E’ stato approvato ieri, dal Consiglio dei Ministri n. 14, presieduto dal premier Giuseppe Conte, il decreto legislativo di armonizzazione del Codice Privacy (d.lgs. n. 196/2003) e delle altre leggi dello Stato al GDPR (Regolamento europeo generale sulla protezione dei dati personali, n. 679/2016). Come noto, il GDPR è stato approvato ed è entrato in vigore nel 2016, ma i suoi effetti sono rimasti sospesi fino al 25 maggio 2018, a partire da quando il Regolamento ha trovato piena e definitiva applicazione in tutti i Paesi dell’Unione Europea contemporaneamente.
Con questo decreto, in attesa di pubblicazione su Gazzetta Ufficiale e di cui non si conosce ancora né il numero né la versione definitivamente approvata, il legislatore italiano esercita la delega contenuta nello stesso GDPR e poi ripresa dal Parlamento italiano a fine 2017, con la quale trovano compimento una serie di ambiti delicati, dal trattamento dei dati particolari (sensibili, giudiziari, genetici e biometrici) ai diritti dei minori e dei defunti, dalla disciplina dei codici di deontologia e buona condotta di cui al Codice Privacy, alla ridefinizione delle norme penali a supporto del corretto adempimento degli obblighi derivanti dal GDPR.
Intervistiamo l’avvocato Rocco Panetta, managing partner di Panetta & Associati e Country Leader per l’Italia della International Association of Privacy Professionals (IAPP), tra i massimi esperti a livello internazionale sui temi del digitale e della privacy.
Avvocato, quali le Sue reazioni a caldo sul testo circolato in rete del decreto di armonizzazione del Codice Privacy al GDPR?
Mi permetta di fare subito una precisazione: occorrerà attendere la pubblicazione del testo approvato in Gazzetta Ufficiale, per poter avere la certezza che la norma di cui si discute e che tutti saremo chiamati ad applicare sia cristallizzata in un testo di legge. Fino a quel momento, continueremo a parlare di bozze e ad usare tutti i condizionali ed i caveat del caso. Dalla bozza si evince che, a partire dal giorno stesso della sua pubblicazione, il decreto legislativo che modifica il Codice Privacy, adeguandolo al GDPR, entrerà in vigore. Per ora, dunque, mi limiterò ad un commento di carattere generale ed a caldo di quanto verosimilmente è stato portato in approvazione al Consiglio dei Ministri dal Governo. Occorre contrastare la superficialità ed il sensazionalismo. Dietro al GDPR c’è il lavoro, soprattutto negli ultimi mesi, di tante aziende, p.a. e professionisti che con abnegazione e serietà, tranne alcuni casi, stanno provando a far quadrare il cerchio. Non si possono scrivere titoli, per carpire l’attenzione, che inneggiano alla moratoria di otto mesi rispetto alla applicazione del GDPR. E’ falso e fuorviante.
Che tipo di moratoria sarebbe stata indicata?
Una delle norme finali del decreto approvato, sembrerebbe indicare che per i primi otto mesi dalla data di entrata in vigore del decreto stesso, il Garante per la protezione dei dati personali terrà conto, ai fini dell’applicazione delle sanzioni amministrative e nei limiti in cui risulti compatibile con le disposizioni del GDPR, della fase di prima applicazione delle disposizioni sanzionatorie. Il che non significa affatto che il Governo abbia approvato né una moratoria né che abbia introdotto un grace period. Ogni modifica al GDPR da parte degli Stati nazionali sarebbe semplicemente prima di efficacia. Se uno Stato nazionale avesse voluto incidere sugli effetti del GDPR avrebbe dovuto attivamente lavorare negli anni 2012-2016, quando il GDPR ha avuto la sua gestazione e approvazione a livello europeo. Oggi, l’unica strada per non applicare o applicare difformemente il GDPR dal suo testo è quella della uscita dall’Unione Europea o della consapevolezza di andare incontro ad una sicura procedura di infrazione. Il GDPR è legge dal 2016, si applica dal 25 maggio del 2018 e il decreto in parola non lo modifica in nulla, ma solo introduce norme utili per meglio applicarlo e rendere il nostro ordinamento giuridico ad esso conforme. Non il viceversa.
