La Repubblica di San Marino nell’ultimo anno e mezzo ha messo in atto una vera rivoluzione legislativa in ambito di costituzione e organizzazione di organismi pubblici e strumenti per affrontare la sfida dell’innovazione tecnologica e dell’economia digitale, protezione dati delle persone fisiche compresa.
Non solo norme ma anche creazione di vere infrastrutture tecnologiche di proprietà dello Stato quale asset strategico per lo sviluppo e la crescita economica del paese attraverso il progetto fibra ottica. Progetto strutturale per dare competitività alle imprese del paese.
Vediamo di seguito nel dettaglio tutti i progetti e le iniziative avviate.
Progetto fibra ottica San Marino
Il progetto riguarda la realizzazione della rete in fibra ottica FTTH su tutto il territorio sammarinese. Una infrastruttura che rappresenta un asset strategico per lo sviluppo e la crescita economica della Repubblica di San Marino che già centinaia di utenti stanno utilizzando. La rete FTTH consente di navigare ad una velocità fino ad 1 Gigabit al secondo. I lavori dell’Azienda Autonoma di stato per i Servizi avviati nel 2016 hanno per il momento raggiunto le principale zone industriali e centri abitati, va sottolineato che l’Azienda Pubblica non offre direttamente servizi di telecomunicazione agli utenti, una volta realizzata l’infrastruttura di cui resta proprietaria, la mette a disposizione degli operatori di telecomunicazioni autorizzati tramite la Pubblic NetCo, con canoni mensili concordati sotto garanzia dell’Autorità ICT, che a loro volta si interfacciano con gli utenti sia imprese che famiglie.
San Marino Innovation
L’Istituto per l’Innovazione della Repubblica di San Marino (San Marino Innovation spa) D.D. n.23 del 07/03/2018 modificato con D.D. n.46 del 02/05/2018 è visto come ente traghettatore dell’innovazione digitale per la Repubblica di San Marino quale ecosistema anche in termini di studio e sviluppo di norme e ha anche la funzione di coordinare il piano di sviluppo dell’Agenda Digitale Sammarinese per le strategie nazionali e per gli interventi strutturali propedeutici al processo di innovazione tecnologica perseguendo gli obiettivi di crescita socio-economica sostenibile del Paese.
L’Agenda Digitale Sammarinese è coordinata con l’Agenda Digitale Europea ed è orientata a favorire la cooperazione prioritaria tra sistemi d’impresa, degli innovatori, dell’Amministrazione Pubblica, della ricerca e dei servizi sammarinesi, tramite il coinvolgimento di tutti gli attori coinvolti. L’Istituto per l’innovazione della Repubblica di San Marino ha il compito di sottoporre all’attenzione del Congresso di Stato e del Consiglio Grande e Generale l’Agenda Digitale Sammarinese e la funzione di svilupparla attraverso l’Agenzia per lo Sviluppo Digitale, tavolo tecnico permanente istituito per legge in seno al Comitato Scientifico.
Autorità ICT, ruolo e funzioni
Autorità ICT (Autorità della Tecnologia dell’Informazione e della Comunicazione) si compone di tre membri ed ha la funzione primaria di regolazione, controllo, garanzia e tutela nel settore delle telecomunicazioni, di interesse pubblico. Ha cura di assicurare che i servizi pubblici vengano forniti secondo i principi di qualità, economicità ed universalità per gli utenti e le imprese; inoltre assicura la corretta competizione degli operatori sul libero mercato, tutela il pluralismo e le libertà fondamentali dei cittadini nel settore delle telecomunicazioni. Ha quindi il compito di stabilire i criteri di concessione delle infrastrutture pubbliche e fornitura di servizi di comunicazione garantendo un regime di neutralità tecnologica e di concorrenza. (D.D. n. 146 del 2018)
Public Netco
La Public NetCo Spa nata per gestire l’attività relativa ad un settore strategico di pubblica utilità, come quello delle telecomunicazioni sia fibra che mobile, in modo diretto ed efficace per perseguire un costante aggiornamento delle tecnologie più avanzate, ed altresì di garantire la sicurezza delle telecomunicazioni anche in settori strategici. Ha il compito di realizzare e concedere in uso, in regime di concorrenza fra gli operatori, le reti in fibra ottica e le reti mobili di proprietà dello Stato, nonché di garantire la convergenza, l’interoperabilità tra rete e servizi di comunicazione elettronica e l’utilizzo di standard aperti. (DD146/2018)
Garante privacy a San Marino
Autorità pubblica indipendente incaricata di sorvegliare l’applicazione della legge n.171 del 21 dicembre 2018 in materia di “Protezione delle persone fisiche con riguardo al trattamento dei dati personali” al fine di tutelare i diritti e le libertà fondamentali delle persone fisiche con riguardo al trattamento dei dati personali. L’Autorità Garante per la protezione dei dati personali è organo collegiale composto dal Collegio e dall’Ufficio. Il Collegio è costituito da tre membri. L’Autorità Garante per la protezione dei dati personali agisce in piena autonomia ed indipendenza nell’adempimento dei propri compiti e nell’esercizio dei propri poteri conformemente alla legge. Nell’adempimento dei rispettivi compiti e nell’esercizio dei rispettivi poteri previsti dalla legge, i membri dell’Autorità Garante per la protezione dei dati personali non subiscono pressioni esterne, né dirette, né indirette, e non sollecitano né accettano istruzioni da alcuno. I membri dell’Autorità Garante per la protezione dei dati personali si astengono da qualunque azione incompatibile con le loro funzioni e per tutta la durata del mandato non possono esercitare nella Repubblica di San Marino, a pena di decadenza, alcuna attività professionale o di consulenza, né essere amministratori o dipendenti di enti pubblici o privati, né ricoprire cariche elettive.
