Il nuovo articolo 154 bis del d.lvo 196 del 2003 come novellato dal d.lvo n. 101 del 2018 Gdpr prevede l’arrivo di specifiche linee guida per modalità di adempimento semplificato ad hoc per micro, piccole e medie imprese (pmi).
Nello specifico, al comma 1: “il Garante, oltre a quanto previsto da specifiche disposizioni, dalla Sezione II del Capo VI del Regolamento e dal presente codice, ai sensi dell’art. 58, paragrafo 6 del Regolamento medesimo, ha il potere di
- adottare linee guida di indirizzo riguardanti le misure organizzative e tecniche di attuazione dei principi del Regolamento, anche per singoli settori e in applicazione dei principi di cui all’art. 25 del Regolamento
- approvare le regole deontologiche di cui all’art. 2-quater”
Il medesimo articolo specifica al comma 4 che “in considerazione delle esigenze di semplificazione delle micro, piccole e medie imprese, come definite nella Raccomandazione 2003/361/CE, il Garante per la protezione dei dati personali, nel rispetto delle disposizioni del Regolamento e del presente Codice, promuove, nelle linee guida adottate a norma del comma 1, lettera a), modalità semplificate di adempimento degli obblighi del titolare del trattamento”.
L’art. 154 bis contiene altri due commi, relativi al potere riconosciuto alla Autorità di collaborare in varie forme con altre Autorità consorelle di altri Paesi dell’UE e al potere di disciplinare con proprio atto di natura generale le modalità di pubblicazione dei propri provvedimenti nella G.U della Repubblica italiana e sul proprio sito istituzionale.
Ovviamente, pur importanti, i contenuti dei commi 2 e 3 non interessano in questa sede.
Oggetto di questa riflessione sono invece i commi 1 e 4.
Decreto 101/2018, Gdpr e poteri del Garante
Il primo comma merita alcune sottolineature specifiche.
Il primo aspetto da sottolineare riguarda il fatto che esso assegna al Garante poteri ulteriori rispetto a quelli assegnati alle Autorità di controllo nazionali dal GDPR.
La base normativa di questo comma è, come dice la disposizione stessa, nell’art. 58, paragrafo 6 del GSPR, secondo il quale: “ogni Stato membro può prevedere per legge che la sua Autorità di controllo abbia ulteriori poteri rispetto a quelli di cui ai paragrafi 1, 2 e 3. L’esercizio di tali poteri non pregiudica l’operatività effettiva del capo VII”.
Dunque, la competenza del legislatore nazionale in materia di poteri della propria Autorità di controllo ha una base specifica nel GDPR, che va oltre il perimetro delle competenze nazionali per materia, di cui al Capo IX, e anche oltre quelle previste in altre norme specifiche del Regolamento, come a puro titolo di esempio alcuni paragrafi dell’art.6, dell’art. 9 e dell’art. 8.
Ovviamente, come specifica l’art. 58 paragrafo 6 stesso, i poteri della Autorità di controllo incontrano in questo ambito un limite specifico, che è quello di non pregiudicare l’operatività effettiva del Capo VII, intitolato “Cooperazione e Coerenza”, il cui contenuto normativo è posto a presidio di garantire che le decisioni assunte dalle singole Autorità e, maggior ragione, i poteri ad esse conferiti dai legislatori nazionali non possano mai pregiudicare una applicazione coerente del GDPR su tutto il territorio dell’Unione, promuovendo anche, a tal fine, la cooperazione tra tutte le Autorità degli Stati membri, a partire dal Comitato dei Garanti (EDPB) e dai poteri ad esso conferiti.
Resta molto importante, però, non scordare mai che le scelte del legislatore italiano in materia di ulteriori poteri conferiti al Garante hanno una loro autonoma base normativa e limiti specifici, puntualmente indicati nel GDPR.
