Gdpr: soft law e regole nel regime transitorio, la guida per orientarsi

Districarsi nelle nuove norme a tutela dei dati personali non è semplice, soprattutto perché esse sono contenute in parte all’interno del modificato decreto legislativo n. 196/2003 (Codice Privacy), nel provvedimento con cui lo stesso è stato adeguato (decreto legislativo n. 101/2018), nel Regolamento UE n. 679/2016 (GDPR) ed anche nei precedenti provvedimenti, autorizzazioni e Codici di deontologia in vigore prima della modifica.

I codici di condotta

È opportuno esaminare, quindi, le nuove tipologie di atti rientranti in quella che è stata definita soft law previsti dalla nuova disciplina, ricordando che già l’art. 40 del Regolamento ha introdotto lo strumento dei “Codici di condotta” che possono essere elaborati e sottoposti alle Autorità di Controllo, che ha il compito di valutarli, registrarli e pubblicarli. Qualora tali Codici riguardino trattamenti che vengono condotti in vari Stati membri è richiesto l’esame del Comitato Europeo per la protezione dei dati personali, con la speciale procedura di cui all’art. 63 GDPR, il quale può sottoporli alla Commissione Europea affinché con atti di esecuzione li dichiari validi all’interno dell’Unione.

La normativa italiana introduce ulteriori tipologie di strumenti normativi, i quali servono a dettare specifiche regole nell’ambito del territorio italiano, secondo quanto consentito dal Regolamento UE, che possono essere adottati o attraverso una procedura cooperativa con i soggetti interessati oppure tramite provvedimenti del Garante.

Tali atti assumono particolare importanza, in quanto sono destinati a specificare le modalità di trattamento in particolari ipotesi la cui osservanza costituisce condizione di liceità del trattamento, tanto che la disciplina sanzionatoria espressamente stabilisce le conseguenze della loro violazione.

Gdpr, Pizzetti: “I consigli per leggere e applicare bene il decreto 101/2018 dal 19 settembre”

Le regole deontologiche

La prima tipologia è definita dall’art. 2 quater del d.l.vo n. 196/2003. Si tratta delle Regole deontologiche di cui il Garante promuove l’adozione sulla base del principio di rappresentatività. La procedura prevede che lo schema di tali atti venga sottoposto a consultazione pubblica per sessanta giorni, al termine dei quali il Garante provvede all’approvazione ed il testo è pubblicato nella Gazzetta Ufficiale nonché inserito nell’Allegato A del Codice Privacy.

Sono numerosi gli ambiti in cui è prevista l’adozione di dette regole deontologiche. Esse possono disciplinare:

• i trattamenti svolti in esecuzione di un obbligo legale (art. 6, par. 1, lett. c) GDPR),
• quelli effettuati per l’esecuzione di un compito di interesse pubblico o connesso all’esercizio di pubblici poteri (art. 6, par. 1, lett. c) GDPR),
• nonché riguardare il trattamento di dati biometrici, genetici o relativi allo stato di salute (art. 9 par. 4 GDPR),
• ed i trattamenti previsti al capo IX del Regolamento UE, quali:

• il trattamento dei dati personali nel settore del giornalismo,
• dell’accesso ai documenti amministrativi,
• del numero di identificazione nazionale,
• dei rapporti di lavoro,
• dell’attività di archiviazione scientifica, storica o statistica,
• inerenti ad attività ricoperte dal segreto professionale e
• quelli effettuati da chiese ed associazioni religiose.

La previsione generale circa l’adozione delle Regole deontologiche per i settori di cui al capo IX del Regolamento UE viene poi specificata nell’ambito del Codice Privacy in cui si disciplina l’utilizzo

• di dati provenienti da archivi, registri, elenchi, atti o documenti tenuti da soggetti pubblici (art. 61),
• i trattamenti a fini di archiviazione nel pubblico interesse o ricerca storica (art. 102),
• quelli a fini statistici o di ricerca scientifica (art. 106),
• quelli inerenti i rapporti di lavoro (art. 111) e
• quelli relativi alle attività di giornalismo (art. 139).

Le misure di garanzia

La seconda tipologia di atti è denominata Misure di garanzia ed è relativa al trattamento di dati biometrici, genetici e relativi alla salute. Al Garante è demandato, ai sensi dell’art. 2 septies del Codice Privacy, il compito di disporre appositi provvedimenti, con cadenza biennale, che hanno la funzione di indicare misure ed accorgimenti da adottare nei trattamenti, sulla base delle linee guida, raccomandazioni e prassi pubblicate dal Comitato europeo e delle altre migliori prassi in materia di trattamento dei dati personali, nonché tenendo in considerazione l’evoluzione tecnologica e scientifica.

