Privacy e protezione dei dati, ecco le urgenze 2020

Il 2019 è stato un anno decisivo per l’attuazione e per una migliore comprensione del GDPR e, in generale, per la data protection. Facciamo il punto sulle attività più significative del 2019 e sugli interventi più attesi per il 2020.

Il 2019 di privacy e data protection

A livello sia europeo sia nazionale, tenendo conto delle esigenze concrete degli operatori, sono stati stabiliti dei punti fermi e sono state date importanti indicazioni interpretative, e al tempo stesso operative, con riferimento a modalità e settori significativi del trattamento dei dati personali.

Tra i provvedimenti più innovativi o comunque di maggior impatto attuativo,

• il Comitato europeo per la protezione dei dati (l’ex WP29 oggi denominato EDPB) ha adottato:
• le Linee guida 1/2019 sui codici di condotta e sugli organismi di monitoraggio a norma del GDPR^[1] chiarendo le procedure e le regole per la presentazione, l’approvazione e la pubblicazione dei codici di condotta di cui agli artt. 40 e 41 del GDPR, a livello sia nazionale che europeo;
• le Linee guida 3/2019 sul trattamento di dati personali attraverso sistemi di videosorveglianza”^[2] che illustrano alle imprese i principi generali a cui attenersi nell’installazione di tali sistemi, anche con riferimento alla base giuridica applicabile, ai tempi di conservazione, ai diritti degli interessati, alle misure tecniche e organizzative da adottare ed alle terze parti a cui è possibile comunicare/diffondere le immagini videoregistrate e regolano altresì il complesso rapporto tra dati biometrici e trattamenti effettuati tramite dispositivi video;
• le “Linee guida 4/2019 relative all’interpretazione dei principi di Privacy by design & by default” di cui all’art. 25 del GDPR^[3] che illustrano gli orientamenti pratici in materia e, tra l’altro, forniscono indicazioni circa i meccanismi di certificazione a cui i soggetti coinvolti possono ricorrere al fine di dimostrare il rispetto dei suddetti principi
• il Garante europeo della protezione dei dati (l’European Data Protection Supervisor – EDPS) ha emanato:
• le “Linee Guida sulla valutazione della proporzionalità delle misure che comportano limitazioni dei diritti fondamentali relativi alla privacy e alla protezione dei dati personali”^[4], indirizzate ai responsabili politici per garantire l’applicazione della normativa UE sulla data protection;
• le “Linee Guida sui concetti di Titolare, Responsabile e contitolarità ai sensi del Reg. (UE) 2018/1725”^[5]
• l’ENISA (l’Agenzia Europea per la sicurezza informatica) è intervenuta sul tema della sicurezza dei dati (oggi con l’avvento del GDPR parte integrante della protezione dei dati) con Linee Guida, Prassi ed eventi sull’implementazione di misure tecniche standard con riferimento, inter alia, alla PSD2 (Nuova Direttiva sui pagamenti digitali), all’IoT (l’Internet delle cose), alla NIS (Direttiva sulla sicurezza delle reti e dei sistemi di informazione) ed ai meccanismi di certificazione in tema di sicurezza informatica.
• il Garante italiano per la protezione dei dati personali, in esito ad una serie di iniziative sul GDPR avviate sia a livello nazionale sia su input delle Autorità competenti a livello europeo,:
• Ha verificato la conformità dei Codici di deontologia e di buona condotta , oggi Regole deontologiche,per i trattamenti di dati personali effettuati nell’esercizio dell’attività giornalistica, per fini statistici o di ricerca scientifica, nonché per svolgere investigazioni difensive o per far valere o difendere un diritto in sede giudiziaria^[6];
• ha emanato il Provvedimento n. 157 del 30 luglio 2019 che in allegato propone un modello di notifica delle violazioni dei dati personali indicando quali siano le informazioni da trasmettere necessariamente alla competente Autorità di controllo ai sensi dell’art. 33 del GDPR;
• ha pubblicato il Manuale RPD contenente le linee guida destinate ai Responsabili della protezione dei dati nei settori pubblici e parapubblici per il rispetto del GDPR, frutto di una collaborazione transnazionale che ha coinvolto esperti, giuristi e funzionari delle Autorità di controllo di diversi Paesi, tra cui il Garante italiano medesimo^[7].

