Prosegue la stupefacente produzione normativa privacy di fine legislatura, un susseguirsi di variazioni sul tema da lasciare interdetto anche il giurista più fantasioso. In cauda venenum, viene da pensare. Non sono bastate le discutibilissime innovazioni e limitazioni in materia di ricerca scientifica, di conservazione dei dati di traffico e di nomine a responsabili della legge 167/2017; e neppure l’astruso divieto sostanziale di telemarketing con operatore introdotto, in aperto contrasto con il diritto della UE e con il principio di libertà del consenso individuale, con la recente legge approvata il 22 dicembre 2017.
Legge di bilancio 2018
Nella recentissima legge di bilancio 2018 (Legge 27 dicembre 2017, n. 205, G.U. n.302 del 29-12-2017 – Suppl. Ordinario n. 62), infatti, ai commi da 1020 a 1025 dell’art. 1, ecco apparire alcune novità spiazzanti. Il comma 1020, con la “scusa” di voler adeguare l’ordinamento interno al GDPR, ci ricorda che il Garante Privacy “assicura la tutela dei diritti fondamentali e delle libertà dei cittadini”. Incomprensibile questo comma, primo della lista, se non lo si vuole intendere come una excusatio non petita quasi a cercare di imbiancare un intervento normativo estemporaneo e “spot” con l’ipotetico scopo nobile dell’adeguamento alla nuova disciplina UE (ma non sarebbe questa la sede, bensì il futuro decreto legislativo che il Governo dovrà emanare in attuazione della legge delega n. 163/2017) e di fornire al lettore-interprete delle supposte motivazioni rispetto ai commi che seguono, del tutto pleonastiche ed anzi fuorvianti. Il mestiere dell’Autorità Garante lo conosciamo bene (sin dalla legge 675/1996 e poi dal Codice Privacy, nell’ordinamento italiano), mentre a livello europeo futuro prossimo esso è ben chiarito dagli articoli 51 e seguenti del GDPR. Non serviva una legge a ricordarci, in una riga, quale sia il compito generale dell’Autorità.
Il comma 1021 oscilla tra il ripetitivo e il contrastante con il GDPR, il che potrà, a parere di chi scrive, dare facile adito ad escalation di impugnazioni per l’incompatibilità di queste norme con il diritto della UE: in esso si prevede che il Garante, con proprio provvedimento da adottare entro due mesi dalla data di entrata in vigore della legge di bilancio:
- a) disciplini le modalità attraverso le quali il Garante stesso monitora l’applicazione del regolamento GDPR e vigila sulla sua applicazione. Il Garante dovrebbe, dunque, replicarsi in casa propria i contenuti degli artt. 55 e seguenti del GDPR? Sembra quasi che gli uffici legislativi parlamentari non abbiano considerato che il GDPR è un Regolamento e non una Direttiva, e non tollera ripetitività nel diritto degli Stati Membri se non per le materie espressamente ad essi riservate;
- b) disciplini le modalità di verifica, anche attraverso l’acquisizione di informazioni dai titolari dei dati personali trattati per via automatizzata o tramite tecnologie digitali, della presenza di adeguate infrastrutture per l’interoperabilità dei formati con cui i dati sono messi a disposizione dei soggetti interessati, sia ai fini della portabilità dei dati ai sensi dell’articolo 20 del regolamento RGPD, sia ai fini dell’adeguamento tempestivo alle disposizioni del regolamento stesso. Stendiamo un “velo pietoso” sulla formula “titolari dei dati personali”: categoria soggettiva inesistente in Europa, visto che, al più, si può essere “titolari del trattamento dei dati”. Inoltre, questa lettera b) è nettamente in attrito con il dettato europeo, perché ragiona come se il GDPR imponesse di adeguare le infrastrutture a priori: non è così. Recita infatti il considerando 68 del GDPR: “È opportuno incoraggiare i titolari del trattamento a sviluppare formati interoperabili che consentano la portabilità dei dati. […] Il diritto dell’interessato di trasmettere o ricevere dati personali che lo riguardano non dovrebbe comportare l’obbligo per i titolari del trattamento di adottare o mantenere sistemi di trattamento tecnicamente compatibili”);
- c) predisponga un modello di informativa da compilare a cura dei titolari di dati personali (sic!) che effettuano un trattamento fondato sull’interesse legittimo che prevede l’uso di nuove tecnologie o di strumenti automatizzati: previsione, questa, quanto mai ingenua poiché nessuna informativa è solamente dedicata a trattamenti fondati sull’interesse legittimo del titolare del trattamento. Come creare un modello astratto e isolato in generale? La prima cosa che insegno ai miei giovani collaboratori è che non esiste il concetto di “template” di informativa, ogni informativa va disegnata su carta bianca, perché è la punta dell’iceberg e ogni punta deve conformarsi alla sostanza di fondo;
- d) definisca linee-guida o buone prassi in materia di trattamento dei dati personali fondato sull’interesse legittimo del titolare: peccato che, a questo, dovrà pensare il Comitato Europeo per la Protezione dei Dati ex art. 70.1.e) del GDPR e non il Garante nazionale.
