Il 19 settembre è entrato in vigore il decreto legislativo n.101 del 10 agosto 2018 (ndr decreto Gdpr). Nello stesso giorno sul sito del Garante è stato pubblicato, dandone adeguata notizia, un “testo coordinato del Codice adeguato al Regolamento”.
L’iniziativa del Garante
Come è stato autorevolmente precisato anche dal Segretario generale dell’Autorità nel corso di un suo recente, e molto ampio, intervento pubblico al Convegno “Il decreto legislativo di adeguamento della normativa italiana al GDPR: effetti e conseguenze”, tenutosi il 21 settembre presso l’Università Marconi, l’iniziativa del Garante, che è in ogni caso priva di effetti legali, ha voluto offrire soltanto uno strumento di lavoro per gli studiosi.
Si è ritenuto utile, cioè, indicare per ciascuna disposizione del vecchio Codice quali siano quelle abrogate e quali quelle modificate, utilizzando a tal fine anche un diverso colore. Uno strumento, insomma, per aiutare a comprendere più facilmente quali Parti, Titoli, Capi e norme del vecchio Codice siano definitivamente abrogate per effetto dell’art. 27 del d.lvo n.101 del 2018, e quali invece le norme modificate e le innovazioni apportate da questo decreto.
Così presentata, questa iniziativa del Garante Privacy sul Gdpr, è apprezzabile e, se ben capita, può anche essere utile.
Vi è tuttavia il rischio che la pubblicazione sul sito del Garante faccia cadere molti nell’errore di considerare questo testo come il “contenitore” di tutta la normativa italiana di adeguamento al GDPR contenuta nel d.lvo n.101 del 2018. Cosa, questa, che potrebbe avere non poche spiacevoli conseguenze.
È molto importante dunque offrire ai lettori alcuni suggerimenti circa l’uso di questo strumento, insieme ad alcune specificazioni che possono essere utili a chi si occupi della materia.
La prima considerazione da fare riguarda proprio il contenuto dello stesso d.lvo n. 101 del 2018.
Avendo il Garante ritenuto di mettere a disposizione sul suo sito unicamente il “testo coordinato” del d.lvo n. 196 del 2003 come novellato alla luce del d.lvo n.101 del 2018, sono state omesse quelle parti di quest’ultimo decreto che non hanno come oggetto la modifica o l’abrogazione di norme del precedente d.lvo n. 196 (c.d. Codice privacy) ma contengono disposizioni ulteriori, dotate di una loro autonomia e di una loro specifica efficacia.
Le conseguenze di questa scelta sono molto significative, sia per la tecnica adottata che per le rilevanti omissioni che ne derivano rispetto al contenuto del decreto legislativo 101/2018.
Per quanto riguarda l’iniziativa in sé, i dubbi riguardano il criterio, forse troppo “formalistico”, adottato. Esso, infatti, ha condotto a mantenere nel “testo coordinato” alcune norme, della cui perdurante vigenza può dubitarsi. Si pensi, solo per fare un esempio, a quella relativa alla entrata in vigore del vecchio d.lvo n.196 del 2003 alla data del 1° gennaio 2004. Per contro, non è stato inserito alcun riferimento, neanche come nota, relativo all’ entrata in vigore della nuova normativa, e quindi anche del “Codice novellato” in vigore a partire dal 19 settembre 2018.
Limiti e possibili equivoci del “testo coordinato”
Di maggior rilievo, però, sono le omissioni che caratterizzano il “testo coordinato”. Le “mancanze” più significative riguardano:
- l’omissione dell’intero Capo VI del d.lvo n.101;
- la mancata riproduzione di norme che il decreto legislativo n.101 abroga ma di cui, allo stesso tempo, proroga l’efficacia fino all’adozione di misure di garanzie o di provvedimenti generali da parte del Garante (per un richiamo normativo puntuale si vedano i commi 3 e 11 dell’art. 22 del decreto di adeguamento);
- la mancata riproduzione di norme o provvedimenti a carattere generale adottati sotto l’impero del vecchio Codice, rispetto ai quali il d.lvo 101 fissa i termini per la ridefinizione o riadozione da parte del Garante come le disposizioni contenute nei Codici deontologici e di buona condotta contenuti nell’allegato A e nelle Autorizzazioni generali, che restano in vigore fino al verificarsi delle condizioni stabilite nell’art. 21 del d.lvo n.101/2018.
