell’adozione da parte sua delle nuove Regole deontologiche, provvedimenti generali e misure di garanzia, previsti dal nuovo decreto delegato, continuano a restare in vigore le norme precedenti, siano esse di soft law, come i Codici deontologici e di buona condotta e le Autorizzazioni generali o vere e proprie norme contenute nel vecchio Codice e dal decreto stesso esplicitamente abrogate.
In alcuni casi sono prefissati termini precisi per l’intervento del Garante, consumati inutilmente i quali, la precedente normativa di soft law o le disposizioni comunque già abrogate del vecchio Codice cessano definitivamente di avere vigore.
In altri casi, invece, il rinvio ai provvedimenti che il Garante deve adottare non è accompagnato da termini rigidi che definiscano le conseguenze degli eventuali ritardi o inadempimenti.
La tecnica normativa adottata comporta che sia la soft law in vigore al momento della piena applicazione del GDPR che alcune norme del vecchio Codice, pure esplicitamente abrogate, continuino a produrre effetti per un periodo di tempo in parte indeterminato e in parte, invece, determinato, legato unicamente all’attività del Garante di adempiere ai suoi obblighi.
Accelerare il passaggio al nuovo sistema
E’ chiaro che in una primissima fase l’attenzione degli operatori si concentrerà soprattutto sugli artt. 18 e 19, al fine di comprendere come questa normativa, peraltro assai complessa e in alcuni punti poco chiara, debba essere applicata per ridurre l’importo delle sanzioni già comminate, o per ottenere dal giudice di esecuzione della pena la dichiarazione della sua cessazione e la trasmissione degli atti all’autorità amministrativa, nei pochi casi in cui la nuova normativa dà luogo al fenomeno della depenalizzazione.
Allo stesso tempo sicuramente l’impegno degli operatori sarà dedicato anche alle decisioni da assumere al fine di rinunciare o meno ai reclami, segnalazioni o ricorsi già presentati prima del 25 maggio ma ancora non definiti.
Sono norme di ovvio interesse per gli operatori, anche perché per tutte, salvo che per quelle relative ai compiti del giudice dell’esecuzione della pena, i tempi sono rigidi e ben scadenzati, anche se definiti con modalità che ne rendono molto complessa la determinazione in concreto.
Le disposizioni contenute negli artt. 18 e 19 del decreto di adeguamento, inoltre, possono anche apparire per certi aspetti discutibili, soprattutto per quanto riguarda le riduzioni delle pene pecuniarie o la possibilità di riassumere come reclami i ricorsi già presentati prima del 25 maggio 2018. Tuttavia esse hanno tutte una comune ratio di fondo: accelerare il più possibile i tempi del passaggio definitivo dal vecchio al nuovo sistema.
Norme transitorie, incongruenze tra vecchio e nuovo
Molto più complessa, invece, la normativa contenuta negli artt. da 20 a 22.
Per queste norme il problema centrale non è tanto la loro ragionevolezza, che ben può essere motivata dalla necessità di mantenere un elevato livello di tutela degli interessati e dei loro diritti anche nella fase di transizione e in attesa dei provvedimenti del Garante, quanto quello della loro compatibilità con il GDPR.
Il problema non è il potere dello Stato di prevedere queste disposizioni, giacché sono tutte relative a settori di sicura competenza statale. La questione veramente importante è quella che deriva dalla tecnica legislativa adottata.
Non pare infatti molto felice la scelta di mantenere in vita, o comunque applicabili, norme di soft law o disposizioni del vecchio Codice delle quali si dichiara la necessità di una loro rivisitazione da parte della Autorità o direttamente la loro abrogazione formale ed esplicita.
In questo modo lo stesso legislatore delegato con una mano dà e con l’altra prende. Da un lato, dichiara e riconosce la possibile incompatibilità col GDPR di Codici di deontologici e di buona condotta o di provvedimenti generali in atto all’entrata in vigore del decreto e il contrasto tra la nuova normativa europea e un numero elevato di norme del vecchio Codice, che infatti vengono esplicitamente abrogate.
Da un altro lato, però, si proroga l’efficacia di questi apparati normativi, o addirittura di disposizioni già abrogate, fino alla adozione da parte del Garante delle Regole deontologiche, dei provvedimenti generali e delle misure di garanzia previsti dal nuovo decreto.
Inoltre solo in alcuni casi sono stabiliti tempi determinati per l’adozione dei provvedimenti da parte dell’Autorità, mentre in molti altri casi la definitiva cessazione di efficacia di regole e disposizioni abrogate è sostanzialmente rimessa alla solerzia dell’Autorità a provvedere.
Agire rapidamente per evitare ricorsi contro l’Italia
Sarà necessario tornare sia sui problemi relativi agli artt. 18 e 19 che su quelli degli artt. da 20 a 22.
Ciò che, però, è importante sottolineare fin dal momento della pubblicazione del nuovo decreto delegato, e prima ancora che esso entri effettivamente in vigore, è che la tecnica adottata pone compiti e pesi rilevantissimi a carico del Garante, obbligandolo ad operare con la massima celerità possibile, ovviamente nel rispetto delle procedure indicate e delle consultazioni pubbliche previste.
È chiaro infatti che solo una attività veramente rapida, ed esemplarmente efficace nel merito e nel metodo, del Garante può evitare che vengano in rilievo in modo palese problemi di legittimità nel sistema delle fonti e questioni attinenti alla compatibilità tra la nuova normativa e il GDPR.
È necessario, insomma, agire molto rapidamente anche per evitare che i nodi sottolineati possano deflagrare, fino a provocare anche ricorsi alla Corte di giustizia contro l’Italia.
La proverbiale capacità del Garante e del suo Ufficio ci può rassicurare ma è necessaria anche una attenzione costante da parte della società civile, delle forze economiche e di tutti gli operatori. La posta in gioco è molto elevata e c’è bisogno dell’impegno di tutti.
Delega per il Gdpr, i punti forti e deboli: un primo giudizio