ITALIA e GDPR: le prime norme di adeguamento

ITALIA E GDPR: LE PRIME NORME DI ADEGUAMENTO TRA FRETTA E INCERTEZZA.
La fine del 2017 ha visto il nostro legislatore impegnato in una frenetica attività di produzione normativa nell’intento, principale, di scongiurare il pericolo di subire le conseguenze del mancato adempimento degli obblighi a carico del nostro Paese nel recepimento delle direttive europee e nell’attuazione di altri atti dell’Unione europea.
E’ così anche per gli obblighi di adeguamento dipendenti dal Regolamento (UE) 2016/679 – GDPR, rispetto a cui il legislatore affronta l’urgenza di rispettare la scadenza ormai prossima (meno di 100 giorni alla deadline) del 25 maggio facendo affidamento su una programmazione scontata per alcuni versi e sorprendente per altri.
1) La Legge di delegazione europea 2016/2017
La corsa a tappe – ravvicinate – intrapresa dal legislatore ha visto il suo avvio con la Legge di delegazione europea 2016/2017 del 25 ottobre 2017, n. 163, pubblicata in Gazzetta il successivo 6 novembre. La Legge, all’articolo 13, delega al Governo l’adozione, entro sei mesi dalla sua entrata in vigore, di uno o più decreti legislativial fine di adeguare il quadro normativo nazionale alle disposizioni del GDPR.
Il progetto ambizioso non è dispensato dal rispetto di rigorosi criteri, meglio tradotti sempre nell’articolo 13 della Legge di delegazione europea, che guidino la scelta tra:
l’abrogazione di norme, e soprattutto quelle di cui al D.lgs. n. 196/2003 – Codice Privacy, allorché incompatibili con le disposizioni contenute nel GDPR;
la modificazione e il coordinamento delle norme nazionali (non solo di quelle di cui al vigente Codice Privacy), che, resistendo all’abrogazione diretta, siano destinate a mantenere a vario titolo i loro effetti sul trattamento dei dati personali, o che completino quelle del GDPR facendo fronte a quanto necessario per dare attuazione alle disposizioni non direttamente applicabili in esso contenute.
2) La Legge europea
Nella rincorsa all’adeguamento il nostro legislatore ha raggiunto la sua seconda tappa il 20 novembre 2017.
Con la Legge europea n. 167/2017, ha dato una prima attuazione a quella di delegazione europea, a cui è collegata in forza della Legge n. 234/2012 (recante le “Norme generali sulla partecipazione dell’Italia alla formazione e all’attuazione della normativa e delle politiche dell’Unione europea” che ha sdoppiato la legge comunitaria annuale prevista dall’articolo 9 della Legge n. 11/2005, svuotandola dei suoi effetti).
La Legge europea accelera i tempi previsti per l’adeguamento intervenendo sul Codice Privacy o, meglio, su due dei suoi articoli.
La Legge europea introduce i commi 4 – bis e 5 dell’articolo 29 del Codice Privacy
Con decorrenza dal 12 dicembre 2017, l’articolo 29 del Codice Privacy viene arricchito di un nuovo comma, il 4 – bis, vocato ad unire alla disciplina consolidata in Italia quella che il GDPR riserva alla designazione del responsabile del trattamento.
L’articolo 28 della Legge europea ha messo al fine in atto un’operazione audace e fin troppo frettolosa (nessuno ne sentiva veramente l’esigenza); nell’intento dimantenere il ruolo in questione dentro e fuori l’organizzazione del titolare del trattamento, il legislatore coniuga, più o meno attendibilmente, quelle del nostro ordinamento con le prescrizioni del GDPR che disciplinano in maniera puntuale solo le ipotesi di outsourcing delle attività di trattamento, prevedendo, nel caso, che il titolare ricorra unicamente a responsabili del trattamento che presentino garanzie sufficienti per mettere in atto misure tecniche e organizzative adeguate (articolo 28, paragrafo 1, del GDPR).
Il GDPR agisce in tal senso, e altresì nel segno di un obbligo specifico a carico del titolare allorché un trattamento debba essere effettuato per suo conto, recependo e stabilizzando con gli effetti di cui all’articolo 28 del GDPR la posizione della Direttiva 95/46/CE che abroga, nel tempo confermata e rafforzata dal Gruppo dei garanti europei (che rappresenta le sue conclusioni nel più che noto parere n. 1/2010).
