Lo scorso 8 agosto 2018 il Consiglio dei Ministri ha approvato il testo definitivo del decreto di armonizzazione dell’ordinamento italiano al Regolamento (UE) n. 679/2016, meglio noto come GDPR.
Dopo il parere della Commissione Speciale sullo schema di decreto legislativo delegato trasmesso dal Governo, già analizzato su queste pagine, siamo quindi giunti al testo definitivo, già emanato il 10 agosto 2018 dal Presidente della Repubblica ed ora in attesa di pubblicazione in Gazzetta Ufficiale.
Fermo rimanendo che l’impianto generale del decreto legislativo appare immutato, con la sostituzione in blocco di alcuni Titoli e capi del D. l.vo n. 196/2003 e la modifica di specifici articoli, commi e parole, il nuovo testo contiene alcune precisazioni di rilevante impatto.
Applicabilità generale del Regolamento in Italia
Rimane ferma la previsione dell’art. 1, per la quale si chiarisce l’applicabilità generale del GDPR al trattamento dei dati personali. Già si è chiarita l’importanza di tale previsione senza la quale non sarebbero assoggettabili al GDPR i trattamenti effettuati per attività la difesa, la sicurezza nazionale, la sicurezza interna e l’ordine pubblico, quelli effettuati dagli Stati membri nell’esercizio di attività relative alla politica estera e di sicurezza comune dell’Unione nonché nell’esercizio di attività che rientrano nell’ambito di applicazione del titolo V, capo 2, TUE ossia le politiche relative ai controlli alle frontiere, all’asilo e all’immigrazione.
Il nuovo Codice Privacy
In tale ambito il nuovo Codice Privacy riporta una serie dettagliata di regole contenuta ora nel Titolo 1-bis. La principale novità, anche rispetto al precedente schema, è che il trattamento collegato ad un interesse pubblico viene inquadrato sia dal punto di vista soggettivo sia oggettivo. Il secondo comma dell’art. 2 – sexies, infatti, nell’introdurre l’elenco delle materie considerate di rilevante interesse pubblico, ai sensi dell’art. 9, paragrafo 2, lett. g) del GDPR, specifica che deve trattarsi di trattamenti effettuati da soggetti che svolgono compiti di interesse pubblico o connesso all’esercizio di pubblici poteri. Tale precisazione – che non era presente nello schema di decreto esaminato dalla Commissione Parlamentare, definisce anche a livello soggettivo il criterio per poter considerare il trattamento di“rilevante interesse pubblico”, così delimitando l’applicabilità ai soli soggetti privati che per atto di legge o amministrativo svolgono appunto compiti di interesse pubblico (tipicamente i concessionari di pubblici servizi o società ad azionariato pubblico).
Tra le materie sono state incluse la tenuta di registri pubblici relativi a beni mobili o immobili, le attività istituzionali di organi pubblici, l’esercizio del mandato da parte degli organi rappresentativi e l’esercizio delle funzioni ispettive e di controllo collegate all’espletamento di un mandato elettivo. Infine, anche le attività certificatorie, di programmazione, gestione, controllo e valutazione dell’assistenza sanitaria e la vigilanza sulle sperimentazioni in ambito sanitario sono state incluse nell’elenco delle materie contenuto nell’articolo.
Dati genetici, biometrici e sulla Salute
Con riferimento al trattamento dei dati genetici, biometrici e relativi allo stato di salute il nuovo art. 2 – septies, che detta al Garante i criteri con cui adottare il provvedimento che stabilisce le misure di garanzia per i trattamenti relativi a tali tipologie di dati, stabilisce che dovranno essere indicate anche le misure di sicurezza, ivi comprese tecniche di cifratura e pseudonimizzazione, misure di minimizzazione e specifiche modalità di accesso ai dati per rendere le informazioni agli interessati, nonché quelle ulteriori a garantire i diritti degli interessati.
La precisazione appare più che opportuna, soprattutto in considerazione del fatto che – stante le previsioni generali del GDPR in materia – l’indicazione specifica delle misure di sicurezza da parte del Garante potrà agevolare i titolari del trattamento ad adempiere agli obblighi su di essi ricadenti, anche in considerazione del principio di accountability.