Codici di condotta e regole deontologiche
In questo quadro è del tutto evidente che i poteri conferiti dal d.lvo 101 al Garante in base alla norma di cui al nuovo art. 154-bis, inserito nel testo del d.lvo n.196 del 2003, riguardano poteri ulteriori e aggiuntivi rispetto a quelli già assegnati alle Autorità di controllo dal GDPR, segnatamente (ma non solo) nell’art.58.
Questo spiega perché il primo comma richiami il potere attributo al Garante già dall’art. 2-quater, relativo alla adozione di “regole deontologiche” e non quello di promuovere Codici di condotta.
I Codici di condotta, infatti, sono disciplinati e previsti esplicitamente nel GDPR, agli artt. 40 e 41 e lo stesso art. 58 del Regolamento specifica al paragrafo 1, lettera m) che ogni Autorità di controllo, sul proprio territorio “incoraggia l’elaborazione di Codici di condotta ai sensi dell’art. 40, paragrafo 1, e fornisce un parere su tali Codici di condotta e approva quelli che forniscono garanzie sufficienti a norma dell’articolo 40, paragrafo 5”.
Dunque i poteri delle Autorità di controllo in merito all’incoraggiamento a proporre codici di condotta, così come tutto l’iter procedimentale relativo, è, anche per i Codici che riguardino un singolo Paese, totalmente disciplinato dal GDPR, agli artt. 40, 41 e 58 lettera m).
Di conseguenza non sarebbe stato in alcun modo possibile assegnare poteri specifici al Garante in merito a questi Codici utilizzando la competenza di cui all’art. 58, paragrafo 6, ed infatti il d.lvo 101 esplicitamente prevede che i Codici di buona condotta previsti dal Codice italiano prima della novella operata dal decreto delegato debbano cessare di avere efficacia quando sono estranei, anche nel merito dei settori disciplinati, alla competenza del legislatore nazionale, salvo che entro 6 mesi dall’entrata in vigore del Codice novellato, le categorie interessate manifestino la volontà di promuoverne la adozione con le procedure dell’art. 40 (cfr. art. 20, comma 1 e 2, d.lvo.n.101 del 2018).
Nel caso in cui, invece i Codici di buona condotta previgenti rientrino nell’ambito dei settori di competenza del legislatore nazionale essi devono assumere la veste giuridica di “regole deontologiche” ex art. 2-quater, previo esame del Garante sulla compatibilità delle norme in essi contenute con il dettato del GDPR (cfr. art. 20, commi 3, 4 e 5, del d.lvo n.101 del 2018).
Sta qui, dunque, la ragione per la quale il comma 1 dell’art. 154-bis assegna al Garante il potere di adottare regole deontologiche ma non quello di promuovere Codici di condotta, che sono materia riservata al GDPR.
Linee guida e “di indirizzo”
Resta da capire perché, invece, il primo comma dell’art. 154-bis assegni esplicitamente al Garante il potere di dettare Linee guida, definendone anche le caratteristiche e i limiti contenutistici.
Va ricordato a questo proposito che il d.lvo 196 del 2003 non conosceva affatto la categoria delle “Linee guida”, che pure il Garante ha cominciato a adottare ampiamente dal 2008 in poi.
La realtà è che l’utilizzazione di questa categoria di provvedimenti da parte del Garante italiano è stata una classica “creazione pragmatica” legata alla scelta di utilizzare, in via di prassi, provvedimenti di carattere generale il cui contenuto fosse più nettamente di indirizzo e guida per gli operatori che non puntualmente prescrittivo di vincoli specifici.
L’innovazione fu accolta con favore dagli operatori, e in pochissimi anni la prassi del Garante italiano relativa alla adozione di Linee guida si è così consolidata da far quasi dimenticare la loro origine legata alla prassi e non basata su una specifica previsione normativa.
Il GDPR recepisce la categoria giuridica delle “Linee guida”, ma sostanzialmente la riserva ai poteri del Gruppo dei garanti europei (EDPB), secondo quanto dispone l’art. 70, paragrafo 1, lettere f), g), h), i), j), prevedendone l’adozione nei singoli settori richiamati in ciascuna lettera.
