di GIANLUIGI MARINO –
Recentemente la materia della protezione dei dati personali si è ritrovata inserita nel calderone di un paio di leggi dello Stato che ospitano i temi più eterogenei. Mi riferisco alla legge europea 2017 e alla legge di bilancio 2018. In entrambi i casi, le norme disposte dal legislatore presentano più di un motivo di critica. E in entrambi i casi il legislatore dispone anche stanziamenti a favore del Garante per la protezione dei dati personali.
Ora, se è da salutare con favore l’allocazione di maggiori risorse in capo ad una autorità già sovraccarica e che sarà destinata nel prossimo futuro ad esserlo ancora di più (si pensi semplicemente alla gestione delle notifiche di data breach da parte di tutte le tipologie di titolari del trattamento), non si capisce perché sull’altro piatto della bilancia ci debba essere una produzione di norme pressappochista e disarmonica. Sembra quasi che ogni stanziamento di fondi al Garante per la protezione dei dati personali abbia per contrappasso un lascito di norme discutibili e poco lungimiranti.
Delle norme in materia di protezione dei dati personali presenti nella legge europea 2017, ne ha già parlato Lucio Scudiero qui. Vediamo allora cosa dispongono i commi 1020-1024 dell’articolo 1 della legge di bilancio 2018, tali da giustificare l’autorizzazione di spesa di 2 milioni di euro annui da parte del Garante che, si ripete, non si intende contestare affatto.
Comma 1020. Al fine di adeguare l’ordinamento interno al GDPR, il Garante per la protezione dei dati personali assicura la tutela dei diritti fondamentali e delle libertà dei cittadini.
Non è chiaro il senso di questo comma poiché il ruolo del Garante è noto da un paio di decenni e, in ogni caso, già il GDPR disciplina in modo più puntuale di questo comma le caratteristiche, le competenze, i compiti e i poteri delle autorità di controllo, Garante incluso.
Comma 1021. Per raggiungere i fini indicati nel comma 1020, quindi la tutela dei diritti fondamentali e delle libertà dei cittadini, il Garante dovrà, entro il prossimo 1 marzo, adottare uno o più provvedimenti che (a) disciplinino come il Garante monitorerà e vigilerà sull’applicazione del GDPR, (b) disciplinino come il Garante verificherà (anche attraverso l’acquisizione di informazioni dai titolari del trattamento dei dati personali trattati per via automatizzata o tramite tecnologie digitali), la presenza di adeguate infrastrutture per l’interoperabilità dei formati con cui i dati sono messi a disposizione dei soggetti interessati, in vista della concreta applicazione del diritto alla portabilità dei dati, (c) mettano a disposizione dei titolari che effettuano trattamenti basati sull’interesse legittimo e che prevedono l’uso di nuove tecnologie o di strumenti automatizzati un modulo che dovrà essere compilato e inviato all’autorità prima dell’inizio del trattamento stesso e (d) prevedano linee guida in materia di trattamenti basati sull’interesse legittimo del titolare.
Ho sintetizzato questo comma cercando di depurarlo da certe espressioni utilizzate e che stupisce leggere in un testo di legge (“titolare dei dati personali” – in luogo di titolare del trattamento di dati personali – e “modello di informativa” – l’informativa si dà agli interessati, qui si tratta con tutta probabilità di un modulo da inviare al solo Garante -).
Nel merito, il provvedimento di cui alla lettera a) sarebbe totalmente inutile. Esistono già le disposizioni del GDPR che, in quanto regolamento europeo, non necessitano di recepimenti in normative locali. In queste righe sembra intravedersi la stessa ripetizione non necessaria alla base del comma 1020.
Rispetto alle verifiche circa il diritto alla portabilità e le adeguate infrastrutture, quanto previsto da questa lettera b) va oltre quanto disposto dal GDPR. Il regolamento europeo, nei suoi considerando, menziona l’opportunità di incoraggiare i titolari a sviluppare formati interoperabili ma non configura in alcun modo un obbligo in tal senso. Questo punto è ulteriormente ribadito nelle linee guida sulla portabilità rilasciate dal WP29 ove si afferma che in questo senso, il considerando 68 promuove lo sviluppo di formati interoperabili da parte dei titolari così da consentire la portabilità dei dati , ma non configura un obbligo in capo ai titolari stessi. di introdurre o mantenere sistemi di trattamento tecnicamente compatibili. Tuttavia, il GDPR vieta ai titolari di creare ostacoli alla trasmissione dei dati.
