Le ampie modifiche al Codice della privacy, introdotte dal recente d.lgs. 101/2018 (quello del Gdpr), spingono ad un rapido esame del modo in cui è stata riconfigurata la delicata materia dei codici di condotta. Tema quanto mai delicato perché si pone a cavallo dell’autoregolamentazione dei privati e della regolazione pubblica.
Una novità lessicale
In via preliminare c’è da registrare una novità lessicale. Il d.lgs.101 ribattezza i codici di condotta come ‘regole deonologiche’ per evitare confusioni con la terminologia presente a livello unionale, contenuta nel Regolamento (UE) 2016/679 (Gdpr). Difatti il Regolamento si occupa in maniera diffusa dei codici di condotta, in particolare agli artt. 40 e 41. L’intreccio tra Regolamento e Codice della privacy, per come modificato dal d.lgs.101, è piuttosto stretto. Per convincersene, basta leggere la norma principale in materie di regole deontologiche introdotta dal d.lgs.101, l’art.2-quater: «1. Il Garante promuove, nell’osservanza del principio di rappresentatività e tenendo conto delle raccomandazioni del Consiglio d’Europa sul trattamento dei dati personali, l’adozione di regole deontologiche per i trattamenti previsti dalle disposizioni di cui agli articoli 6, paragrafo 1, lettere c) ed e), 9, paragrafo 4, e al Capo IX del Regolamento, ne verifica la conformità alle disposizioni vigenti, anche attraverso l’esame di osservazioni di soggetti interessati e contribuisce a garantirne la diffusione e il rispetto. 2. Lo schema di regole deontologiche è sottoposto a consultazione pubblica per almeno sessanta giorni. 3. Conclusa la fase delle consultazioni, le regole deontologiche sono approvate dal Garante ai sensi dell’articolo 154-bis, comma 1, lettera b), pubblicate nella Gazzetta Ufficiale della Repubblica italiana e, con decreto del Ministro della giustizia, sono riportate nell’allegato A del presente codice. 4. Il rispetto delle disposizioni contenute nelle regole deontologiche di cui al comma 1 costituisce condizione essenziale per la liceità e la correttezza del trattamento dei dati personali».
Viene innanzitutto confermato il ruolo centrale del Garante per la protezione dei dati personali nell’adozione dei codici, oggi regole deontologiche. Ad esso spetta non solo il compito di promuovere l’adozione delle regole deontologiche, ma anche quello di verificarne la conformità alle disposizioni vigenti, oltre ai non secondari compiti di ascolto dei soggetti interessati e di garantire diffusione e rispetto delle regole una volta adottate.
Su quali oggetti intervengono le regole deontologiche
L’aspetto più delicato della nuova disciplina legislativa riguarda tuttavia gli oggetti sui quali possono intervenire le regole deontologiche. L’art. 2-quater del d.lgs. 196/2003, per come modificato dal d.lgs. 101/2018, si è idealmente raccordato con il Regolamento e con gli ambiti che esso ha lasciato alla discrezionalità degli Stati membri. Ciò è avvenuto in particolare per i trattamenti necessari per adempiere un obbligo legale (art. 6.1.c. Reg.); per i trattamenti necessari per l’esecuzione di un compito di interesse pubblico o connesso all’esercizio di pubblici poteri (art. 6.1.e. Reg.); per il trattamento di dati genetici, biometrici o relativi alla salute (art. 9.4. Reg.); infine per talune specifiche situazioni di trattamento, quali il trattamento a scopi giornalistici, di espressione accademica, artistica, letteraria, il trattamento nell’ambito dei rapporti di lavoro, il trattamento a fini di archiviazione nel pubblico interesse, di ricerca scientifica o storica o a fini statistici (Capo IX Reg.).