Le sanzioni

Sul terreno delle sanzioni, dopo il periodo iniziale di “clemenza” nella fase immediatamente successiva al 25 maggio 2018 (data di piena applicazione del Reg. UE 2016/679 “GDPR”), i procedimenti avviati e conclusi nel 2019 con l’irrogazione di sanzioni amministrative pecuniarie.

Le Autorità di controllo maggiormente attive, oltre a quella italiana, in ambito ispettivo e sanzionatorio sono state, in particolare, Belgio (6), Bulgaria (15), Francia (5), Germania (12), Repubblica Ceca (7), Romania (17), Spagna (31) e Ungheria (13).

Le sanzioni più significative, per numero e come entità, hanno riguardato principalmente la violazione degli artt. 5 (principi generali in materia di protezione dati), 6 (basi giuridiche che legittimano il trattamento), 12 e 13 (informativa sul trattamento dei dati raccolti presso l’interessato e modalità di fornitura di tali informazioni), 12 e 15-22 (diritti degli interessati e modalità di esercizio di tali diritti) con particolare riguardo agli artt. 15 (diritto di accesso) e 17 (diritto di cancellazione), 25 (principio di privacy by design), 32 (misure di sicurezza tecniche e organizzative insufficienti) e 33 (mancata notifica di una violazione di dati personali “data breach”) del GDPR.

Gli interventi più attesi per il 2020

Terminata la ricognizione (su alcune) delle attività più significative del 2019, ci accingiamo a fare il punto sugli interventi più attesi per il 2020 in ambito data protection.

A livello europeo, avranno un ruolo determinante:

• il Regolamento e-Privacy: dopo l’ennesimo clamoroso stop imposto dal Parlamento Europeo lo scorso dicembre ci si aspetta, infatti, un intervento delle Istituzioni Europee per il varo di questo Regolamento volto ad abrogare la Direttiva 2002/58/CE e a creare un quadro normativo omogeneo e coerente a livello europeo, al pari del GDPR, nello specifico contesto delle comunicazioni elettroniche.

Il nuovo Regolamento dovrà superare le incongruenze della attuale direttiva con il GDPR ed occuparsi di una pluralità di temi delicatissimi e molto sentiti: cookies, data driven adverstising, web marketing, metadati, 5G, IoT e dovrà fornire gli strumenti necessari per contrastare reati quali il terrorismo, la pedopornografia e l’abuso di minori attraverso modalità informatiche.

• le prossime assemblee plenarie e le Nuove Guidelines dall’EDPB in programma: ci si aspetta che il Board si pronunci sul digital marketing e sui cookie, in un’ottica di armonizzazione ed al fine di chiarire i dubbi sorti a seguito delle recenti pronunce ed indicazioni date da alcune Corti ed Autorità di Controllo comunitarie^[8] e poi si è in attesa delle versioni finali delle citate Linee Guida 3/2019 sulla videosorveglianza e delle Linee Guida sul diritto alla cancellazione (c.d. diritto all’oblio). Tali ultime Linee Guida sono strutturate in due sezioni: la Parte 1, relativa ai presupposti validi per una richiesta di deindicizzazione, e la Parte 2, incentrata sulle eccezioni opponibili ex art. 17.3, GDPR avverso le richieste di delisting. Per il momento è stata pubblicata solo la Parte 1 (Linee Guida 5/2019), attualmente sottoposta a consultazione pubblica.^[9]

Un ruolo significativo ci si attende, infine, dalla neonata Commissione di Controllo Coordinato chiamata a vigilare sui grandi sistemi informativi Ue, sotto la guida di Giuseppe Busia, attuale segretario generale dell’Autorità per la protezione dei dati italiana. Tale nuovo organismo avrà tra i suoi compiti quelli di fornire supporto alle Autorità garanti della protezione dei dati personali nello svolgimento di audit ed ispezioni, di fornire indicazioni sull’interpretazione ed applicazione delle norme, di elaborare proposte armonizzate per la soluzione delle problematiche che le verranno sottoposte e di promuovere attività di sensibilizzazione rispetto ai diritti in materia di protezione dei dati.

Gli impegni 2020 del Garante

A livello nazionale, il 2020 si prospetta denso di impegni per l’eligendo collegio dell’Autorità Garante italiana per la protezione dei dati personali (l’attuale collegio scade il 31 marzo 2020).