San Marino e il Gdpr
San Marino ha una peculiarità rispetto ad altri Stati, oltre a non essere ancora membro della comunità europea è un enclave come il Vaticano, all’interno dell’Italia. La volontà politica è quella di rientrare tra i piccoli paesi che firmeranno un accordo di associazione alla Comunità Europea con deroghe rispetto agli altri stati membri per chiare esigenze di dimensione, dimostrato dalla firma unanime di un documento sintetico da parte di tutti i partiti politici sia di maggioranza che opposizione in data 26 aprile 2019.
Il non far ancora parte della Comunità europea crea una particolare situazione per cui lo scambio di dati da e verso paesi soprattutto comunitaria sia inevitabile, data la collocazione geografica, basti pensare ai lavoratori transfrontalieri da e verso il paese.
Per questo la neo insediata Autorità Garante della protezione dei dati personali Sammarinese, nella persona del suo presidente Nicola Fabiano, durante l’ultimo evento di aprile 2019 dedicato al GDPR nel quale era presente anche l’Autorità Garante Italiana, ha auspicato una collaborazione attiva tra i due paesi per facilitare il lavoro delle imprese a livello burocratico ma nel pieno rispetto di quanto previsto dalla normativa sammarinese ed Europea.
Nella lista delle urgenze dell’Autorità Sammarinese infatti vi è la richiesta di conformità o adeguatezza della norma sammarinese alla Commissione Europea al fine di poter rientrare tra quei paesi compliance anche se non comunitari e facilitare l’operatività delle imprese nel trattamento dei dati nel pieno rispetto dei diritti degli interessati e di sicurezza soprattutto quando vi sono necessità di trasferimento transfrontaliero come per i servizi cloud.
Anche Antonello Soro ospite dell’evento ha confermato ed auspicato la collaborazione tra i due Stati nel riuscire a vincere una sfida così grande data l’importanza della materia e l’evoluzione delle tecnologie non solo prettamente informatiche.
San Marino sta facendo passi da piccolo gigante per essere tra i protagonisti dell’era digitale attraverso lo sviluppo di normative anche in ambito blockchain con l’emissione del Decreto Delegato “Norme sulla tecnologia blockchain per le imprese” n. 37 del 27 febbraio 2019, dell’identità digitale in fase di studio da parte del Comitato Scientifico di San Marino Innovation e di norme per imprese anche start up ad alto contenuto tecnologico con l’emissione del Decreto Delegato 4 febbraio 2019 n. 25.
Normativa sammarinese in materia di protezione dei dati personali
A dicembre 2018 è stata emanata la nuova normativa privacy sammarinese alla luce delle nuove necessità di tutela dei dati, un indispensabile upgrade normativo conforme al GDPR almeno nella sostanza se non ancora nella forma. Il precedente documento di legge era datato 1995.
La nuova normativa sammarinese privacy Legge 171 del 21 dicembre 2018 “Protezione delle persone fisiche con riguardo al trattamento dei dati personali” è apertamente ispirata al Gdpr e ne segue i principi cardine tra i più importanti troviamo l’accountability, privacy by design e by default, liceità dei trattamenti, minimizzazione dell’utilizzo dei dati, pseudonimizzazione, accuratezza dei dati, limitazione alla durata dei trattamenti e conservazione dei dati, integrità e riservatezza, trasparenza, portabilità, accesso, cancellazione e informazione agli interessati del trattamento.