La carenza più importante
È chiaro, però, che la carenza maggiore, anche per la quantità delle norme coinvolte, riguarda la mancata riproduzione, anche solo nella forma di parte aggiunta, dell’intero Capo VI del decreto legislativo di adeguamento, che contiene le “disposizioni transitorie e finali”.
Si tratta di una omissione che può avere anche giustificazioni formali sostenibili, legate al fatto che, proprio perché del tutto estraneo alla novella del Codice del 2003, questo Capo non poteva “trovare spazio” nel “testo coordinato”.
Tuttavia questa spiegazione formalistica, connessa a difficoltà di redazione di un “testo coordinato”, privo, come tale, di ogni efficacia legale, non può comunque essere avanzata per la mancata riproduzione dell’Allegato A e delle norme che, anche se già abrogate, mantengono una efficacia differita, e per le quali, al fine di indicarne la particolare “natura”, si sarebbe potuto usare un terzo colore o un diverso carattere grafico.
Gli aspetti positivi del “testo coordinato”
Da un punto di vista sostanziale, dunque, non si può negare che il “testo coordinato” pubblicato sul sito del Garante il 19 settembre, presenti limiti rilevanti e possa, soprattutto per i meno esperti, comportare potenzialmente anche rischi rilevanti di misunderstanding.
Va tuttavia riconosciuto che tali rischi possono essere diminuiti dal fatto che il sito contiene anche una amplissima documentazione in materia di normativa italiana ed europea relativa alla protezione dei dati personali.
Su di esso, infatti, sono facilmente consultabili non solo il testo integrale del decreto legislativo n.101 del 2018 e del Regolamento (UE) 679/2016, ma anche:
- i codici deontologici di cui all’allegato A;
- i provvedimenti a carattere generale e le autorizzazioni adottati dal Garante sotto l’impero del d.lvo n. 196 del 2003, prima della novella contenuta nel nuovo decreto di adeguamento;
- gli altri atti normativi di diritto dell’Unione e le altre leggi e decreti legislativi di diritto italiano che rilevano nell’ambito della protezione dei dati personali, a partire dalla Direttiva 2016/680 in materia di “tutela dei trattamenti di dati personali da parte delle autorità competenti a fini di prevenzione, indagine, accertamento e perseguimento di reati o esecuzione di azioni penali, nonché la libera circolazione di tali dati che abroga la decisione quadro 2008/977/GAI del Consiglio” e il d.lvo 18 maggio 2018, n. 51, che dà attuazione per il territorio italiano a tale Direttiva.
Non sarebbe corretta, dunque, la critica di chi ritenesse che il Garante, pubblicando il “testo coordinato”, abbia diffuso un quadro normativo troppo semplificato e per questo inadeguato ad uno dei ruoli fondamentali che spetta all’Autorità di controllo esercitare: quello di garantire la piena conoscibilità delle norme europee e italiane rilevanti in materia di tutela delle persone fisiche rispetto ai trattamenti dei dati.
Il ruolo dei Garanti dopo GDPR e decreto 101/2018
Il ruolo delle Autorità di controllo nazionali (che l’art. 2-bis del d.lvo 101 del 2018 individua esplicitamente nel “Garante”) relativo a una diffusione corretta e completa della normativa, europea e nazionale, è sempre stato particolarmente importante. Esso è tanto più importante oggi, in quanto la complessità di questo sistema normativo è ulteriormente aumentata a seguito della entrata in vigore del GDPR e, ora, del decreto legislativo di adeguamento della legislazione italiana, che novella anche il Codice del 2003.