Si badi che quelle appena indicate non sono le uniche disposizioni del novellato Codice della privacy che prevedono l’adozione delle regole deontologiche. Rinvii ad esse sono contenuti anche in altri luoghi, e per la precisione: all’art. 61 (utilizzazione di dati pubblici); agli artt. 100, 102, 102, 105, 106, 107, 108, tutti contenuti all’interno del Titolo VII dedicato ai trattamenti a fini di archiviazione nel pubblico interesse, di ricerca scientifica o storica o a fini statistici); all’art. 111 in materia di rapporto di lavoro; agli artt. 137 e 139 in materia di giornalismo, libertà d’informazione e di espressione; agli artt. 154 e 154-bis, ricapitolativi dei compiti e dei poteri del Garante; all’art. 166 in materia di sanzioni.
Esistono infine altre due disposizioni del d.lgs. 101/2018 particolarmente rilevanti per il tema in esame. Esse sono contenute negli artt. 20 e 21 del Capo VI rubricato ‘Disposizioni transitorie, finali e finanziarie’. Quest’ultima disposizione pone una regola di diritto intertemporale relativa alle autorizzazioni generali, stabilendo che le prescrizioni contenute nelle autorizzazioni generali -relative ai trattamenti di cui agli artt. 6.1.c. ed e., 9.2.b. e 4, nonché al capo IX del Regolamento e aventi un contenuto incompatibile con il Regolamento- producono effetti fino all’adozione delle regole deontologiche previste dall’art. 2-quater.
L’art. 20 si occupa, invece, dei codici di deontologia e di buona condotta vigenti al momento dell’entrata in vigore del d.lgs. 101 e prevede due ipotesi. I codici contenuti negli allegati A.5. (riguardante i sistemi informativi gestiti da soggetti privati in tema di crediti al consumo, affidabilita e puntualità nei pagamenti) e A.7 (riguardante il trattamento dei dati personali effettuato a fini di informazione commerciale) continuano a produrre effetti fino a che non subentrino i nuovi codici approvati a norma dell’art. 40 del Regolamento, prevedendosi che, nel caso in cui ciò non avvenga entro un anno circa, cessino di aver efficacia a partire dalla scadenza del termine annuale.
Evidentemente il legislatore nazionale ha ritenuto che tali codici non fossero più nella disponibilità del legislatore nazionale, rientrando invece in settori disciplinati dal Regolamento. Per gli altri cinque codici contenuti negli allegati si prevede la continuazione degli effetti, con l’espressa previsione del mutamento del nomen iuris, da codici in regole deontologiche; il Garante avvierà un controllo entro 90 giorni dall’entrata in vigore del d.lgs. 101 per verificarne la conformità al regolamento.
A margine dell’esame dei contenuti della nuova disciplina in materia di tutela dei dati personali, può essere utile svolgere qualche considerazione di ordine più generale.
Rapporto tra codici di condotta e regole deontologiche
Va innanzitutto osservato che la differenza tra codici di condotta unionali e regole deontologiche non è solo nominalistica. Non poche sono le differenze emerse dall’esame delle due discipline. Lasciando da parte le questioni più strettamente procedimentali riguardanti il potere d’iniziativa e la consultazione pubblica, la prima differenza riguarda gli oggetti. I codici possono infatti intervenire, sostanzialmente, su qualsiasi oggetto disciplinato dal Regolamento; lo stesso non vale per le regole deontologiche che hanno a disposizione solo gli spazi lasciati liberi dal Regolamento e indicati dalle disposizioni contenute nel novellato d.lgs. 196/2003, in primis dall’art. 2-quater.
La seconda rilevante differenza attiene alle finalità assegnate allo strumento di soft law. Per il diritto dell’UE i codici di condotta –lo si è visto- sono uno strumento di flessibilizzazione della disciplina regolamentare in nome delle specificità dei trattamenti effettuati in alcuni settori, mentre il diritto nazionale colloca le regole deontologiche in una dimensione decisamente giuridica dichiarando che il rispetto di tali regole è condizione essenziale di liceità e correttezza del trattamento. Una tale conseguenza è assente nel Regolamento, che non solo non contiene una simile clausola ‘condizionale’ ma rimette l’intera questione della violazione dei precetti contenuti nei codici di condotta agli organismi di monitoraggio.
