Trasmesso alle Commissioni parlamentari il nuovo testo dello schema di decreto legislativo delegato che dovrà adeguare l’ordinamento italiano al GDPR, il Regolamento (UE) n. 679/2016, totalmente diverso rispetto a quello anticipato negli ultimi tempi.
Decreto GDPR entro il 21 agosto
Ricordiamo che l’articolo 13 della legge n. 163 del 2017, delegava il Governo ad adottare, entro il 21 maggio 2018, uno o più decreti legislativi per armonizzare il sistema italiano alla nuova disciplina europea. Tale termine poteva essere prorogato di 90 giorni (fino al 21 agosto) in assenza dei due pareri delle Commissioni parlamentari.
Il nuovo decreto andrà a sostituire l’attuale Codice Privacy (d.l.vo n. 196/2003), inizialmente avrebbe dovuto completamente abrogarlo, poi si è optato per una parziale cancellazione, con la sostituzione in blocco di alcuni Titoli e capi, nonché la minuziosa opera di modifiche centellinate di alcuni articoli, commi e parole.
In questo modo vengono regolati ampiamente tutti gli ambiti in cui il legislatore nazionale avrebbe potuto intervenire sulla base del Regolamento.
Sul nuovo testo il Garante per la protezione dei dati personali ha espresso il proprio parere positivo condizionato.
Generalità dei trattamenti
Andiamo per ordine e iniziamo col dire che il testo dello schema si apre con l’art. 1 dichiara l’applicabilità generale del GDPR al trattamento dei dati personali per il nostro Paese. Un incipit che potrebbe apparire come scontato, ma che in realtà risulta necessario in termini di accettazione formale del GDPR rispetto alla generalità dei trattamenti effettuati nel nostro Paese.
In questo modo si amplia il perimetro di regolamentazione anche al di là di quelli che sono i limiti dei Trattati, ovvero i limiti entro cui si ricade nel diritto dell’Unione Europea. Si tratta in particolare dei trattamenti che non sarebbero stati assoggettabili al GDPR i trattamenti effettuati per attività la difesa, la sicurezza nazionale, la sicurezza interna e l’ordine pubblico, quelli effettuati dagli Stati membri nell’esercizio di attività relative alla politica estera, o anche le politiche relative ai controlli alle frontiere, all’asilo e all’immigrazione.
Trattamenti pubblici
Altra principale novità rispetto all’attuale Codice Privacy riguarda il cosiddetto contesto pubblico. Il trattamento collegato all’interesse collettivo non è più tale solo in riferimento all’appartenenza dei Titolari alla categoria di soggetti pubblici, ma in riferimento alla finalità del trattamento, che può appunto essere considerata diretta a soddisfare un interesse pubblico anche in caso di soggetto privato.
Ad ogni modo la base giuridica dovrà essere una norma di legge o di regolamento e disciplinata la comunicazione e, se si trattano particolari categorie di dati di cui all’art. 9 GDPR, il trattamento sarà consentito solo in caso di interesse pubblico rilevante.
Tra le casistiche di interesse pubblico rilevante individuate dal test troviamo l’accesso ai documenti amministrativi, ad attività sanzionatorie, allo svolgimento di compiti del servizio sanitario nazionale e dei soggetti operanti in ambito sanitario, le attività legate all’instaurazione, gestione ed estinzione di rapporti di lavoro per soggetti che svolgono compiti di interesse pubblico o connessi all’esercizio di pubblici poteri.
Regole deontologiche
Lo schema di decreto, come auspicabile, pone inoltre l’accento su uno strumento che il titolare può utilizzare per favorire sia il rispetto del GDPR sia il controllo sul proprio comportamento da parte dell’autorità Garante.
Si tratta di quelle che vengono definite come “regole deontologiche” per la privacy, che tuttavia sembrano differenziarsi dai Codici di condotta di cui all’art. 40.
L’unica problematica rispetto a questo punto risiede nella posibilità di riutilizzare eventuali codici già adottati, che comunque dovrebbero essere aggiornati al GDPR e resi nuovamente pubblici. Il problema nasce dal fatto che se tali codici si riferissero ad attività di trattamento in vari Stati membri, allora sarebbe necessario un apposito parere del Comitato Europeo. In altre parole utilizzo delle “regole deontologiche locali” su trattamenti presenti in vari stati membri potrebbe rappresentare un violazione al GDPR.