Il GDPR non prevede invece fra i poteri delle Autorità di controllo nazionali di cui all’art.58, quello di adottare Linee guida.
Il legislatore delegato italiano, forte del potere ad esso attribuito dall’art. 58, paragrafo 6, e della constatazione che l’adozione di Linee guida non rientra fra i poteri delle Autorità nazionali regolate dal GDPR, ha ritenuto di valorizzare l’esperienza italiana compiuta negli anni precedenti, e di prevedere dunque che il Garante abbia anche il potere di adottare Linee guida.
Ovviamente, proprio il fatto che si tratta dell’attribuzione di un potere specifico, previsto dal GDPR solo per il Gruppo dei Garanti europei (EDPB), ha spinto il legislatore italiano a definire in modo ampio e generale il contenuto delle Linee guida adottabili dal Garante, ma di limitarne l’ambito alla sola adozione di “linee di indirizzo” riguardanti l’attuazione dei principi del Regolamento, con puntuale riferimento alle misure organizzative e tecniche che il titolare deve adottare e all’ applicazione di quanto previsto dall’art. 25 in materia di privacy by design e privacy by default.
In sostanza le Linee guida che il Garante può adottare in base all’art.154 bis non riguardano specificamente l’attuazione di norme puntuali del GDPR o del Codice, né possono contenere norme vincolanti rispetto alle modalità di attuazione di disposizioni specifiche o di trattamenti puntualmente individuati, come possono fare, invece, le regole deontologiche di cui all’art.2-quater. Regole, queste ultime, che una volta adottate, diventano condizione di “liceità e correttezza” dei trattamenti disciplinati (cfr. art.2-quater del d.lvo n. 101).
Le Linee guida di cui all’art. 154 bis hanno una natura diversa e non a caso, come la norma stessa specifica, devono contenere solo linee di indirizzo circa le modalità tecniche e organizzative dei trattamenti che, ex art. 24, il titolare deve adottare nonché le specifiche misure riconducibili a quanto previsto dall’art. 25 del GDPR in materia di privacy by design e by default.
Tuttavia, pur con questi limiti formali, non vi è dubbio che il potere assegnato al Garante italiano rispetto all’adozione di Linee guida è, in concreto, un potere molto rilevante, così come lo è stato nell’esperienza nazionale l’effetto e l’efficacia delle Linee guida, pur introdotte in via di prassi e senza esplicita previsione normativa durante la vigenza del vecchio Codice, ora novellato.
Obblighi del titolare e linee guida per le PMI
Nel caso dell’art.154 bis, inoltre, la previsione normativa relativa al potere del Garante di adottare Linee guida assume un rilievo ancora maggiore rispetto a quanto previsto dal comma 4 con riguardo alle micro, piccole e medie imprese.
La norma in questione prevede, infatti, che “in considerazione delle esigenze di semplificazione delle micro, piccole e medie imprese il Garante promuove, nelle Linee guida adottate ai sensi del comma 1, lettera a), modalità semplificate di adempimento degli obblighi del titolare del trattamento”.
È evidente che il quarto comma dell’art. 154 bis assume una importanza molto elevata in un contesto come quello italiano, nel quale la stragrande maggioranza di imprese di produzione di beni o servizi rientra nella categoria delle micro, piccole e medie imprese come definite nella Raccomandazione 2003/361 CE, richiamata dal medesimo quarto comma.
È dunque estremamente importante e urgente che il Garante, anche su una più che doverosa sollecitazione delle imprese, sempre possibile e opportuna, acceleri il più possibile la riflessione sulle Linee guida da adottare, in particolare per la parte relativa appunto al contenuto del comma 4.
È pacifico, infatti, che tanto il GDPR quanto il Codice novellato contengono impegni e obblighi potenzialmente molto “pesanti” nei confronti del titolare.