È ben noto che la normativa di tutela dei trattamenti che riguardano i dati delle persone fisiche non si è mai esaurita unicamente nelle disposizioni contenute nel Codice in materia di protezione dei dati personali di cui al d.lvo n. 196 del 30 giugno 2003. Il Codice, infatti, anche prima del 25 maggio 2018, ha sempre contenuto una parte soltanto di un corpus normativo estremamente più ampio, che ricomprendeva certamente la Direttiva 46/95 ma faceva riferimento anche a molte altre fonti normative, alcune delle quali ora anche esplicitamente richiamate, non a caso, nell’art. 154 del Codice come novellato dall’art.14 del d.lvo n. 101 del 2018.
In questa sede merita però richiamare l’attenzione sul fatto che, nell’ambito del GDPR la integrazione fra normativa europea e legislazioni nazionali è molto più rilevante ed ha una efficacia giuridica assai maggiore di quanto accadeva sotto l’impero della Direttiva 46/95.
Questo vale in particolare per quanto riguarda le norme nazionali di adeguamento e, in generale, ogni normativa di diritto interno che incida sulla tutela dei dati personali e sulla loro libera circolazione.
Va detto con chiarezza, infatti, che l’obbligo di adeguare al GDPR la normativa nazionale, compresa quella nelle materie rimesse alla competenza degli Stati, non riguarda solo il Codice adottato dal d.lvo n.196 del 2003, ora novellato. Né la necessaria consapevolezza della maggiore ampiezza della normativa nazionale può esaurirsi nel tener conto in modo adeguato di quanto contenuto nel “testo coordinato” più volte citato. Né basta la conoscenza delle norme del decreto n.101/2018 che modificano il decreto n. 196/2003 da un lato, di quelle che invece, pur contenute nel medesimo decreto, sono dotate di un proprio autonomo ambito di applicazione che va oltre le innovazioni al Codice, come avviene per quelle contenute nel Capo VI del decreto di adeguamento.
Va tenuto presente, infatti, che lo stesso decreto legislativo 101, anche ribadendo, e in molti casi ampliando, riferimenti già contenuti anche nel decreto legislativo 196/2003, rinvia frequentemente alla necessità di tener conto di leggi e regolamenti nazionali relativi a specifici settori, o a trattamenti di categorie particolari di dati, per individuare le basi normative adeguate a garantire la legittimità dei trattamenti posti in essere.
Due esempi per chiarire la complessità dello scenario
Gli esempi potrebbero essere molti, ma due disposizioni, in particolare, possono chiarire meglio quanto ampio, capillare e continuativo nel tempo debba essere il lavoro di adeguamento della normativa italiana al GDPR e, in settori specifici, ad altri Regolamenti (si pensi al non ancora definitivamente approvato Regolamento e-privacy) e Direttive (si pensi alla già citata Direttiva 680/2016).
- La prima disposizione interessante a questo fine è l’art. 2-ter, relativo alla individuazione della base giuridica per il trattamento di dati personali effettuato per l’esecuzione di un compito di interesse pubblico o connesso all’esercizio di pubblici poteri. Questa norma specifica al primo comma che “la base giuridica relativa a questi trattamenti, prevista dall’art. 6, paragrafo 3, lettera b) (rectius: lettere c) ed e) del Regolamento è costituita unicamente da una norma di legge o, nei casi previsti, dalla legge, di regolamento”. I commi successivi, utilizzando la formula del rinvio al comma 1, estendono tale vincolo anche alla comunicazione tra titolari o alla comunicazione e diffusione a titolari che intendano utilizzarli per altre finalità. È evidente che i trattamenti a cui si riferisce questo articolo, riferiti ai casi previsti dall’art. 6, paragrafo 3, lettere c) ed e), devono basarsi su specifiche norme contenute in leggi o regolamenti italiani. Queste norme, grazie al richiamo di cui all’art. 2-ter, diventano dunque necessariamente parti del corpus normativo italiano di adeguamento al GDPR. È chiaro, infatti, che le norme in questione potranno garantire una base legittima adeguata ai trattamenti di cui all’art. 2-ter solo in quanto siano conformi anche al GDPR e comunque interpretabili e applicabili alla luce delle sue disposizioni.