In relazione a questo, un esempio è quello in materia di dati relativi alla salute trattati da una multinazionale, per le regole deontologiche eventualmente già presenti potrebbero andare in conflitto, o sovrapporsi, con eventuali Codici di condotta a livello europeo.
Ad ogni modo, sempre rispetto ai comportamenti leciti e suggeriti, potrebbero essere messe in campo anche apposite misure di garanzia da parte del Garante, secondo la previsione dall’art. 9, comma 4 del GDPR.
Restrizioni dei diritti
Viene prevista la restrizione dei diritti dell’interessato regolati dal GDPR in caso di perseguimento di particolari finalità come quelle antiriciclaggio, il sostegno alle vittime di richieste estorsive, l’attività delle Commissioni parlamentari di inchiesta, la politica monetaria e valutaria, nonché il controllo del sistema dei pagamenti, e degli intermediari creditizi e finanziari, nonché per lo svolgimento delle indagini difensive.
Soggetti designati
La norma introduce il concetto di:
- soggetti designati: coloro a cui vengono attribuiti specifici compiti e funzioni internamente all’assetto organizzativo del o del responsabile e relativamente al trattamento dei dati personali;
- soggetti che sono autorizzati al trattamento di dati personali sotto la diretta autorità del titolare o responsabile.
Settori specifici
Il decreto contiene delle disposizioni volte a disciplinare i trattamenti di particolari categorie di dati in determinati ambiti, come quello sanitario, inerenti ai dati degli studenti, dei professionisti iscritti in albi, per archiviazione nel pubblico interesse, di ricerca storica, a fini statistici e ricerca scientifica.
e-Privacy
Lo schema di decreto legislativo introduce una sorta di rafforzamento in materia di sicurezza per i fornitori di servizi di comunicazione elettronica accessibili al pubblico e aggiunge un obbligo di informativa agli abbonati ed agli utenti di un particolare rischio di violazione di sicurezza della rete.
Giornalismo
Con riferimento al settore del giornalismo, viene ampliata la portata delle norme prevedendone l’applicabilità quando il trattamento è effettuato ai fini della pubblicazione di saggi o altre opere, anche in via non temporanea, e viene autorizzato il trattamento delle particolari categorie di dati di cui all’art. 9 GDPR, anche senza il consenso dell’interessato, ma nel rispetto delle regole deontologiche da adottarsi entro sei mesi dalla proposta del Garante. Viene inoltre previsto un periodo transitorio in cui il Garante, in cooperazione con l’ordine dei giornalisti, prescriverà misure di garanzia a tutela degli interessati.
Reclami e segnalazioni
Lo schema di decreto prevede che il reclamo innanzi al Garante possa essere sottoscritto dall’interessato o da un’associazione rappresentativa e proposto solo se non sia già pendente un procedimento innanzi all’autorità giudiziaria per il medesimo oggetto e le stesse parti. I tempi di decisioni del reclamo sono fissati in nove mesi.
La segnalazione può essere proposta da chiunque.
Il Garante può inoltre:
- denunciare i fatti configurabili come reati perseguibili di ufficio, oltre a quelli già previsti in via generale dal GDPR e dalle altre normative richiamate nella disposizione;
- esercitare l’azione in giudizio nei confronti dei titolari o dei responsabili del trattamento nel caso di violazione della normativa. Tale facoltà si eserciterebbe con il patrocinio dell’Avvocatura dello Stato o, in caso di conflitto di interesse, con propri funzionari od avvocati del libero foro.
I poteri di accertamento dell’Autorità
Vengono quindi ampliati i poteri di accertamento dell’Autorità estendendo la richiesta di esibizione anche al contenuto delle banche dati, con possibilità di accesso alle stesse, agli archivi e facoltà di ispezionare e verificare i luoghi in cui è effettuato il trattamento o comunque effettuare rilevazioni utili al controllo del rispetto della disciplina. Gli accertamenti possono anche riguardare reti di comunicazioni accessibili al pubblico, mentre per i trattamenti relativi ad esigenze di sicurezza nazionale gli accertamenti devono essere svolti da un componente designato del Garante, senza possibilità di delega.
Disciplina sanzionatoria
La disciplina sanzionatoria diviene piuttosto articolata e regola sia l’applicazione delle sanzioni amministrative sia le fattispecie di reato per il GDPR.