L’autorizzazione del Garante Privacy
Ai commi 1022 e 1023, il capolavoro: si prevede che il titolare di dati personali (sic!), ove effettui un trattamento fondato sull’interesse legittimo che prevede l’uso di nuove tecnologie o di strumenti automatizzati, debba darne tempestiva comunicazione al Garante per la protezione dei dati personali. A tale fine, prima di procedere al trattamento, il titolare dei dati dovrebbe inviare al Garante un’informativa relativa all’oggetto, alle finalità e al contesto del trattamento, utilizzando il modello di cui al comma 1021, lettera c). Trascorsi quindici giorni lavorativi dall’invio dell’informativa, in assenza di risposta da parte del Garante, il titolare dovrebbe poter procedere al trattamento.
Il Garante per la protezione dei dati personali dovrà effettuare quindi un’istruttoria sulla base dell’informativa ricevuta dal titolare ai sensi del comma 1022 e, ove ravvisi il rischio che dal trattamento derivi una lesione dei diritti e delle libertà dei soggetti interessati, dovrebbe disporre la moratoria del trattamento per un periodo massimo di trenta giorni. In tale periodo, il Garante potrebbe chiedere al titolare ulteriori informazioni e integrazioni, da rendere tempestivamente, e, qualora ritenga che dal trattamento derivi comunque una lesione dei diritti e delle libertà del soggetto interessato, potrebbe disporre l’inibitoria all’utilizzo dei dati.
Siamo di fronte al tentativo di reintrodurre un misto tra notificazione, autorizzazione e verifica preliminare privacy nell’ordinamento italiano, in palese contrasto dal 25 maggio 2018 con il GDPR che elimina le notificazioni, riduce all’osso il perimetro delle autorizzazioni e solo in ambiti super-sensibili, e ammette obblighi di consultazioni preliminari dell’Autorità solo in casi residuali e ben regolati ex art. 36. Questa norma è platealmente incompatibile con il diritto della UE.
Affascinanti nel loro possibile significato i commi 1024 e 1025. Là, si prevede che il Garante dia conto dell’attività svolta ai sensi del comma 1023 e dei provvedimenti conseguentemente adottati nella relazione annuale, e che ai fini dell’attuazione dei commi 1020, 1021, 1022, 1023 e 1024 sia autorizzata la spesa di 2 milioni di euro annui a decorrere dall’anno 2018.
Personalmente, aspetto con ansia di leggere le dichiarazioni formali con le quali il Garante italiano, anche rinunciando a questi ulteriori 2 milioni di stanziamento, si avvii a porre la questione di incompatibilità delle suddette norme con il GDPR, in ossequio all’obbligo di interpretazione conforme del diritto della UE. O, in alternativa, auspico che, nell’esercizio della vera delega legislativa ex L. 163/2017, il Governo spazzi via tutti questi interventi disorganici e incompatibili, riportando ordine – e rispetto giuridico e intellettuale per la disciplina privacy – a livello nazionale.
APPROFONDIMENTO: LE DIRETTIVE 680, 681 E I RISCHI PER LA PRIVACY
