Approvato nella serata dell’8 agosto 2018 dal Consiglio dei Ministri l’atteso decreto legislativo di armonizzazione del Codice Privacy (d.lgs. n. 196/2003) e delle altre leggi dello Stato al GDPR, il Regolamento europeo generale sulla protezione dei dati personali (Reg. n. 679/2016). Molte le novità, che elenchiamo di seguito. 

Come noto a tutti, il GDPR è stato approvato ed è entrato in vigore ormai dal 2016, ma i suoi effetti sono rimasti sospesi fino al 25 maggio 2018, data magica a partire dalla quale il Regolamento europeo ha trovato piena e definitiva applicazione.

Premetto subito che occorrerà attendere la pubblicazione del testo approvato in Gazzetta Ufficiale per poter avere la certezza che la norma di cui si discute e che tutti saremo chiamati ad applicare, a partire dal giorno stesso della sua pubblicazione, sia quella definitiva. Per ora, dunque, mi limiterò a un commento di carattere generale e a caldo del testo che è stato portato in approvazione al Consiglio dei Ministri dal Governo l’8 agosto 2018. Laddove andrò a citare un articolo o un comma del testo del decreto legislativo, continuerò ad usare il condizionale, in attesa di leggere il testo pubblicato in Gazzetta Ufficiale.

Ma perché il Governo è così determinato ad adottare un decreto di armonizzazione? Lo abbiamo detto più volte: sebbene il regolamento europeo non abbia bisogno di strumenti nazionali di recepimento o implementazione, nel caso del GDPR il legislatore europeo del 2016 ha ritenuto di lasciare agli Stati membri dell’Unione Europea taluni margini di manovra ed è cosi che in circa dieci passaggi cruciali del regolamento sono rinvenibili deleghe, facoltative, agli Stati nazionali per poter meglio adattare la norma alle diverse realtà e ordinamenti giuridici e per tenere conto delle peculiarità che negli anni si sono cristallizzate ad opera delle Autorità nazionali di controllo e garanzia sulla privacy – per l’Italia, il nostro Garante per la protezione dei dati personali.

In ossequio a ciò, il Parlamento italiano ha approvato a novembre dello scorso anno una legge delega che approda ieri definitivamente – e finalmente – sul tavolo del Governo per il suo finale varo, dopo non poco travaglio, diverse bozze anche approvate in prima lettura dal precedente Governo e un notevole lavoro da parte di una Commissione ministeriale presieduta dalla professoressa Giusella Finocchiaro.

Ribadisco, ancora una volta, che il decreto legislativo appena approvato non modifica il GDPR, pertanto la norma europea resta esattamente quella che è e con cui abbiamo preso dimestichezza in questi mesi. Tuttavia, la norma delegata sembrerebbe intervenire in diverse e cruciali aree, dal trattamento dei dati particolari (sensibili, giudiziari, genetici e biometrici) ai diritti dei minori e dei defunti, dalla disciplina dei codici di deontologia e buona condotta di cui al Codice Privacy, alla ridefinizione delle norme penali a supporto del corretto adempimento degli obblighi derivanti dalla materia.

Ma quali sono i principali effetti e le più rilevanti conseguenze di questa legge? Nelle poche righe a mia disposizione, tenterò il non semplice esercizio di sintetizzare i passaggi più salienti a beneficio di lettori esperti e non.

Anzitutto, all’art. 2 verrebbe introdotto un importante richiamo alla legge e ai regolamenti come base giuridica e presupposto di liceità del trattamento svolto “per l’esecuzione di un compito di interesse pubblico o connesso all’esercizio di pubblici poteri” nonché per effettuare la comunicazione di dati da un soggetto all’altro nell’ambito di tale contesto.

Le regole deontologiche promosse dal Garante ai sensi del GDPR, dovranno essere sottoposte a consultazione pubblica per almeno 60 giorni.

minori che hanno compiuto quattordici anni potranno esprimere il consenso al trattamento dei propri dati personali in relazione all’offerta diretta di servizi della società dell’informazione. Per quanto riguarda i minori di 14 anni, invece, resterebbe in piedi il requisito del consenso avente la potestà genitoriale. Ed i titolari del trattamento dovranno scrivere informative chiare, semplici, concise ed esaustive, facilmente accessibili e comprensibili dal minore, “al fine di rendere significativo il consenso prestato da quest’ultimo.

Nell’ambito del trattamento dei dati particolari, con riferimento ai dati geneticibiometrici e relativi alla salute, il Garante emanerà, su base biennale, dei provvedimenti contenenti misure di garanzia, volte ad individuare “le misure di sicurezza, ivi comprese quelle tecniche di cifratura e di pseudonomizzazione, misure di minimizzazione, specifiche modalità di accesso selettivo ai dati e per rendere le informazioni agli interessati, nonché eventuali altre misure necessarie a garantire i diritti degli interessati”. In taluni casi, poi, (cfr. art. 5), viene mantenuto il c.d. principio del pari rango a giustificazione di un trattamento di dati sensibili relativi alla vita sessuale, all’orientamento sessuale o alla salute.

Le autorizzazioni generali al trattamento di dati sensibili di cui al Codice Privacy, ai sensi dell’art. 21 del decreto, verrebbero attualizzate dal Garante con provvedimento da sottoporre a consultazione pubblica.

diritti dell’interessato, di cui agli articoli 15-22 del GDPR, potranno essere limitati o esclusi in determinati casi, quando entrano in contrasto con altre esigenze posta da leggi dello Stato, come nel caso dell’ambito applicativo delle norme antiriciclaggio, delle prerogative delle Commissioni Parlamentari d’inchiesta, dei trattamenti svolti in occasione dello svolgimento di investigazioni difensive o dell’esercizio di un diritto in sede giudiziaria, o anche in caso di whistleblowing. Gli stessi, se relativi a persone deceduti, con talune limitazioni, potranno essere esercitati da chi ha un interesse proprio, o agisce a tutela dell’interessato, come mandatario, o “per ragioni familiari meritevoli di protezione”.