Il nuovo testo dell’art. 2 – septies, infine, ammette in via generale l’utilizzo dei dati biometrici dei soggetti autorizzati quali strumenti di autenticazione per l’accesso fisico e logico alle strutture ed ai sistemi con cui vengono effettuati i trattamenti, sempre nel rispetto delle misure di garanzia che saranno dettate dal Garante.
Regole deontologiche, misure di garanzia e provvedimenti generali
Rimane ferma la previsione di vari strumenti che il Garante potrà utilizzare per dettare le regole nell’ambito dei trattamenti effettuati in osservanza di un obbligo legale, per ragioni di rilevante interesse pubblico e per i dati genetici, biometrici e relativi alla salute. L’art. 2 quater disciplina infatti la promozione di “regole deontologiche” il cui rispetto, in seguito all’approvazione e pubblicazione, diviene condizione essenziale per la liceità e la correttezza del trattamento.
Oltre alle regole deontologiche, ed esclusivamente qualora si tratti di dati genetici, biometrici e relativi alla salute, il legislatore italiano ha esercitato l’opzione consentita dall’art. 9, 4° comma GDPR di far emanare apposite misure di garanzia da parte del Garante.
Si tratterebbe di un provvedimento simile a quelli già adottati nel vigore del Codice Privacy, con cui sono state indicate particolari misure di sicurezza o accorgimenti che i Titolari devono osservare nel trattare tali particolari categorie di dati. La modularità della nuova norma, che stabilisce la possibilità di emanare tale tipologia di provvedimento per ogni singola diversa finalità di trattamento, ricorda evidentemente lo schema delle autorizzazioni generali.
Infine, come ulteriore provvedimento del Garante, l’art. 2 – quinquedecies prevede che per trattamenti nell’esecuzione di un compito di interesse pubblico che può presentare rischi particolarmente elevati, di cui all’art. 35 GDPR, ossia per quei trattamenti per i quali sarebbe necessaria una valutazione di impatto, il Garante può adottare d’ufficio provvedimenti a carattere generale prescrivendo misure ed accorgimenti a garanzia dell’interessato.
Avremo quindi vari tipi di provvedimenti: le regole deontologiche, la cui formazione coinvolge determinati soggetti; le misure di garanzia per specifiche tipologie di dati (genetici, biometrici e relativi alla salute), nonché provvedimenti generali per trattamenti che sarebbero soggetti a valutazione di impatto. Per tali ultimi, non potendo sicuramente il provvedimento generale del Garante sopprimere l’obbligo di effettuare la valutazione di impatto sarà quindi necessario lo svolgimento della stessa e l’adozione comunque degli accorgimenti e garanzie previste in tali tipologie di provvedimenti.
I trattamenti degli organi costituzionali
Il nuovo decreto ha specificato altresì che i principi menzionati in tema di trattamenti per finalità di rilevante interesse pubblico, di dati biometrici, genetici e relativi allo stato di salute e di dati giudiziari sono altresì applicabili, nel rispetto dell’autonomia ordinamentale di tali istituzioni, ai trattamenti disciplinati dalla Presidenza della Repubblica, dal Senato della Repubblica, dalla Camera dei Deputati e dalla Corte Costituzionale.
Inutilizzabilità dei dati
L’art. 2 – decies dello schema di decreto, che prevede l’inutilizzabilità dei dati trattati in violazione della disciplina, è stato integrato con un rinvio al nuovo art. 160 – bis, in cui correttamente viene previsto un rinvio alle pertinenti disposizioni processuali per la valutazione dell’utilizzabilità, validità ed efficacia di atti, documenti e provvedimenti introdotti in un procedimento giudiziario contenenti tali dati.
I casi di restrizione dei diritti dell’interessato
La restrizione dei diritti dell’interessato regolati dal GDPR è prevista in contemperamento a particolari interessi, quali le finalità antiriciclaggio, il sostegno alle vittime di richieste estorsive, l’attività delle Commissioni parlamentari di inchiesta, la politica monetaria e valutaria, il controllo del sistema dei pagamenti, e degli intermediari creditizi e finanziari, lo svolgimento delle indagini difensive e, con nuova previsione, in caso di segnalazioni di illeciti ai sensi della normativa sul whistleblowing.
In tali ipotesi l’interessato non può esercitare direttamente i propri diritti, ma è stabilito che possano essere esercitate tramite il Garante, con una particolare procedura regolata all’art. 160.
