In questi giorni di primavera del 2018, in cui molto del dibattito e dell’attenzione dei media sulla privacy è polarizzato tra il clamore e lo sgomento generato dal caso Cambridge Analytica, da un lato, e la pittoresca vicenda del decreto italiano di armonizzazione del Gdpr, che tanti malumori e commenti negativi ha generato prima ancora di essere approvato definitivamente dal Consiglio dei Ministri, riprendo le fila della nostra rubrica esplicativa sui fondamentali del Gdpr.
Avendo io espresso al riguardo della bozza del decreto legislativo di armonizzazione del Gdpr una posizione di cautela e di invito all’attesa della pubblicazione di un testo ufficiale, prima di esprimere opinioni e giudizi sul lavoro della Commissione Finocchiaro, colgo questa occasione per aggiungere qualche riflessione in più.
Il legislatore europeo nell’adottare il Gdpr ha scelto una netta soluzione di continuità rispetto all’architettura già realizzata nell’Unione Europea sotto la vigenza della Direttiva 95/46/CE, così come ulteriormente specificata operativamente dalle varie normative di recepimento nazionali. Viene abbandonato lo strumento della direttiva che, come noto, necessita di puntuale recepimento nazionale, preferendo ad essa il regolamento, che non necessità di recepimento, ma solo di armonizzazione con l’ordinamento dei singoli Stati membri. E questo è quanto sta esattamente accadendo in questi giorni in tutta Europa.
Senza dubbio il legislatore italiano, in buona compagnia con oltre la metà degli Stati dell’Ue, ha avviato il percorso di armonizzazione troppo a ridosso della data di finale entrata in vigore del regolamento, il 25 maggio prossimo, e senza dubbio alcune delle scelte che il Parlamento ha delegato al Governo di compiere e che il Governo, stando alle indiscrezioni circolate, avrebbe sposato per il tramite della Commissione di esperti in proposito nominata, sollevano senz’altro talune perplessità, ma occorre aspettare il lavoro finale di chi è delegato a scrivere il testo della legge, prima di esprimere giudizi. La materia è delicata tanto quanto il lavoro ed il ruolo degli esperti della Commissione.
Non condivido il fervore iconoclasta nè l’atteggiamento di quanti non ripongono fiducia nelle istituzioni preposte a lavorare per tutti noi. Anche io avrei preferito vedere mantenuto il testo base del Codice Privacy vigente, andando ad integrarlo con il Gdpr in tutte le parti in cui ciò non fosse in contrasto con lo spirito e la lettera del regolamento, se non altro per antica affezione al lavoro firmato dal Professor Rodotà e dal Consigliere Buttarelli, a cui in minima parte a quel tempo, nel 2003, contribuii anche io, assieme agli altri colleghi dell’Autorità.
Anzi, qui dirò di più, a me il Gdpr non è mai piaciuto, né nella forma né nella sostanza. Le sue parti migliori sono quelle che rievocano l’andamento del Codice privacy italiano. La più bella di tutte è forse il titolo che sottolinea l’importanza della libera circolazione prima ancora della protezione dei dati personali, concetto a cui sono storicamente legato da tanti anni.
In tempi non sospetti, infatti, ho manifestato disagio circa il ricorso allo strumento del regolamento in luogo della direttiva, da me ritenuto sbagliato e prematuro: in una Europa che ha ancora da colmare profonde diversità, sarebbe stato meglio usare il regolamento prima in settori cruciali come quello fiscale, della giustizia, dell’istruzione e della sanità. Invece si è scelto, per ovvie ragioni di equilibri transnazionali, di voler fare l’Europa attraverso la nuova legge sulla circolazione dei dati, usando l’arma (pardon: lo strumento) del regolamento comunitario. Cosi è stato, piaccia o no. Ormai è tardi. Il 25 maggio è domani e prima ci si adegua al Gdpr usando le sue categorie e la sua logica e meglio sarà per tutti gli operatori.
Vedremo presto il risultato finale del lavoro della Commissione in che direzione andrà e se si riuscirà a trovare, come auspico e credo, una mediazione tra le tante critiche al testo preliminare, alcune condivisibili nel merito, un po’ meno nella forma, altre frutto di affrettate ed ingenerose conclusioni, e le altrettanto chiare risposte di Giusella Finocchiaro a nome di tutta la Commissione.
Proseguendo, invece, negli appuntamenti cui questa rubrica di approfondimento ci invita, focalizziamo oggi la nostra attenzione su di un aspetto di rilevanza non marginale: i presupposti di liceità del trattamento. L’analisi delle basi giuridiche su cui è possibile fondare l’attività di trattamento permetterà di conoscere più nel dettaglio le premesse dalle quali è possibile, nonché lecito, progettare le attività di trattamento.
L’articolo 6 del Gdpr elenca le condizioni di liceità del trattamento, coincidenti, in larga sostanza, con quelle previste dal Codice privacy – d.lgs. 196/2003, ossia:
- il consenso;
- l’ adempimento di obblighi contrattuali e precontruattuali;
- gli interessi vitali della persona interessata o di terzi;
- gli obblighi di legge cui è soggetto il titolare, l’interesse pubblico o l’esercizio di pubblici poteri;
- l’interesse legittimo prevalente del titolare o di terzi cui i dati vengono comunicati.