Si chiarisce definitivamente – come se ve ne fosse davvero ancora bisogno – la possibilità data al titolare e al responsabile del trattamento di prevedere, sotto la propria responsabilità enell’ambito del proprio assetto organizzativo, che specifici compiti e funzioni connessi al trattamento di dati personali siano attribuiti a persone fisiche, espressamente designate, che operano sotto la loro autorità.

Sembrerebbe, poi, che il legislatore propenda per il consolidamento del ruolo di Accredia come ente unico nazionale di accreditamento, lasciando al Garante il potere di assumere tale ruolo in caso di suoi gravi inadempimenti.

Per quanto riguarda la ricezione di CV ricevuti spontaneamente, l’informativa può essere fornite al momento del primo contatto utile, successivo all’invio del curriculum medesimo ed il consenso al trattamento non sarà richiesto.

Si demanda al Garante, di concerto con l’AGCOM, la definizione delle regole per l’inserimento dei dati personali – e del loro successivo utilizzo – dei contraenti negli elenchi telefonici. Il legislatore al riguardo effettua una coraggiosa operazione di riscrittura degli articoli relativi al Titolo X del Codice Privacy, anche con riferimento al telemarketing, nonostante sia pendente l’approvazione a livello comunitario della e-Privacy Regulation in sostituzione della e-Privacy Directive. Occorrerà analizzare molto nel dettaglio questa parte del decreto, sia per la sua complessità sia per la sua delicatezza e per gli impatti sul mercato.

In materia di tutela dei diritti, l’interessato, oltre al reclamo al Garante, può proporre ricorso all’autorità giudiziaria ordinaria. Il reclamo è definito entro un tempo massimo di nove mesi dalla sua presentazione. All’interessato è comunque data la possibilità di presentare segnalazioni al Garante.

Con riferimento all’organizzazione dell’Autorità garante, verrebbe introdotto l’obbligo, prima della nomina del nuovo Collegio, ai possibili candidati di avanzare formale candidatura che sarà vagliata con modalità trasparenti. Alla cessazione dell’incarico di componente, scatta il divieto di trattare per i due anni successivi alla cessazione dell’incarico ovvero del servizio presso il Garante come funzionario o dirigente, procedimenti dinanzi al Garante, ivi compresa la presentazione per conto di terzi di reclami richieste di parere o interpelli.

Sembrerebbero essere stati estesi i poteri del Garante, ivi incluso quello di introdurre meccanismi di semplificazione per le micro, piccole e medie imprese, con riferimento agli obblighi del titolare del trattamento.

Le sanzioni penali precedentemente introdotte dal Codice Privacy verrebbero ad essere riordinate e rimodulate. I nuovi reati sarebbero: il trattamento illecito di dati; la comunicazione e diffusione illecita di dati oggetto di trattamento su larga scala; l’acquisizione fraudolenta di dati personali oggetto di trattamento su larga scala; la falsità nelle dichiarazioni al Garante e l’interruzione dell’esecuzione dei compiti o dell’esercizio dei poteri del Garante; l’inosservanza di provvedimenti del Garante; la violazione delle disposizioni in materia di controlli a distanza e indagini sulle opinioni dei lavoratori.

Verrebbero individuate modalità agevolate per la definizione di procedimenti relativi a violazioni pregresse nonché per la trattazione di affari pregressi pendenti presso l’Ufficio del Garante.

Codici di deontologia e buona condotta di cui agli Allegati A5 e A7 del Codice Privacy continueranno a produrre i loro effetti nelle more della ridefinizione della procedura di approvazione dei nuovi codici, attraverso un percorso di un anno dalla entrata in vigore del decreto. Per quanto riguarda gli altri Codici (Allegati A1, A2, A3, A4, A6 del Codice Privacy), il Garante effettuerà un esercizio di compatibilità con il GDPR.

Importantissimo, da ultimo, il richiamo ai provvedimenti fin qui adottati dal Garante in 20 anni di sua attività: “i provvedimenti del Garante per la protezione dei dati personali continuano ad applicarsi, in quanto compatibili con il GDPR e con le disposizioni del presente decreto”.

Infine, da segnalare che i primi otto mesi dalla data di entrata in vigore del decreto, il Garante per la protezione dei dati personali terrà conto, ai fini dell’applicazione delle sanzioni amministrative e nei limiti in cui risulti compatibile con le disposizioni del GDPR, della fase di prima applicazione delle disposizioni sanzionatorie. Il che non significa né moratoria né grace period. Semplicemente la legge riprende ciò che anche il Presidente dell’Autorità Garante, Antonello Soro, ha più volte indicato come strada: applicazione totale da subito, ma prudenza e giudizio rafforzato nell’applicazione delle sanzioni amministrative, che come noto hanno una portata senza precedenti e che possono raggiungere nel massimo i 20 milioni di Euro o fino al 4% del fatturato mondiale di gruppo.

Un importante e significativo provvedimento che salva molto del Codice Privacy e dovrebbe aiutare a meglio interpretare il GDPR, ad osservarne gli obblighi e a godere delle opportunità in punto di tutela dei diritti degli interessati e delle prerogative di titolari e responsabili.