In particolare, rispetto la precedente formulazione che prevedeva la possibilità di ritardare, escludere o limitare l’esercizio dei diritti con una comunicazione da parte del titolare, la nuova formulazione stabilisce anche la possibilità di escludere tale comunicazione qualora la stessa possa compromettere le finalità della limitazione.
Analoghe limitazioni, con pari meccanismi di tutela, sono previste per i trattamenti effettuati per ragioni di giustizia.
Garanzie e cautele per i diritti e le libertà fondamentali
La costrizione dei diritti dell’interessato deriva dall’applicazione dell’art. 23 del GDPR che la prevede purché vi siano particolari garanzie e cautele per i diritti e le libertà fondamentali degli interessati.
Lo schema del decreto legislativo esaminato in Parlamento stabiliva al secondo comma dell’art. 75 una totale disapplicazione dei diritti dell’interessato al trattamento di dati personali effettuato per finalità di tutela della salute e incolumità fisica dell’interessato o di terzi o della collettività. Avevamo già espresso delle perplessità su tale previsione, che si sostanziava in una vera e propria “cancellazione” dei diritti dell’interessato. Il nuovo testo sembra aver recepito tali osservazioni, avendo eliminato del tutto il secondo comma del citato art. 75.
Responsabile della protezione delle autorità giudiziarie e compiti suppletivi del Garante
Il Codice Privacy in via di pubblicazione contiene altresì la precisazione inerente all’obbligo di nomina da parte delle autorità giudiziarie del Responsabile della Protezione dei Dati, da effettuare secondo quanto previsto dal GDPR, in relazione ai trattamenti effettuate nell’esercizio delle loro funzioni.
L’art. 2 – septiesdecies prevede inoltre che il Garante, qualora Accredia sia gravemente inadempiente ai compiti ad essa affidati di accreditamento degli organismi di certificazione di cui all’art. 42 del GDPR, possa assumere direttamente tali compiti, tramite apposita deliberazione da pubblicarsi in Gazzetta Ufficiale. Si tratta di evidentemente di una circostanza molto particolare, giustificata dalla sovrapposizione di funzioni tra Autorità di controllo ed organismo di accreditamento già in parte prevista nel GDPR
I soggetti designati
Rimane ferma la previsione di cui all’art. 2 – terdecies che introduce il concetto di soggetti designati, che sembrerebbe diverso da quello dei soggetti “istruiti” al trattamento di cui all’art. 29 GDPR. I designati, infatti, sono coloro a cui vengono attribuiti specifici compiti e funzioni – e quindi non sono solo “istruiti” – internamente all’assetto organizzativo del titolare o del responsabile e relativamente al trattamento dei dati personali, che non saranno più inquadrati come responsabili interni ma solamente come soggetti designati.
Il secondo comma, invece, fa riferimento ai soggetti che sono autorizzati al trattamento di dati personali sotto la diretta autorità del titolare o responsabile. La norma sembra però richiedere un quid aggiuntivo rispetto al GDPR, che prevede solo la necessaria istruzione – e non autorizzazione – di coloro che effettuano il trattamento. Trattandosi però di un atto che sicuramente è contenuto nel primo – se istruisco qualcuno ad effettuare un trattamento è implicito che lo devo aver autorizzato allo stesso – non sembra aggiungere nulla rispetto alla previsione regolamentare.
Disposizioni in settori specifici
Rimane ferma tutta la disciplina già prevista nel schema di decreto relativa alla regolazione di settori specifici. Si tratta da una parte della disciplina dei trattamenti di particolari categorie di dati in determinati ambiti (accesso ai documenti amministrativi, ambito sanitario) e dall’altra della regolamentazione di particolari trattamenti, come quello inerente ai dati degli studenti, dei professionisti iscritti in albi, per archiviazione nel pubblico interesse, di ricerca storica, a fini statistici e ricerca scientifica, compresa quella medica e biomedica, nonché, infine, per i trattamenti nell’ambito del rapporto di lavoro con il rinvio all’adozione di regole deontologiche e la disciplina dei curricula spontanei.