In particolare, si tratta di provvedimenti che devono essere sottoposti a consultazione pubblica per almeno sessanta giorni, con cui il Garante può dettare ulteriori condizioni sulla base delle quali il trattamento è consentito, con specifico riferimento alle misure di sicurezza (comprese quelle tecniche) e le altre misure necessarie a garantire i diritti degli interessati.

Tali misure di garanzia sono espressamente previste per i trattamenti in ambito sanitario (art. 75 d.l.vo n. 196/2003). E’ evidente però che, trattandosi in genere di provvedimenti che riguardano particolari categorie di dati (biometrici, genetici e relativi alla salute) essi potrebbero riguardare vari settori e categorie di trattamenti di dati personali.

E’ interessante notare che l’art. 22, comma 11, del d.l.vo n. 101/2018 contiene una disposizione particolare secondo cui sino all’adozione delle misure di garanzia continuerebbero a trovare applicazione le disposizioni del Codice in materia di protezione dei dati personali relative al trattamento di dati genetici, biometrici o relativi alla salute, in quanto compatibili con il GDPR.

La previsione sembrerebbe riferirsi indistintamente alle norme contenute nel Codice Privacy, potendo far ritenere che essa richiami anche a quelle abrogate in seguito all’entrata in vigore del decreto stesso, ossia all’art. 55 (Particolari tecnologie), all’art. 17 (Trattamento che presenta rischi specifici), all’art. 39 (Obblighi di comunicazione), all’art. 90 (Trattamento dei dati genetici e donatori di midollo osseo) tutti oramai non più vigenti. Rimangono invece validi i riferimenti di cui all’art. 60 (Dati relativi alla salute o alla vita sessuale o all’orientamento sessuale) in materia di accesso a documenti amministrativi e accesso civico, e l’art. 110-bis (Trattamento ulteriore da parte di terzi dei dati personali a fini di ricerca scientifica o a fini statistici), nonché tutte le altre norme che disciplinano i trattamenti in ambito sanitario.

Provvedimenti di carattere generale

Ulteriore tipologia di provvedimento del Garante è quello previsto dall’art. 2 quinquiesdecies del d.l.vo n. 196/2003. Il Garante, secondo quest’ultima previsione, può adottare Provvedimenti di carattere generale avuto riguardo a quei trattamenti svolti per l’esecuzione di un compito di interesse pubblico e che possono presentare rischi elevati ai sensi dell’art. 35 del GDPR. Si tratta dei trattamenti per cui il Regolamento UE richiede lo svolgimento di una valutazione di impatto sulla protezione dei dati. In tali ipotesi sarà il Garante a prescrivere direttamente, attraverso i provvedimenti in esame, le misure ed accorgimenti che devono essere adottati dal titolare a tutela degli interessati.

È importante notare che un esempio dell’ambito di applicazione di tale norma è dato dall’art. 132 del Codice, in cui al comma 5° è prescritto che la conservazione dei dati di traffico deve essere effettuata secondo le prescrizioni contenute in tale tipologia di provvedimento, che dovrà essere adottato dal Garante.

Vi sono poi alcuni provvedimenti particolari, come:

• il decreto ministeriale che deve essere adottato ai sensi dell’art. 2 octies del Codice per il trattamento dei dati relativi a condanne penali, reati e relative misure di sicurezza,
• il provvedimento del Garante, da adottare con AGCOM, per le modalità di inserimento ed utilizzo dei dati degli elenchi dei contraenti (art. 129 del Codice),
• nonché una serie di regolamenti che l’Autorità per la protezione dei dati personali deve emanare per la propria gestione.

Regole applicabili nel periodo transitorio

Chiarito così cosa ci si debba attendere nei prossimi mesi è necessario comprendere quali siano le regole applicabili nel periodo transitorio, ossia quello intercorrente tra la data di entrata in vigore del nuovo Codice Privacy (19 settembre 2018) ed il momento in cui saranno efficaci le varie tipologie di provvedimenti sopra esaminate.

L’art. 20 del d.l.vo n. 101/2018 tratta dei Codici di Deontologia e buona condotta vigenti alla data di entrata in vigore dello stesso, e che dovrebbero essere sostituiti dalle Regole deontologiche di cui all’art. 2 quater del nuovo Codice Privacy.