- Ancor più chiaro è il ruolo che leggi e i regolamenti assumono quando costituiscono la base di legittimità necessaria nell’ambito dell’art. 2-sexies, relativo al “trattamento di categorie particolari di dati personali necessario per motivi di interesse pubblico rilevante”. Recita infatti il comma 1 di questo articolo che “i trattamenti delle categorie particolari di dati personali di cui all’art. 9, paragrafo 1, del Regolamento, necessari per motivi di interesse pubblico rilevante, ai sensi del paragrafo 2, lettera g) del medesimo articolo, sono ammessi qualora siano previsti dal diritto dell’Unione europea ovvero, nell’ordinamento interno, da disposizioni di legge o, nei casi previsti dalle leggi, di regolamento che specifichino i tipi di dati trattati, le operazioni eseguibili e il motivo di interesse pubblico rilevante, nonchè le misure appropriate e specifiche per tutelare i diritti fondamentali e gli interessi dell’interessato”.
Si tratta di una disposizione particolarmente importante perché non si limita a fare riferimento a leggi e regolamenti, ma specifica anche:
- che i regolamenti sono base giuridica efficace solo in quanto previsti da leggi;
- che comunque le fonti di diritto interno, come del resto quelle dell’Unione, devono specificare i tipi di dati, le operazioni eseguibili, il motivo di interesse pubblico rilevante;
- che esse devono inoltre predisporre misure appropriate e specifiche per la tutela dei diritti fondamentali e degli interessi delle persone interessate.
Un complesso ed estesissimo apparato ordinamentale
Si tratta dunque di una norma che prevede anche requisiti specifici ai quali le leggi e i regolamenti interni devono ottemperare per poter essere considerati base legittima adeguata.
Una dimostrazione ulteriore del fatto che il sistema ordinamentale derivante dal GDPR e dal d.lvo 101/2018, quale atto legislativo interno di adeguamento, non si esaurisce affatto in questi due soli apparati normativi e nel decreto legislativo 196 del 2003 come modificato dal d.lvo n. 101 del 2018. Esso si estende a un numero potenzialmente amplissimo di atti giuridici dell’Unione, da un lato, di leggi e regolamenti di diritto interno, dall’altro. Inoltre, in molti casi pretende che essi, siano atti di diritto UE o di diritto nazionale, per poter costituire una base giuridica adeguata, contengano anche norme specifiche relative alle caratteristiche dei trattamenti regolati e alla adozione di misure di garanzia appropriate e specifiche.
Dobbiamo dunque necessariamente abituarci a pensare al Codice novellato come a una soltanto, anche se sicuramente la più ampia e importante, delle leggi e degli atti normativi di diritto interno che fanno parte, insieme al GDPR e a tutti gli atti normativi dell’Unione in materia, di un complesso ed estesissimo apparato ordinamentale a più livelli.
L’individuazione delle misure di soft law
In questo quadro, già di per sé molto complesso, si deve poi tener conto dei poteri di soft law assegnati dal GDPR:
- alle Autorità di controllo (cfr. in particolare art. 58, paragrafo 3, oltre ai poteri elencati nei paragrafi 1 e 2, in linea generale più specificamente riferiti a casi concreti o a provvedimenti puntuali);
- alle Autorità di controllo riunite nel Comitato dei garanti europei (EDPB) (art. 70 del GDPR, oltre ai poteri che lo EDPB può esercitare nel quadro del meccanismo di coerenza di cui alla Sezione 2 del Capo VII del GDPR).
Ogni Stato inoltre può, ai sensi dell’art. 58, paragrafo 6, prevedere per legge che l’Autorità di controllo nazionale “abbia ulteriori poteri rispetto a quelli di cui ai paragrafi 1,2 e 3. L’esercizio di tali diritti non pregiudica l’operatività effettiva del Capo VII”.
Questa norma si affianca alle altre disposizioni contenute nel GDPR, prima fra tutte l’art. 54, che assegnano agli Stati membri poteri amplissimi in ordine alla costituzione, organizzazione e modalità di funzionamento delle rispettive Autorità di controllo. Essa, però, assume in questo quadro un ruolo fondamentale perché consente ai legislatori degli Stati membri di poter assegnare alle rispettive Autorità di controllo (per noi il Garante) poteri ulteriori rispetto a quelli previsti dal GDPR stesso.