Peraltro, lo stesso Garante, nella Relazione annuale al Parlamento recentemente presentata, ha chiaramente indicato che il GDPR trova applicazione totale da subito, sebbene sarà necessaria più prudenza e maggior giudizio nell’applicazione delle sanzioni amministrative, che come noto hanno una portata senza precedenti e che possono raggiungere nel massimo i 20 milioni di Euro o fino al 4% del fatturato mondiale di gruppo.
Ma perché il Governo si è determinato ad adottare un decreto di armonizzazione?
Grazie per questa domanda, che mi aiuta a sgombrare il campo da alcuni dubbi. Sebbene il regolamento europeo non abbia bisogno di strumenti nazionali di recepimento o implemementazione, nel caso del GDPR, il legislatore europeo del 2016 ha lasciato agli Stati membri ampi margini di manovra. Infatti, in ben undici punti del regolamento si trovano deleghe, facoltative, che permettono agli Stati nazionali di adattare gli ordinamenti giuridici aL GDPR, anche tenendo conto delle peculiarità che negli anni si sono cristallizzate ad opera delle Autorità nazionali di controllo e garanzia sulla privacy – per l’Italia, il nostro Garante privacy. Ecco perché il Parlamento italiano ha giustamente approvato a novembre 2017 una legge delega che trova ieri, da parte del Governo, il suo finale varo, dopo non poco travaglio, diverse bozze anche approvate in prima lettura dal precedente Governo ed un notevole lavoro da parte di una Commissione ministeriale presieduta dalla professoressa Giusella Finocchiaro e che ha visto tra i suoi protagonisti anche il predecessore dell’attuale presidente del Garante, il Prof. Francesco Pizzetti.
Quali sono i principali effetti e le più rilevanti conseguenze di questa legge, se confermata nella bozza circolata?
Se la memoria non mi inganna, cercherò di sintetizzare i passaggi più salienti a beneficio di lettori esperti e non di quanto ho avuto modo di leggere questa mattina.
- Anzitutto, all’art. 2 verrebbe introdotto un importante richiamo alla legge e ai regolamenti come base giuridica e presupposto di liceità del trattamento svolto “per l’esecuzione di un compito di interesse pubblico o connesso all’esercizio di pubblici poteri” nonché per effettuare la comunicazione di dati da un soggetto all’altro nell’ambito dei trattamenti tra soggetti pubblici.
- Con riferimento ai minori che hanno compiuto quattordici anni, il decreto sembrerebbe stabilire che essi potranno esprimere il consenso al trattamento dei propri dati personali (soprattutto con riferimento a marketing e profilazione) in relazione all’offerta diretta di servizi della società dell’informazione. Per quanto riguarda i minori di 14 anni, invece, resterebbe in piedi il requisito del consenso da parte di chi abbia la potestà genitoriale.
- Le regole deontologiche promosse dal Garante ai sensi del GDPR, dovranno essere sottoposte a consultazione pubblica per almeno 60 giorni.
- Nell’ambito del trattamento dei dati particolari, con riferimento ai dati genetici, biometrici e relativi alla salute, il Garante dovrebbe emanare, su base biennale, dei provvedimenti contenenti misure di garanzia, volte ad individuare misure di sicurezza, tra cui l’obbligo di cifratura e di pseudonomizzazione. In taluni casi, poi,verrebbe mantenuto il c.d. principio del pari rango a giustificazione di un trattamento di dati sensibili relativi alla vita sessuale, all’orientamento sessuale o alla salute.
- Le autorizzazioni generali al trattamento di dati sensibili, di cui al Codice Privacy, verrebbero mantenute ed attualizzate dal Garante mediante provvedimento generale da sottoporre a consultazione pubblica.