Le modifiche più rilevanti contenute nel Codice Privacy, rispetto al precedente schema, riguardano la facoltà del Garante di autorizzare terzi al trattamento ulteriore di dati personali per finalità di ricerca scientifica o a fini statistici con provvedimenti generali, ed una diversa formulazione dell’art. 111 – bis in cui si specifica che in caso di ricezione di curricula inviati spontaneamente non è necessario ottenere il consenso degli interessati, ai sensi dell’art. 6, paragrafo 1, lett. b) del GDPR (e quindi ricollegando la fattispecie al trattamento per finalità contrattuali o precontrattuali) e che le informazioni di cui all’art. 13 del GDPR possono essere fornite al primo contatto utile successivo all’invio del curriculum.
Servizi di comunicazione elettronica
E’ stato già evidenziato come la nuova normativa italiana intervenga anche sulle norme che sono state introdotte nel nostro ordinamento in attuazione della direttiva n. 58/2002, esprimendo alcuni dubbi su tale intervento sia in considerazione della previsione di cui all’art. 95 del GDPR sia relativamente alla nuova riformulazione della materia che si avrà con l’adozione del Regolamento e-Privacy.
Il Codice Privacy, nella versione definitiva, conferma tali scelte modificando solo in parte l’art. 132-quater sui contenuti dell’informativa sui rischi di violazione della sicurezza che deve essere resa agli utenti dai fornitori di un servizio di comunicazione elettronica, chiarendo che la stessa dovrà essere formulata in linguaggio chiaro, idoneo ed adeguato rispetto alla fascia di età dell’interessato a cui siano fornite le informazioni, con particolare attenzione ai minori di età.
I trattamenti effettuati in ambito di giornalismo
Alcune modifiche sono previste anche per i trattamenti effettuati in ambito di giornalismo. Innanzitutto, viene ampliata la portata delle norme prevedendone l’applicabilità quando il trattamento è effettuato ai fini della pubblicazione di saggi o altre opere anche in via non temporanea.
Inoltre, viene autorizzato il trattamento delle particolari categorie di dati di cui all’art. 9 GDPR, anche senza il consenso dell’interessato, ma nel rispetto delle regole deontologiche da adottarsi entro sei mesi dalla proposta del Garante. Qualora Consiglio dell’ordine dei giornalisti non adotti le regole entro tale termine le stesse potranno essere adottate in via sostitutiva dal Garante stesso che saranno efficaci sino all’adozione di una diversa disciplina con la procedura di cooperazione.
Mentre lo schema di decreto stabiliva che ai trattamenti in ambito giornalistico non sarebbero tate applicabili le misure di garanzia ed i provvedimenti generali di cui all’art. 2- quaterdecies, il nuovo testo prevede la possibilità per l’Autorità di prescrivere misure e accorgimenti a garanzia degli interessati, che il Consiglio è tenuto a recepire.
Procedure e poteri del Garante
Sono confermate le modifiche alle procedure di tutela per l’interessato. Il reclamo innanzi al Garante potrà essere proposto se non sia già pendente un procedimento innanzi all’autorità giudiziaria per il medesimo oggetto e le stesse parti, così come la proposizione del reclamo renderebbe improponibile la medesima domanda in sede giudiziaria.
Il reclamo può essere sottoscritto dall’interessato o da un’associazione rappresentativa. Pur se non menzionato espressamente, data l’alternatività tra tutela innanzi al Garante e tutela giudiziaria, deve ritenersi che il reclamo possa essere presentato anche con il patrocinio di un avvocato difensore.
I tempi di decisioni del reclamo sono fissati in nove mesi, ma il Garante può nelle more emanare i provvedimenti di cui all’art. 58 GDPR (correttivi e di indagine).
Diversa dal reclamo è la segnalazione che può essere proposta da chiunque e sulla base della quale il Garante d’ufficio i suddetti provvedimenti di cui all’art. 58.
Dal punto di vista della competenza dell’autorità giudiziaria è stabilito che nelle materie regolate dal GDPR la stessa sia assegnata alla magistratura ordinaria.
Sono inoltre confermati i poteri del Garante, così come già previsti nello schema di decreto, elencati nel nuovo art. 154.
Il Codice Privacy, innovando rispetto la precedente versione, prevede una procedura “pubblica” per la selezione dei componenti dell’autorità, stabilendo l’obbligatorietà della pubblicazione di un avviso nei siti internet della camera, del Senato e del Garante, almeno sessanta giorni prima della nomina, e la pubblicazione dei curricula pervenuti. I candidati devono assicurare indipendenza ed avere comprovata esperienza nel settore della protezione dei dati personali, con particolare riferimento alle discipline giuridiche o dell’informatica.