Codici di condotta, regole deontologiche e fonti del diritto
Il passaggio dalla direttiva del 1995 al Regolamento stimola una considerazione più generale. Non può esservi dubbio che la spinta verso lo strumento del Regolamento sia provenuta dall’esigenza di uniformità normativa, vale a dire dall’esigenza di ridurre, se non superare, le differenze esistenti da Stato membro a Stato membro nella disciplina del trattamento dei dati personali. Non può non colpire l’attenzione dell’interprete, dunque, l’estrema apertura del Regolamento nei confronti dei codici di condotta, si chiamino essi poi codici di condotta o regole deontologiche. Colpisce l’attenzione perché gli spazi lasciati all’intervento di questi strumenti di soft law potrebbero mettere in discussione l’aspirazione all’uniformità.
Pare riprodursi, in sostanza, una situazione che Stefano Rodotà aveva già rilevato con riguardo all’autoregolazione di livello nazionale: come Governo e Parlamento italiani, nel dar spazio ai codici di condotta, mostravano la volontà di non affrontare direttamente questioni di estrema delicatezza e molto impegnative dal punto di vista normativo, così il Regolamento preferisce aprire ai codici di condotta per la loro maggiore capacità di adeguarsi alla regola del caso.
L’esigenza di uniformità normativa, che sta certamente alla base della disciplina regolamentare, viene così compensata dall’apertura dell’Unione verso discipline codicistiche, capaci di integrare sia il diritto dell’Unione che quello degli Stati membri. Tale effetto compensativo è così forte e dichiarato da far ritenere oramai come parte di una diffusa opinio iuris l’idea che ai codici di condotta nell’ambito della protezione dei dati vada riconosciuta una piena natura giuridica, già intuita e fatta propria da quegli interpreti che avevano valorizzato le innovazioni normative nazionali occorse tra il 1996 e il 2003.
Rispetto a questa nuova e complessa situazione, in cui il ricorso allo strumento di soft law appare quasi una necessità, va conclusivamente richiamata l’attenzione sugli oggetti di disciplina rimessi a codici e regole. Oggetti che danno forma e sostanza a un diritto -il diritto fondamentale alla tutela dei dati personali- che si articola, a sua volta, in una pluralità di situazioni giuridiche soggettive, che solo con una notevole forzatura potrebbero essere ricondotte ad un plesso unitario, come potrebbe essere il concetto di riservatezza. In altri termini, se la tutela dei dati personali poggia su una sicura base costituzionale, è anche vero che non tutte le situazioni giuridiche soggettive contenute nella tutela dei dati possono essere ricondotte a diritti fondamentali.
Ciò premesso, è constatazione quasi scontata che, nell’ambito sia della disciplina unionale che di quella nazionale, i codici e le regole si intrecciano non solo con le tradizionali fonti del diritto ma diventano anche uno strumento di attuazione dei diritti. Basti un solo esempio per tutti: l’art. 100 d.lgs. 196/2003, nel prevedere il potere dei soggetti pubblici (tra cui università ed enti di ricerca) di comunicare e diffondere dati relativi ad attività di studio e di ricerca a determinati soggetti (dai laureati ai dottori di ricerca agli studiosi in genere), stabilisce al comma 2 che resta fermo il diritto dell’interessato di rettifica, cancellazione, limitazione e opposizione conformemente a quanto dispongono gli artt. 16, 17, 18 e 21 del Regolamento. Il d.lgs. 101/2018 ha aggiunto poi un comma 4-bis, che così recita: «i diritti di cui al comma 2 si esercitano con le modalità previste dalle regole deontologiche». È solo un esempio, ma particolare significativo, del fatto che i codici di condotta, in questo caso le regole deontologiche, proprio in ragione dell’accentuazione del ruolo ad esse riconosciuto, finiscono per incidere sui diritti degli interessati. Anche se a tali diritti non si vuole riconoscere la natura di fondamentalità, è però quanto mai necessario che gli organi deputati al controllo del rispetto siano ben definiti, facilmente raggiungibili dagli interessati, capaci di pronta reazione.