La necessità che il consenso sia in tutti i casi, libero, specifico, informato e manifestato attraverso dichiarazione o azione positiva permane anche sotto la vigenza del Gdpr. Vi sono, invece, talune novità che riguardano questa base giuridica: (i) esso deve essere esplicito nel caso di trattamento di dati sensibili (ossia quella categoria di dati atta a rivelare informazioni particolarmente delicate riferibili ad un individuo) – la precedente legge, il Codice privacy, richiedeva al riguardo il consenso scritto ad substantiam; (ii) il consenso acquisisce una nuova qualità: l’inequivocabilità; (iii) il consenso non deve essere necessariamente “documentato per iscritto”, né è richiesta la “forma scritta”, anche se questa modalità è idonea a configurare l’inequivocabilità del consenso e il suo essere “esplicito” in riferimento ai dati sensibili; (iv) l’articolo 8 del Gdpr prevede che il consenso espresso dai minori sia valido a partire dai 16 anni (fermo restando che il limite di età potrebbe essere ulteriormente abbassato fino a 13 anni dal decreto legislativo di armonizzazione del quadro normativo attualmente in fase di discussione dalle istituzioni competenti). Di conseguenza, prima di tale età occorre raccogliere il consenso dei genitori o di chi ne fa le veci.
Dal punto di vista operativo, il consenso raccolto precedentemente al 25 maggio 2018 resta valido se ha tutte le caratteristiche sopra individuate. In caso contrario, è opportuno adoperarsi prima di tale data per raccogliere nuovamente il consenso degli interessati secondo quanto prescrive il Gdpr, se si vuole continuare a fare ricorso a tale base giuridica.
E’ importante sottolineare come il Gdpr mostri ancora più chiaramente della direttiva 95/46 come il consenso, pur essendo la più significativa base giuridica del trattamento, non é la principale. La gran parte dei trattamenti svolti da soggetti istituzionali pubblici (es. pubbliche amministrazioni, ospedali, scuole) o privati (es. banche, operatori di telecomunicazioni, supermercati, operatori di trasporto, ecc.) si basa sul presupposto giuridico del trattamento in ossequio ad obblighi di legge, nel primo caso, ed in adempimento ad un contratto, nel secondo caso. Il consenso rileva per tutti quei trattamenti ulteriori, ed a volte residuali, rispetto a quelli per cui un interessato si rivolge al titolare del trattamento, come ad esempio quelli legati al marketing. Ma anche a tal riguardo, occorre aspettare un chiarimento sui profili applicativi del legittimo interesse, in alternativa al consenso, come accennato dal considerando 47 del Gdpr.
In riferimento alla possibilità di fondare il trattamento di dati personali sul presupposto del legittimo interesse, il nuovo disposto regolamentare, ha sottolineato che il bilanciamento fra legittimo interesse del titolare o del terzo e i diritti e le libertà dell’interessato non spetta più all’Autorità di controllo (come sotto la vigenza del Codice privacy) ma è compito dello stesso titolare, in quanto manifestazione del principio di accountability (o responsabilizzazione nella sua traduzione in italiano) introdotto formalmente dal regolamento.
In merito si era già espresso anche il Gruppo dei Garanti europei (che si riunisce a Bruxelles ai sensi dell’articolo 29 della direttiva 95/46) in una delle sue opinion più note, fornendo preliminari osservazioni utili a eseguire un test di bilanciamento equilibrato, che possa garantire la necessaria flessibilità ai titolari del trattamento in situazioni in cui non sussiste un indebito impatto sugli interessati. Tra i fattori da considerare figurano:
- la natura e l’origine dell’interesse legittimo;
- l’impatto sugli interessati e;
- le garanzie supplementari volte a evitare un indebito impatto sugli interessati.
In attesa di conoscere quali saranno le effettive implicazioni di questo presupposto di liceità in Europa ed Italia, nella misura in cui esso non ha trovato, sino a oggi, ampia applicazione, anche in ragione del limite precedentemente imposto della valutazione di bilanciamento preventivo di interessi da svolgersi a cura del Garante, si sottolinea un importante passaggio interpretativo offerto dal Gruppo dei Garanti europei, contenuto nelle linee guida sul consenso (WP259).
Posto che in linea di principio, per uno specifico trattamento non può essere utilizzato più di un presupposto di liceità alla volta, tuttavia, sottolinea il WP29, è possibile affidarsi ad una o più basi giuridiche nell’ipotesi in cui i dati siano utilizzati per finalità multiple, in quanto ogni finalità deve essere collegata ad una specifica base giuridica. Il che però non implica la possibilità di modificare il presupposto di legittimità individuato, una volta che il trattamento è iniziato. Ad esempio non è immaginabile poter utilizzare in retrospettiva il legittimo interesse per giustificare il trattamento, laddove siano sorti dei problemi rispetto alla validità del consenso prestato dagli interessati. Non è, dunque, possibile utilizzare basi giuridiche alternative come se fossero dei “back-up” attivabili indistintamente secondo le necessità contingenti del titolare.
Se poi il legittimo interesse sarà o non sarà idonea base giuridica, fonte di liceità del trattamento, nel campo suo principale di elezione, quello del marketing diretto, occorrerà attendere anche gli esiti della emananda riforma della e-privacy directive che presto verrà sostituita anche essa da un regolamento.
E’ su questo terreno che si celebrerà la battaglia finale che vedrà prevalere e soccombere alternativamente il consenso e il legittimo interesse come presupposto di liceità del trattamento in un mondo pervaso dal digitale e dall’incalzante avanzare delle macchine munite di intelligenza artificiale.