Legge Sammarinese vs Gdpr
Paragonando la norma sammarinese 171/2018 al Regolamento europeo 679/2016 si nota subito la composizione articolata della prima di 129 articoli, contro i 99 del secondo. La corposità degli articoli della norma sammarinese rispetto a quella europea è dovuta alle peculiarità storiche del paese, alla necessità di raccordo con norme interne previgenti nonché alla minuziosa e dettagliata Parte II al titolo IV “Trattamento di dati personali in ambito sanitario” dall’art. 78 all’83 e alla Parte IV interamente dedicata alle Comunicazioni elettroniche dall’art. 110 all’art. 125. All’interno della parte dedicata ai dati sanitari troviamo una deroga al diritto all’oblio importante. L’ art. 79 “Trattamenti di dati personali in ambito sanitario” comma 2 prevede che “Al trattamento dei dati personali effettuato per finalità di tutela della salute e incolumità fisica dell’interessato o di terzi o della collettività non si applica il diritto di cui agli articoli 17 (Diritto alla cancellazione «diritto all’oblio») e 20 (Diritto alla portabilità dei dati) della presente legge. Scelta fatta dal legislatore per motivi di opportunità.
La legge sammarinese non presenta nessun “considerando” e va quindi studiata nel dettaglio e analizzata minuziosamente caso per caso in base alle necessità con particolare attenzione alle norme di riferimento interne previgenti. Infatti la precedente norma denominata “Riforma della Legge 1 Marzo 1983 n. 27 che regolamenta la raccolta informatizzata dei dati personali” n. 70 del 1995 non è stata del tutto abolita ma resta in vigore per quanto riguarda la raccolta informatizzata di dati delle persone giuridiche.
Legge n. 171 21 dicembre 2018 “Protezione delle persone fisiche con riguardo al trattamento dei dati personali”
Entrando nel vivo della Legge 171/2018 entrata in vigore il 5 gennaio 2019 si tratta di un documento di 61 pagine e 129 articoli nel quale vengono richiamati tutti i principi cardine del regolamento europeo e anche di più.
Al Titolo I abbiamo le disposizioni generali contenenti oggetto, finalità e definizioni nonché l’ambito territoriale di applicazione (artt. 1,2,3). Quest’ultimo punto non è affatto banale in quanto la norma secondo il comma 1 dell’art. 3 “ambito di applicazione territoriale” va applicata “al trattamento interamente o parzialmente automatizzato di dati personali e al trattamento non automatizzato di dati personali contenuti in un archivio o destinati a figurarvi, effettuato da chiunque è stabilito nel territorio della Repubblica di San Marino o in un luogo comunque soggetto alla sovranità della Repubblica di San Marino” e secondo il comma 2 del medesimo articolo anche “al trattamento dei dati personali di interessati che si trovano nella Repubblica di San Marino, effettuato da un titolare del trattamento o da un responsabile del trattamento che non è stabilito nella Repubblica di San Marino, quando le attività di trattamento riguardano:
- l’offerta di beni o la prestazione di servizi ai suddetti interessati nella Repubblica di San Marino, indipendentemente dall’obbligatorietà di un pagamento dell’interessato; oppure
- il monitoraggio del loro comportamento nella misura in cui tale comportamento ha luogo all’interno della Repubblica.”
Al comma 4 troviamo le esclusioni per trattamento dei dati da parte delle istituzioni, per motivi di politica estera e per finalità di cooperazione internazionale in ambito fiscale, testualmente “4. La presente legge non si applica:
- ai trattamenti di dati personali effettuati da soggetti pubblici o da organismi che esercitano attività di interesse pubblico, istituiti o regolamentati attraverso una legge, a fini di prevenzione, indagine, accertamento o perseguimento di reati o esecuzione di sanzioni penali, incluse la salvaguardia contro minacce alla sicurezza pubblica e la prevenzione delle stesse, che verranno disciplinati con apposito decreto delegato da adottarsi entro novanta giorni dall’entrata in vigore della presente legge. Tale decreto delegato deve garantire che lo scambio di dati personali da parte delle autorità competenti per le finalità sopra menzionate non sia limitato né vietato per motivi attinenti alla protezione della persone fisiche con riguardo al trattamento dei dati personali;
- ai trattamenti di dati personali effettuati nell’esercizio delle attività inerenti alla politica estera e alla sicurezza nazionale;
- ai trattamenti di dati personali effettuati da soggetti pubblici o da organismi che esercitano attività di interesse pubblico, istituiti o regolamentati attraverso una legge, ai fini di cooperazione internazionale in materia fiscale.”