Il ruolo del Garante della privacy
Si viene così a un terzo e finale ordine di considerazioni relative al ruolo del Garante della privacy. Non è possibile in questa sede una valutazione complessiva dei nuovi compiti e delle funzioni ad esso attribuiti dal Regolamento e dal novellato d.lgs. 196/2003. Limitandoci alla prospettiva dell’autoregolamentazione, va sottolineato l’accrescimento del ruolo dell’autorità di controllo italiana. A tal fine può essere utile un breve cenno alla Sezione 5 del Capo IV del Regolamento che, oltre a disciplinare i codici di condotta, si occupa anche delle c.d. certificazioni, vale a dire delle attestazioni rilasciate da organismi privati a favore di imprese e aziende che dimostrano di conformarsi a criteri di produzione di beni e servizi rispettosi di determinati standard di qualità. Nell’ambito del trattamento dei dati personali le certificazioni servono a dimostrare la conformità al Regolamento dei trattamenti effettuati dai titolari e dai responsabili (art. 42.1. Reg.).
A tenore del Regolamento, le certificazioni sono rilasciate dagli organismi di certificazione o dall’autorità di controllo, e quindi dal Garante, ovvero dal comitato europeo se sussiste l’esigenza di una certificazione comune all’intero territorio dell’UE (artt. 42.5. e 58.3.f. Reg.). I criteri per permettere l’accreditamento dell’organismo di certificazione, nei casi in cui non coincida con l’autorità, sono adottati dall’autorità di garanzia o dal comitato e anche il compito di accreditare gli organismi di certificazione è rimesso all’autorità di controllo ovvero all’organismo nazionale di accreditamento (artt. 43.1., 57.1.q. e 58.3.e. Reg.).
L’art.2-septidecies del d.lgs. 196/2003, introdotto dall’art. 1 d.lgs. 101/2018, individua come organismo di accreditamento l’Ente Nazionale di Accreditamento ACCREDIA, facendo tuttavia salvo il potere del Garante di assumere direttamente, con deliberazione pubblicata in Gazzetta Ufficiale, e «in caso di grave inadempimento dei suoi compiti da parte dell’ente nazionale di accreditamento», l’esercizio di tali funzioni.
Non è necessario entrare ulteriormente nel dettaglio per rendersi conto che l’attribuzione alle autorità di controllo di questi ulteriori compiti, per come saranno declinati dal legislatore nazionale, rende il Garante titolare di una tale pluralità di funzioni –dalla vigilanza al controllo, dalla consultazione alla sensibilizzazione, dal potere di certificazione a quello di accreditamento, dalla disponibilità di poteri regolatori alla titolarità di poteri sanzionatori- da giustificare l’affermazione per cui le autorità di controllo sono spinte a diventare istituzione dalle plurime funzioni. A ciò si aggiunga che l’art. 58.6. Reg., in materia di poteri delle autorità di controllo, stabilisce che ogni Stato può prevedere per legge che l’autorità di controllo nazionale «abbia ulteriori poteri rispetto a quelli di cui ai paragrafi 1, 2 e 3. L’esercizio di tali diritti non pregiudica l’operatività effettiva del Capo VII».
Il rischio che la molteplicità di poteri assegnati alle autorità di controllo nazionali, soprattutto in materia di autoregolamentazione, possa frammentare l’attuazione uniforme del Regolamento è certo contemplato dall’art. 58.6. Reg. nella parte in cui stabilisce che «l’esercizio di tali poteri non pregiudica l’operatività effettiva del Capo VII», che disciplina, come è noto, i meccanismi di cooperazione e coerenza. E tuttavia, proprio l’esame dei compiti del Garante in materia di codici di condotta e certificazioni conferma che il rischio di frammentazione e di confusione di ruoli andrà attentamente valutato.