I legislatori nazionali possono, di conseguenza, individuare anche misure di soft law specifiche e diverse per ciascun Stato, ivi comprese quelle che, come le regole deontologiche italiane di cui all’art. 2-quater del d.lvo n.101, possono costituire condizioni di legittimità e liceità dei trattamenti che rientrano nei settori e ambiti disciplinati.
Ovviamente, il potere riconosciuto agli Stati dall’art. 58 paragrafo 6 è tale che può condurre al conferimento alle diverse Autorità nazionali di poteri di soft law o anche di carattere “pararegolamentare”, come le nostre regole deontologiche, che potrebbero “frammentare” l’attuazione del GDPR anche oltre il perimetro delle competenze nazionali per materia, stabilite prevalentemente nel Capo IX e negli artt. 6, 8 e 9 del GDPR.
Per questo lo stesso paragrafo 6 dell’art. 58 specifica che in ogni caso “l’esercizio di tali poteri non pregiudica l’operatività effettiva del Capo VII”.
Il Capo VII del GDPR riguarda i meccanismi di coerenza, e dunque la disposizione dell’art. 58, paragrafo 6 vuole chiarire che il conferimento da parte degli Stati alle loro Autorità di controllo di poteri di carattere provvedimentale generale, di soft law o, esplicitamente, di carattere “pararegolamentare”, non deve estendersi, sia nel contenuto che negli effetti, fino a costituire un limite alla attuazione delle norme contenute nel Capo VII e in particolare a quelle relative al meccanismo di coerenza di cui alla Sezione 2 di tale Capo, che prevedono anche rilevanti poteri in capo all’EDPB.
GDPR e rafforzamento dei poteri del Garante
Proprio la complessità del quadro normativo qui ricostruito, che si estende anche a consentire che i legislatori nazionali possano attribuire alle loro Autorità di controllo poteri ulteriori, dovrebbe far capire a tutti l’assoluta importanza di riconoscere e rafforzare la supremazia del GDPR sulle leggi nazionali.
Questo significa non solo aver chiaro che spetta al GDPR definire l’ambito di competenza materiale del legislatore nazionale ma anche che tutti sono obbligati a interpretare e applicare le norme nazionali, comprese quelle che definiscono la base di legittimità dei trattamenti, alla luce della disciplina contenuta nel GDPR.
Per noi italiani aver sempre ben chiaro questo quadro è molto importante.
Proprio grazie alle norme nazionali di adeguamento contenuto nel d.lvo 101 del 2018 che, per questa parte, ha da un lato confermato e dall’altro arricchito il vecchio Codice, sono stati attribuiti al Garante poteri molto rilevanti. Coerentemente con la linea scelta già dalla Commissione Finocchiaro e fortunatamente mantenuta, anzi ampliata, anche nelle fasi successive del procedimento di formazione del decreto legislativo, al Garante italiano sono stati conferiti poteri molto ampi, finalizzati ad assicurare, anche nel tempo, una attuazione della normativa flessibile e adeguata allo sviluppo delle tecnologie in molti campi che, spesso, vanno anche oltre quelli strettamente rimessi alla normativa nazionale.
Uno degli aspetti più importanti della nuova normativa riguarda, infatti, proprio la evidente centralità assegnata al Garante.
Una “centralità” che non poggia solo sulla competenza nazionale relativa a settori specifici ma sulla ben più ampia competenza del legislatore nazionale relativa alla integrazione dei poteri dell’Autorità di controllo rispetto a quelli già previsti dal GDPR.
Per questo nel quadro italiano le responsabilità del Garante sono oggi più ampie e più “solide” di prima.
Per questo, infine, ribadiamo l’invito al Garante ad esercitare con la massima tempestività possibile i suoi poteri regolatori.
L’augurio è che anche le categorie economiche e sociali, dal nuovo decreto chiamate a esercitare un ruolo ben più ampio che nel passato, siano all’altezza della sfida.
Gdpr, Pizzetti: “Ecco tutte le risposte che aspettiamo (subito) dal Garante Privacy”