La legislazione nazionale non può certamente ridurre o limitare la portata di questi obblighi, perché questo non rientra nei poteri dello Stato.
Tuttavia, fermi restando obblighi e doveri del titolare, le Linee guida possono fare molto per semplificare le modalità del loro adempimento.
Non solo: proprio il fatto che il comma 4 dell’art. 154 bis richiami il comma 1 chiarisce che l’attività rimessa al Garante in materia di micro, piccole e medie imprese è rivolta esplicitamente a semplificare ai loro titolari il rispetto di obblighi di particolare rilievo e impegno, come le misure organizzative e tecniche da adottare rispetto ai trattamenti posti in essere e le modalità di applicazione dell’art. 25 del GDPR.
La priorità in materia di linee guida
Chi scrive è ben consapevole di quanto numerosi, gravosi e complessi siano i compiti ai quali il Garante è chiamato a far fronte in questi primi mesi di vigenza del nuovo Codice novellato, ed è per questo che più volte si è richiamata l’importanza di considerare centrale, almeno per un periodo non breve, il contenuto del Capo VI del d.lvo n. 101 del 2018.
Tuttavia, è chiaro che tra le tante urgenze quella di provvedere rapidamente a utilizzare nella misura più ampia possibile il potere conferito al Garante dall’art. 154 bis in materia di Linee guida e, particolarmente, di quelle relative alle modalità di semplificazione nell’attuazione degli obblighi del titolare quando si tratti di micro, piccole e medie imprese, è assolutamente centrale e vitale per la nostra economia.
Merita aggiungere che, operando tempestivamente su questo fronte, il Garante italiano non solo rispetta il dettato dell’art. 154 bis del Codice novellato ma anche i principi stessi del GDPR.
In molti Considerando e in alcuni importanti articoli il GDPR raccomanda una costante attenzione ai problemi delle micro, piccole e medie imprese, rimettendo anche alle Autorità il compito di tenere presenti, nell’esercizio dei loro poteri, le specificità di queste realtà.
Si vedano, solo per citarne alcuni, i Considerando 1, 98, 132, 167, l’art. 40 paragrafo 1, in materia di Codici di condotta, e l’art. 42, paragrafo 1, in materia di Certificazioni.
Non vi è dunque dubbio alcuno che per il Garante dare rapida e tempestiva attuazione a quanto previsto dall’art.154 bis non significa solo esercitare un potere assegnato dal legislatore nazionale ma anche un modo concreto e efficace di essere proattivo nella promozione dei principi del GDPR.
La collaborazione delle imprese
È evidente, però, che lo sforzo del Garante deve essere accompagnato da una incisiva attività di cooperazione e collaborazione da parte delle categorie produttive.
Il dettato dell’art. 154 bis, commi 1 e 4, è tale da consentire sia l’adozione di Linee guida per categorie di imprese definite in base alla loro dimensione e al numero dei dipendenti e del fatturato, sia di Linee guida articolate e differenziate per settori di attività.
La cooperazione del mondo produttivo è dunque assolutamente essenziale.
Molto, moltissimo possiamo chiedere al Garante ma non minore deve essere l’impegno della società italiana nel chiedere non solo una prudente attuazione del regime sanzionatorio ma anche, e soprattutto, un rapido ed efficace adempimento dei doveri che spettano al Garante, specialmente in materia di soft law.
Fra questi adempimenti certamente la tempestiva adozione di Linee guida idonee a consentire ai titolari di micro, piccole e medie imprese di conoscere rapidamente quali siano le modalità semplificate indicate dal Garante per adempiere agli obblighi derivanti dal GDPR e dalla normativa nazionale è ai primissimi posti.
Siamo sicuri che il Garante è ben consapevole di tutto questo.
Aspettiamo fiduciosi comportamenti coerenti anche dal mondo delle imprese e delle categorie produttive.