La cooperazione internazionale in materia fiscale è certamente un ambito in cui il paese ha fatto considerevoli rivoluzioni normative nel rispetto del Modello Ocse a cui si è ispirato durante l’era delle ampie riforme anche in ambito di trasparenza e gestione delle informazioni nonché in materia di antiriciclaggio e antiterrorismo sotto la supervisione del Monayval.
Tornando nel vivo della legge troviamo nella Parte I al titolo V “Trasferimenti di dati personali verso altri paesi o organizzazioni internazionali” molto importante per la Repubblica che date le dimensioni non può esimersi dall’utilizzo di servizi cloud e scambio di dati con altri paesi. L’art. 45 ci da le linee guida e il principio generale per il trasferimento da San Marino verso Paese estero basato sulla garanzia del livello di protezione delle persone fisiche a responsabilità dei Titolare e Responsabile del trattamento. Abbiamo anche nella norma sammarinese quindi un ripetuto richiamo alla sicurezza sia nei trasferimenti che conservazione dei dati a prescindere dall’ambito tecnologico ed informatico.
All’art. 46 abbiamo le linee guida per il trasferimento verso Paesi terzi che è ammesso senza alcuna preventiva autorizzazione verso tutto gli Stati appartenenti all’Unione Europea nonché verso i Paesi che godono di una decisione di adeguatezza della commissione europea rilasciata ai sensi del Regolamento (UE) 2016/679 e del Consiglio del 27 aprile 2016.
In aggiunta la norma prevede anche senza preventiva autorizzazione il trasferimento di dati personali da e verso quegli Stati esteri con cui San Marino ha sottoscritto accordi o trattati bilaterali che prevedono lo scambio di dati personali e disciplinano le garanzie per il loro trattamento in conformità alla norma sammarinese.
Per i trasferimenti al di fuori dei casi previsti dall’art. 46 è necessario che la controparte abbia fornito garanzie adeguate e a condizione che gli interessati dispongano di diritti azionabili e mezzi di ricorso effettivi. Tra le garanzie adeguate troviamo strumenti giuridicamente vincolanti tra autorità pubbliche, norme vincolanti d’impresa nonché quelle adottate dalla Commissione Europea, le clausole dell’Autorità Garante per la protezione dei dati, i codici di condotta a norma di legge privacy, meccanismo di certificazione volontaria approvata dagli organismi di certificazione nazionali od esteri accreditato dall’Autorità Garante della protezione dei dati sammarinese.
All’art. 50 troviamo le deroghe in specifiche situazioni tra cui il trasferimento di dati al di fuori dei casi dell’art. 46 verso un Paese estero o un’organizzazione internazionale possibile solo se si verificano condizioni chiare e precise tra cui il consenso espresso, liceità del trattamento al fine della conclusione di un contratto su istanza dell’interessato o a suo favore, importanti motivi di interesse pubblico, difesa in sede giudiziaria, tutela degli interessi vitali dell’interessato o altri in caso di incapacità fisica o giuridica nel prestare il proprio consenso espresso.
Inoltre è consentito il trasferimento partito da un registro mirato a fornire informazioni al pubblico e consultabile pubblicamente da chiunque sia in grado di dimostrare il legittimo interesse solo a condizione che sussistano requisiti per la consultazione previsti da norme specifiche; in tal caso solo gli aventi i requisiti possono accedere a detto registro. Nel caso estremo in cui il trasferimento non ricada in nessuna delle precedenti casistiche esso è ammesso solo se sia non ripetitivo, che riguardi un limitato numero di interessati, e sia necessario per conseguire interessi legittimi cogenti del titolare su cui non prevalgano interessi e diritti e le libertà dell’interessato e, qualora il titolare abbia valutato tutte le circostanze relative al trasferimento e sulla base di tale valutazione, abbia fornito garanzie adeguate relativamente alla protezione dei dati personali. Oltre alle informative art.13 e 14 (art. 13 “Informazioni da fornire qualora i dati personali siano raccolti presso l’interessato” art. 14 “Informazioni da fornire qualora i dati personali non siano stati ottenuti presso l’interessato”) della normativa sammarinese in linea con il GDPR è necessario informare l’interessato del trasferimento e degli interessi legittimi cogenti perseguiti. Mentre le Autorità Pubbliche sono esentate nell’applicare tali disposizioni nello svolgere le proprie funzioni di pubblico potere.