Infatti, sulla scrivania del Garante c’è una fitta agenda di “to do list” che presuppone ritmi serrati per colmare il gap venutosi a creare in conseguenza dello stallo politico che si è concretizzato nell’attuale regime di prorogatio. Tra le tematiche di maggior rilevanza ed urgenza rientrano i seguenti temi su cui la richiesta di intervento è trasversale ed unanime:

• il Digital & Direct Marketing ed i cookie: si tratta di due dei temi più dibattuti dell’ultimo anno.

L’ultimo provvedimento del Garante in materia di cookie risale ormai al 2014 e mentre molti dei colleghi europei hanno già prodotto delle Linee Guida per regolamentare quello che è riconosciuto come uno dei segmenti più remunerativi e controversi del mercato dei servizi online, l’Autorità italiana non si è ancora espressa. L’urgenza di intervenire su un provvedimento ormai obsoleto è legata al rischio di non conformità con le prescrizioni del GDPR in materia di consenso ed è dettata anche dai recenti interventi giurisprudenziali in tal senso, non ultima la ormai celebre sentenza della Corte di Giustizia^[10] che ha acceso il dibattito sulle tecnologie di tracciamento nello scorso autunno.

• l’attività promozionale ed il contrasto allo spam: Anche in questo caso l’ultimo provvedimento dell’Authority di Piazza Venezia risale al lontano 2013. Da un punto di vista tecnologico sono trascorsi eoni e alcune delle disposizioni di quello storico e (all’epoca) dirompente provvedimento non appaiono più in linea, né in grado di regolare una realtà profondamente mutata.
• la verifica di compatibilità dei provvedimenti precedenti all’entrata in vigore del GDPR: durante il biennio 2018/2019 il Garante si è occupato di verificare e, ove necessario, “tradurre” ai sensi del GDPR alcuni dei suoi provvedimenti a carattere generale. Resta il fatto che una gran parte dell’attività regolatoria dell’Authority è ad oggi ancorata alla previgente disciplina creando notevoli problematiche in tema di applicabilità delle previsioni ivi contenute. Ci si aspetta, dunque, che il Garante stilli quanto prima un ulteriore elenco dei documenti riconosciuti compatibili con il GDPR e dia avvio ad una cospicua produzione di provvedimenti, di natura sia generale sia speciale, che vadano a colmare gli inevitabili “vuoti” normativi.

Altro aspetto su cui il Garante per la protezione dei dati personali dovrà pronunciarsi è quello dei casi di liceità e delle garanzie circa il trattamento dei dati personali relativi a condanne penali e reati (art. 10 del GDPR). I casi di liceità dovranno essere tassativamente individuati con l’atteso Decreto del Ministero della Giustizia, come previsto ai sensi dell’art. 2-octies, co. 2 del novellato Codice Privacy e su tale decreto dovrà essere raccolto il parere del Garante ex art. 17, co. 3, della L. 23 agosto 1988, n. 400.

Infine, anche se, come è ovvio, trattasi di tema su cui l’urgenza è meno sentita dagli operatori, il Garante dovrà individuare il Piano delle attività ispettive per il 2020: in merito, ci si aspetta che l’Authority si indirizzi verso le attività di trattamento che non sono già state oggetto dell’attività ispettiva programmata nei precedenti semestri del 2019.

___________________________________________________________________

1. adottate in data 4 giugno 2019 ad esito di consultazione pubblica ↑
2. adottate in data 10 luglio 2019 ma di cui si attende il testo definitivo all’esito della consultazione pubblica ↑
3. adottate in data 13 novembre 2019 ma ancora in fase di consultazione pubblica ↑
4. del 19 dicembre 2019. ↑
5. del 7 novembre 2019. ↑
6. in data 16 gennaio 2019. ↑
7. Il Manuale, elaborato nell’ambito del progetto T4Data finanziato dall’UE, è stato approvato il 23 luglio 2019 nella sua prima versione, in inglese, e pubblicato nella versione italiana il 2 ottobre 2019. ↑
8. In particolare si segnalano le Linee guida dell’ICO (UK) pubblicate sul sito il 3 luglio 2019, la Délibération 2019-093 del CNIL (Francia) e le Orientierungshilfe der Aufsichtsbehörden für Anbieter von Telemedien – linee guida per i fornitori di servizi telematici della DSK (Germania). ↑
9. Le Guidelines 5/2019, adottate dall’EDPB il 2 dicembre 2019, resteranno in consultazione pubblica fino al 5 febbraio 2020.  ↑
10. Causa C-673/17 Bundesverband der Verbraucherzentralen und Verbraucherverbände Verbraucherzentrale Bundesverband eV / Planet49 GmbH ↑