I poteri di indirizzo e semplificazione per micro, piccole e medie imprese
Il nuovo testo, nel confermare il potere del Garante di adottare linee guida di indirizzo riguardanti le misure organizzative e tecniche di attuazione dei principi del Regolamento e di approvare le regole deontologiche di cui all’art. 2 – quater, contiene al 4° comma dell’art. 154 – bis l’espressa previsione della promozione, mediante lo strumento delle linee guida già citato, di modalità semplificate di adempimento degli obblighi del titolare del trattamento per le micro, piccole e medie imprese.
La previsione non può che essere apprezzata, in quanto idonea ad introdurre una gradualità di applicazione della normativa, in verità auspicata anche all’interno del regolamento europeo, che tenga conto delle esigenze specifiche delle realtà produttive, soprattutto in un paese come il nostro in cui esse costituiscono la gran parte del tessuto economico.
Conferma della disciplina sanzionatoria
Avendo già ampiamente trattato il sistema sanzionatorio in occasione del commento dello schema di decreto, sembra opportuno segnalare le differenze che si riscontrano nel nuovo testo dell’art. 166 così come approvato dal Consiglio dei Ministri.
Le fattispecie di sanzione “modesta”
Nell’ambito della sanzione più “modesta” ( sanzione amministrativa pecuniaria fino a 10.000.000 di Euro, o per le imprese, fino al 2 % del fatturato mondiale totale annuo dell’esercizio precedente, se superiore) oltre alle ipotesi già indicate nello schema di decreto quali la violazione dell’obbligo di redigere un’informativa con linguaggio semplificato per i minori (raccomandazione contenuta nel 58 Considerando ma poi non trasposta all’interno della parte normativa del GDPR, e ripresa invece al comma 2, art. 2- quinquies del Regolamento), la violazione dei provvedimenti generali del Garante, la violazione degli artt. 92 e 93, comma 1, del Codice Privacy (relativi alle cartelle cliniche ed ai certificati di assistenza al parto, norme in realtà non modificate dallo schema), nonché la violazione di una serie di norme relativi ai servizi di comunicazione elettronica (quali la violazione dell’art. 123, 4° comma, sull’informativa inerenti ai dati di traffico, l’art. 124 sulla fatturazione dettagliata agli abbonati, l’art. 128 sul trasferimento di chiamata, l’art. 129 sugli elenchi, nonché il nuovo art. 132-ter sulle misure di sicurezza per tali soggetti) sono state aggiunte la violazione delle misure indicate dal Garante per i trattamenti di rilevante interesse pubblico che comportano rischi elevati nonché alla mancata effettuazione della valutazione di impatto prevista dall’art. 110 per le attività di ricerca medica, biomedica o epidemiologica.
I casi che prevedono sanzioni pesanti
Il 2° comma dell’art. 166 applica invece la più grave sanzione di cui all’art. 83, 5 paragrafo GDPR ((sanzione fino a 20.000.000 di Euro o per le imprese, fino al 4 % del fatturato mondiale totale annuo dell’esercizio precedente) ad una serie molto ampia di fattispecie, tra cui la violazione dell’art. 2-ter, inerente alla base giuridica per il trattamento effettuato in esecuzione di un compito di interesse pubblico o connesso a pubblici poteri, 2 quinquies comma 1, che disciplina il consenso del minore (che, in verità, nel GDPR è sanzionato con la sanzione più lieve, potendo quindi risultare tale previsione contraria alla norma regolamentare), 2 sexies, per il trattamento di particolare categorie di dati per motivi di interesse pubblico rilevante, 2 septies, 7° comma, in caso di violazione del divieto di diffusione dei dati genetici, biometrici o relativi alla salute, 2-octies, in caso di inosservanza delle previsioni per i dati giudiziari, 2-duodecies, inerente la disciplina dei dati relativi a persone decedute, 53, per i dati identificati degli interessati nell’informatica giuridica, 75, 78, 79, 80, 82, 92 relativi agli adempimenti per i dati trattati in ambito sanitario, 93, commi 2 e 3, sempre in relazione ai certificati di assistenza al parto, 96, per i trattamenti relativi agli studenti, 99 e 100, 101 per il trattamenti per scopi di archiviazione e ricerca storica, 105 per i trattamenti a fini statistici e ricerca scientifica, 110, per i trattamenti di ricerca medica, biomedica ed epidemiologica, 111, 111 bis e 116, per i trattamenti nell’ambito di lavoro, 120 sulle assicurazioni, 122, nonché per quasi tutte le previsioni relative ai servizi di comunicazione elettronica, in caso di violazione degli artt. 123, 124, 125, 126, 130, 132, 132, 132 bis, 132 quater e la violazione delle misure di garanzia, delle regole deontologiche previste negli artt. 2 septies e 2 quater.