Quanto alla lettera c), sorvolando sull’utilizzo maldestro della parola “informativa” già accennato prima, rinvio al commento del comma successivo.
Infine, con riferimento alla lettera d), si tratta di un compito già assolto dal WP29 e dal futuro Comitato per la protezione dei dati. Forse il Garante, espanderà i concetti e gli esempi presenti nelle linee guida del WP29 sulla scia di quanto fatto nell’ambito delle FAQ sul DPO negli enti pubblici, sorta di addendum alle linee guida di matrice europea.
In sintesi, il Garante con proprio provvedimento dovrebbe duplicare documentazione appannaggio del WP29 e verificare la presenza di infrastrutture non obbligatorie.
Ma siamo al comma 1021 e la strada per lo stanziamento di cui al comma 1025 è ancora lunga e irta di insidie.
Comma 1022. Il titolare di dati personali, individuato ai sensi dell’articolo 4, numero 7), del GDPR, ove effettui un trattamento fondato sull’interesse legittimo che prevede l’uso di nuove tecnologie o di strumenti automatizzati, deve darne tempestiva comunicazione al Garante per la protezione dei dati personali. A tale fine, prima di procedere al trattamento, il titolare dei dati invia al Garante un’informativa relativa all’oggetto, alle finalità e al contesto del trattamento, utilizzando il modello di cui al comma 1021, lettera c). Trascorsi quindici giorni lavorativi dall’invio dell’informativa, in assenza di risposta da parte del Garante, il titolare può procedere al trattamento.
Il fatto che il destinatario della norma sia il titolare per come individuato dal GDPR lascia intendere che la procedura sopra descritta debba applicarsi successivamente al 25 maggio 2018, data di piena applicabilità del regolamento. Tuttavia, il GDPR prevede che una possibile base giuridica del trattamento alternativa al consenso sia il legittimo interesse del titolare o di un terzo ma senza che ogni Stato membro possa aggiungere requisiti ulteriori. Ricordo che la materia passa dall’essere disciplinata da una direttiva europea per come recepita da ogni singolo Stato Membro ad un unico regolamento europeo. Il legislatore italiano sembra però non voler mollare il colpo nell’organizzare procedure speciali in Italia quanto ai trattamenti basati sul legittimo interesse e disegna una specie di autorizzazione al trattamento tramite silenzio-assenso dell’autorità ricevente l’”informativa” del titolare.
Ma non basta.
Comma 1023. Il Garante, ricevuto il modulo con le informazioni relative al trattamento di cui al comma precedente, apre un’istruttoria e, ove ravvisi il rischio che dal trattamento derivi una lesione dei diritti e delle libertà dei soggetti interessati, impedisce l’inizio del trattamento per un massimo di 30 giorni (non è chiaro se i 30 giorni siano ulteriori ai precedenti 15 o se in totale il procedimento non possa superare i 30 giorni). Se, in questo periodo, il Garante matura il convincimento che dal trattamento derivi comunque una lesione dei diritti e delle libertà del soggetto interessato, viene inibito l’utilizzo dei dati.
Ferme restando tutte le perplessità espresse con riferimento al comma precedente, la norma è scritta in modo tale che il provvedimento negativo all’esito di questa istruttoria dovrebbe essere l’inibitoria all’utilizzo dei dati e non il blocco o divieto del trattamento. Considerando che l’utilizzo dei dati è una delle molteplici possibili operazioni di trattamento, non è chiaro perché sia stata scelta questa sanzione, potenzialmente meno severa del blocco o del divieto del trattamento.
Comma 1024. E’ la ciliegina sulla torta. Il Garante deve dare conto nella propria relazione annuale dei provvedimenti di “inibitoria all’utilizzo dei dati” e, in generale, delle istruttorie aperte ai sensi del comma 1023.
Il comma 1025 chiude questa passerella di obbrobri giuridici accordando al Garante gli stanziamenti menzionati all’inizio.
Sarà interessante vedere come se la caverà il Garante, chiamato a emanare provvedimenti in palese contrasto con la normativa europea. Forse agirà da “cunctator” considerando di non voler interferire con i lavori già previsti dalla legge di delegazione europea 163/2017 finalizzati all’adeguamento del quadro normativo nazionale alle disposizioni del GDPR.
In generale, c’è da augurarsi che l’allocazione di futuri stanziamenti in favore del Garante per la protezione dei dati personali non sia nuovamente l’occasione per dare corso a una “tecnica” legislativa raffazzonata nel merito e nel metodo.
Comments are closed.