- Si chiarisce definitivamente – se mai vi fossero ancora dubbi – la possibilità data al titolare e al responsabile del trattamento di prevedere, nell’ambito del proprio assetto organizzativo, che specifici compiti e funzioni connessi al trattamento di dati personali siano attribuiti a persone fisiche, espressamente designate, che operano sotto la loro autorità (i vecchi responsabili interni del trattamento).
- I diritti dell’interessato, di cui agli articoli 15-22 del GDPR potranno essere limitati o esclusi in determinati casi, quando entrano in contrasto con altre esigenze poste da leggi dello Stato (es. norme antiriciclaggio, attività delle Commissioni Parlamentari d’inchiesta, trattamenti svolti in occasione dello svolgimento di investigazioni difensive o dell’esercizio di un diritto in sede giudiziaria, o anche in caso di whistleblowing).
- Gli stessi diritti se relativi a persone deceduti, con talune limitazioni, potranno essere esercitati da chi ha un interesse proprio, o agisce a tutela dell’interessato, come mandatario, o per ragioni familiari meritevoli di protezione.
- Si demanda al Garante, di concerto con l’AGCOM, la definizione delle regole per l’inserimento dei dati personali – e del loro successivo utilizzo – dei contraenti negli elenchi telefonici.
- Con riferimento all’organizzazione dell’Autorità garante, verrebbe introdotto l’obbligo, prima della nomina del nuovo Collegio, ai possibili candidati di avanzare formale candidatura che sarà vagliata con modalità trasparenti. Alla cessazione dell’incarico di componente, scatta il divieto di trattare per i due anni successivi alla cessazione dell’incarico ovvero del servizio presso il Garante come funzionario o dirigente, procedimenti dinanzi al Garante, ivi compresa la presentazione per conto di terzi di reclami richieste di parere o interpelli.
- Peccato invece leggere ancora, a distanza di 20 anni dalla sua introduzione, che il personale dell’Autorità Garante sarà remunerato – unico caso tra le Autorità indipendenti – nella misura dell’80% dello stipendio dei funzionari e dirigenti dell’AGCOM. Da ex dirigente del Garante, lasciatemelo dire, questa misura è una vergogna. Non ci capisce perché a suo tempo sia stata introdotta e perché, nonostante la centralità del mercato dei dati oggi, ancora venga riproposta. Spero che il Governo colga la necessità di rafforzare il Garante e non di mortificarne il personale, trattandolo come personale di serie B.
- Sembrerebbero essere stati estesi i poteri del Garante, ivi incluso quello di introdurre meccanismi di semplificazione per le micro, piccole e medie imprese, con riferimento agli obblighi del titolare del trattamento.
- Per quanto invece riguarda ìe sanzioni penali precedentemente introdotte dal Codice Privacy, esse verrebbero ad essere riordinate e rimodulate. I nuovi reati sarebbero: il trattamento illecito di dati; la comunicazione e diffusione illecita di dati oggetto di trattamento su larga scala; l’acquisizione fraudolenta di dati personali oggetto di trattamento su larga scala; la falsità nelle dichiarazioni al Garante e l’interruzione dell’esecuzione dei compiti o dell’esercizio dei poteri del Garante; l’inosservanza di provvedimenti del Garante; la violazione delle disposizioni in materia di controlli a distanza e indagini sulle opinioni dei lavoratori.
- Importantissimo, poi, il richiamo ai provvedimenti fin qui adottati dal Garante in 20 anni di sua attività: sembrerebbe infatti che i provvedimenti del Garante continuino ad applicarsi, in quanto compatibili con il GDPR. Norma questa di grande ragionevolezza.
Al netto delle analisi di dettaglio che avremo modo di fare a bocce ferme, mi pare di poter dire che il decreto del Governo Conte sia un importante provvedimento che salva molto del Codice Privacy, nell’ottica di aiutare a meglio interpretare il GDPR, ad osservarne gli obblighi e a godere delle opportunità per interessati, titolari e responsabili. Nei prossimi giorni vedremo e capiremo meglio se quanto qui delineato sarò confermato.