A questo elenco si aggiungono, sempre con applicazione della sanzione massima, la violazione delle disposizioni relative al registro delle opposizioni.
Nel testo finale del Codice Privacy il comma è stato innanzitutto corretto nel refuso che indicava l’art. 152 ed oggi invece include la violazione dell’art. 157 relativo alla richiesta di informazioni ed esibizione di documenti da parte del Garante, ed è stata introdotta la violazione dell’art. 110 bis, commi 2 e 3, relativo agli obblighi in caso di trattamenti per le attività di ricerca medica, biomedica o epidemiologica.
Sono stati inoltre specificati i principi che il Garante dovrà rispettare nell’adozione del regolamento con cui sarà definito il procedimento per l’adozione dei provvedimenti sanzionatori, mentre è stata totalmente esclusa la sanzionabilità in relazione ai trattamenti svolti in ambito giudiziario.
Le sanzioni penali
L’art. 167 del Codice Privacy è stato in parte riformulato rispetto la precedente versione contenuta nello schema di decreto.
In particolare, in tutte le fattispecie ivi previste il reato si è precisato che il dolo si sostanzia non più solamente quando la condotta sia realizzata con la finalità di trarre per sé o altri profitto, ma anche qualora si voglia arrecare danno all’interessato, così ampliando il dolo specifico richiesto dalla fattispecie criminosa.
Nell’ambito delle condotte sanzionate sono rimaste inalterate quelle di cui al primo comma dell’art. 167 (art. 123, 126 e 130 o in violazione del provvedimento di cui all’art. 129) mentre al secondo comma, che prevedeva la reclusione da uno a tre anni per il trattamento delle categorie di dati particolari di cui all’art. 9 GDPR o dei dati giudiziari in violazione di quanto previsto dalla norma che definisce i motivi di interesse pubblico rilevante o dalle specifiche disposizioni di cui all’art. 2 octies, è stato aggiunto il riferimento alle misure di garanzia di cui all’art. 2 – septies e la violazione delle misure adottate ai sensi dell’art. 2-quinquiesdecies.
Rimane ferma anche la previsione di reato per chi per trarre profitto per sé o per altri ovvero arrecare danno all’interessato, arreca nocumento allo stesso trasferendo i dati verso un paese terzo al di fuori dei casi consentiti dal Regolamento (condotta già espressamente sanzionata dallo stesso GDPR all’art. 83, 5° comma).
Quattro specifiche fattispecie di reato
Infine, il testo definitivo del Codice Privacy contiene tre fattispecie di reato nuove, già previste nello schema di decreto, a cui se ne aggiunge una quarta.
Le prime due fattispecie riguardano:
- la comunicazione e diffusione illecita di dati personali oggetto di trattamento su larga scala;
- l’acquisizione fraudolenta di dati personali oggetto di trattamento su larga scala.
Le norme sono state riformulate modificando la locuzione “riferibili ad un numero rilevante di persone” con il concetto di trattamento su larga scala. Con ciò, probabilmente, si è voluto fornire maggior chiarezza all’elemento della fattispecie, in considerazione del fatto che il concetto di larga scala è presente anche nel GDPR. In verità, però né il regolamento europeo né i documenti pubblicati dal Working Party ex art. 29 chiariscono in modo certo e definitivo cosa debba intendersi con la locuzione “larga scala”, offrendo criteri alternativi non fondati su elementi quantitativi, ma su indicazioni generiche suscettibili di diversa interpretazione.
Le altre due nuove fattispecie riguardano:
- la falsità nelle dichiarazioni al Garante e l’interruzione dei compiti o dell’esercizio dei poteri del Garante;
- l’inosservanza dei provvedimenti del Garante.