La norma prevede che gli Allegati A.5 (ossia il Codice di Deontologia e buona condotta per le informazioni gestite dalle Centrali Rischi private) ed A.7 (relativo al Codice di deontologia e buona condotta per le informazioni commerciali (ossia per le informazioni raccolte da registri pubblici)) restino in vigore per un totale massimo di dodici mesi dall’entrata in vigore del d.l.vo n. 101/2018, e quindi fino al 19/9/2019, purché:

• entro il 19/3/2019 vengano elaborati nuovi Codici di condotta ex art. 40 del Regolamento UE ed sottoposti al Garante;
• la procedura di approvazione si concluda entro i successivi sei mesi. In caso di inutile scadenza di uno dei due termini gli attuali Codici di deontologia e buona condotta cesseranno di avere efficacia.

Gli altri Codici di deontologia e buona condotta attualmente in vigore (A.1 giornalismo, A.2 trattamenti per scopi storici, A.3 SISTAN, A.4 scopi statistici o scientifici, A.6 investigazioni difensive) rimangono vigenti fino alla pubblicazione in Gazzetta Ufficiale, entro 90 giorni dalla data di entrata in vigore del d. l.vo n. 101/2018 – e quindi entro il 18 dicembre 2018 – di Regole Deontologiche emanate sulla base della compatibilità valutata dal garante di detti attuali Codici di deontologia con le norme del Regolamento UE. Nel contempo il Garante dovrà promuovere la revisione degli attuali codici secondo quanto previsto dall’art. 2 quater del d.l.vo n. 196/2003.

Un particolare provvedimento è quello previsto dall’art. 21 del d.l.vo n. 101/2018. Sempre entro 90 giorni (18 dicembre 2018) dalla data di entrata in vigore del decreto modificativo il Garante dovrà adottare un provvedimento a carattere generale con cui, in relazione alle autorizzazioni generali già adottate, dovrà individuare le prescrizioni delle stesse che risultano compatibili con il GDPR ed eventualmente provvedere al loro aggiornamento.

Tale provvedimento riguarderà i trattamenti necessari ad adempiere ad un obbligo legale, quelli per l’esecuzione di un compito di interesse pubblico o connesso all’esercizio di pubblici poteri, quelli necessari per assolvere gli obblighi ed esercitare i diritti specifici del titolare del trattamento o dell’interessato in materia di diritto del lavoro e della sicurezza sociale e protezione sociale, i trattamenti di dati genetici, dati biometrici o dati relativi alla salute, le disposizioni relative ai trattamenti inerenti la libertà d’espressione e di informazione, l’accesso del pubblico ai documenti amministrativi, il numero di identificazione nazionale, i rapporti di lavoro, i trattamenti a fini di archiviazione nel pubblico interesse, di ricerca scientifica o storica o fini statistici, i trattamenti di chiese ed associazioni religiose.

Fino alla pubblicazione del provvedimento generale tutte le autorizzazioni generali continueranno a produrre effetti, mentre, successivamente a tale pubblicazione, quelle non ritenute compatibili con il Regolamento UE dovranno ritenersi decadute. Parimenti, tutte le autorizzazioni relative a trattamenti diversi da quelli indicati al precedente paragrafo cessano di produrre effetto dalla entrata di entrata in vigore del d.l.vo n. 101/2018 (19/9/2018).

Infine, fino a quando non sono adottate le Regole Deontologiche e le Misure di Garanzia produrranno effetti, per la corrispondente categoria di dati e trattamenti, le autorizzazioni generali ritenute compatibili con il Regolamento UE.

E’ bene fin d’ora chiarire che in data 19 luglio 2018 il Garante aveva emanato il provvedimento n. 424, con cui stabiliva che, nelle more del perfezionamento dell’iter legislativo di adeguamento, le autorizzazioni generali già emanate dovevano intendersi comunque in vigore.

Durante il periodo transitorio, inoltre, e fino all’adozione dei provvedimenti generali di cui all’art. 2 quinquiesdecies del Codice, relativi ai trattamenti che presentano elevati rischi nell’ambito di trattamenti di interesse pubblico, potranno continuare ad essere svolte tali tipologie di trattamenti, purché previsti da disposizioni di legge o regolamento o atti amministrativi generali, o qualora siano stati sottoposti a verifica preliminare o autorizzazione del Garante.

Infine, l’art. 22 al comma 4° stabilisce che a decorrere dal 25 maggio 2018 continuano ad applicarsi i provvedimenti del Garante adottati prima di tale data, purché compatibili con il Regolamento UE.

A questo punto, per cercare di semplificare la lettura di tali disposizioni, è sembrato utile riassumere il quadro normativo italiano in una tabella, che proponiamo qui di seguito, riassuntiva delle tipologie, scadenze e materie relative ai singoli atti che formano il quadro normativo della privacy nel nostro Paese.