La disciplina transitoria
Anche la disciplina transitoria ha subito alcune modifiche nel testo licenziato dal Consiglio dei Ministri.
Innanzitutto è confermato che i Codici di deontologia e buona condotta già approvati conservino la loro validità sino alla definizione della procedura di approvazione, e purchè entro sei mesi vengano sottoposti nuovi Codici di condotta ai sensi dell’art. 40 GDPR.
Relativamente alle autorizzazioni generali già emanate e relative alle previsioni di cui all’art. 6, par. 1, commi c) ed e) ed all’art. 9 par. 2 lett. g) e 4 nonché capo IX del GDPR, il Garante dovrà porre in consultazione pubblica, entro 90 giorni dalla pubblicazione del decreto legislativo in esame, un provvedimento di carattere generale con cui valuta la compatibilità di suddette autorizzazioni al GDPR, che poi deve essere adottato entro sessanta giorni dall’esito del procedimento di consultazione.
Le autorizzazioni non ritenuto compatibili decadono dalla data di pubblicazione del provvedimento sulla Gazzetta Ufficiale.
Le autorizzazioni generali sopra descritte, ed il provvedimento generale, inoltre produrranno effetti per la corrispondente categoria di dati e trattamenti in luogo delle regole deontologiche e delle misure di garanzia previste dal nuovo decreto legislativo.
Anche i provvedimenti del Garante continueranno ad applicarsi successivamente alla data di entrata in vigore dello schema in quanto compatibili con il GDPR e con le disposizioni del decreto stesso.
Le sanzioni in sede di prima applicazione
Il nuovo testo del Codice Privacy, recependo le richieste pervenute da più parti anche in sede di audizioni parlamentari, contiene all’art. 22, comma 13, una norma “cuscinetto” riferita all’applicazione delle sanzioni.
E’stabilito che per i primi otto mesi dalla data di entrata in vigore del decreto legislativo, il Garante per la protezione dei dati personali tenga conto, ai fini dell’applicazione delle sanzioni amministrative e nei limiti in cui risulti compatibile con le disposizioni del regolamento europeo, della fase di prima applicazione delle disposizioni transitorie.
La norma, che appare comunque encomiabile nella finalità, non sembra però di facile interpretazione, dato che non contiene alcun riferimento o limite preciso alla potestà sanzionatoria del Garante. Sembrerebbe più un’opera di “moral suasion” operata dal legislatore nei confronti del Garante, con cui lo inviterebbe a non applicare in maniera severa le sanzioni amministrative, ma senza prevedere alcunché né in termini di invalidità dei provvedimenti adottati non in conformità alla previsione e facendo comunque salvo il limite della compatibilità alle previsioni del GDPR.
Appare quindi assai difficile che un eventuale provvedimento sanzionatorio possa essere revocato ricorrendo a tale previsione, sia per la genericità della stessa sia in quanto, di per sé, non offre elementi diretti per poter desumere l’invalidità del provvedimento stesso.
Conclusioni
L’esame del nuovo testo del Codice Privacy, così come approvato dal Consiglio dei Ministri, fa emergere spontaneamente una prima considerazione: tra regole deontologiche, codici di condotta, misure di salvaguardia, provvedimento sulle autorizzazioni generali ed altri provvedimenti previsti nella nuova normativa, sicuramente vi è ancora molto lavoro da fare per ottenere un quadro normativo completo ed esaustivo della disciplina della protezione dei dati personali nel nostro paese.
Sulla normativa, inoltre, incombono le ulteriori modifiche che dovranno essere svolte in sede di adeguamento al futuro Regolamento e-Privacy, che dovrebbe vedere la luce per la fine del 2018 o agli inizi del 2019.
Tutto ciò di certo non aiuta gli interpreti e gli operatori, che comunque dovranno sempre far riferimento, nel regolare la loro azione, al GDPR che oggi rappresenta la disciplina primaria della materia.
In tale contesto non possiamo che auspicarci che il Garante non solo faccia propria la raccomandazione contenuta nel decreto legislativo di un’applicazione soft delle previsioni sanzionatorie in sede di prima applicazione, ma anche che lo stesso Garante si proponga sempre di più come organo in grado di fornire direttive ed indicazioni agli operatori, anche alla luce dell’operato delle altre Autorità di controllo europee