Prevedere, in continuità con un passato solo italiano, una struttura ben definita di ruoli e responsabilità (fatta non solo di responsabili, interni o esterni che siano, ma anche di incaricati che il Garante nella sua “Guida all’applicazione del Regolamento europeo in materia di protezione dei dati personali” mantiene comunque nell’organizzazione del titolare insieme alle altrettanto immutate modalità di investitura e di direzione) rischia di nuocere non solo all’uniformità della disciplina proposta dal GDPR, ma soprattutto ai veri obiettivi che esso pone a fondamento degli obblighi di accountability di cui investe il titolare del trattamento e che non possono prescindere da una scelta, seppur responsabile, operata nel rispetto della discrezionalità di chi la compie e se ne assume il rischio.
Rimangono invariati gli obblighi di verifica sull’operato del responsabile che l’ultimo comma (il quinto), anche esso aggiunto al corpo dell’articolo 29 del Codice Privacy, elabora ad hoc nel caso il suddetto sia rintracciato fuori dall’organizzazione del titolare del trattamento. Gli obblighi – che periodicamente impegneranno il titolare del trattamento – partono da una matrice comune, seguendo una sceneggiatura già nota che, nel caso dell’outsourcer, si compone con le istruzioni che, in concreto, dovranno corredare gli atti con cui viene formalizzato il suo rapporto con il titolare.
Le formalità della designazione e il suo contenuto, anche prescrittivo, ad oggi sono ancora rintracciabili nel solo articolo 28 del GDPR, poiché l’Autorità garante nazionale non ha ancora rilasciato gli schemi tipo in conformità dei quali i soggetti interessati, secondo il dettato del nuovo articolo 29 del Codice Privacy, dovrebbero adottare gli atti giuridici alla base del rapporto con il responsabile esterno del trattamento.
Alla luce di un intervento normativo siffatto, abbandonato a sé stesso almeno per ora, la perplessità è il sentimento più immediato:
• sia in ordine all’opportunità, anche temporale, della scelta, atteso che al più tardi il prossimo maggio vedranno la luce i decreti legislativi di cui alla Legge di delegazione europea che assicureranno (qualche giorno prima della scadenza del 25 maggio) all’adeguamento al GDPR una disciplina completa e, si spera, uniforme ai suoi principi;
• sia, altresì, in merito alla legittimità dell’ articolo 29 del Codice Privacy nella versione assicurata dalle modifiche nel frattempo intervenute, anche a fronte dei limiti entro cui il GDPR contiene l’iniziativa dei legislatori nazionali.
Ma dubbi permangono anche sulle modalità con cui il Garante nazionale potrà dar seguito alle attività ad esso rimesse, al netto anche degli obblighi di cooperazione nei confronti delle consorelle autorità di controllo europee, e degli altri oneri di cui dovrà rispondere nelle sue nuove vesti.
La Legge europea introduce l’articolo 110 – bis al Codice Privacy
Gli oneri a carico dell’Autorità garante sembrano moltiplicarsi grazie ancora allo stesso articolo 28 della Legge n. 167/2017 che, al comma 2, ha aggiunto al Codice Privacy l’articolo 110–bis, disciplinando il riutilizzo dei dati per finalità di ricerca scientifica e per scopi scientifici.
La disposizione garantisce al Garante un altro buon carico di lavoro riservando ad esso l’autorizzazione del nuovo trattamento dei dati, anche se sensibili (ma non genetici esclusi, senza alcuna plausibile spiegazione, dal riutilizzo), di una pletora di interessati.
Le polemiche accompagnano fin da subito il nuovo articolo del Codice Privacy e non senza motivo, atteso tra l’altro l’ambito del potere autorizzativo rimesso alle autorità di controllo nazionali da parte del GDPR, che non vi è fondata ragione di tradurre salvaguardando, ancora e nonostante il GDPR, le prerogative di quello che il Codice Privacy prevede ad oggi all’articolo 40.
La conservazione sembra proprio il fil rouge che accompagna gli interventi normativi che stanno anticipando il percorso di adeguamento della normativa nazionale al GDPR. Conservazione che non si fa scrupoli a forzare il ruolo istituzionale dell’Autorità garante pur di raggiungere i suoi obiettivi.
Tanto appare chiaro soprattutto con la nuova quanto inattesa iniziativa del legislatore.
3) La Legge di Bilancio 2018
Il capolavoro, per quanto inaspettato e bislacco, arriva con la Legge di Bilancio del 2018 pubblicata sulla Gazzetta Ufficiale il 29 dicembre dell’anno scorso ed entrata in vigore il primo gennaio 2018.
La Legge n. 205/2017 all’articolo 1, commi da 1020 a 1025, si occupa dell’Autorità garante investendola del potere di “assicurare la tutela dei diritti fondamentali e delle libertà dei cittadini” (così l’articolo 1, comma 1020, ultimo capoverso), e ciò con riferimento all’intero coordinamento dell’ordinamento interno al GDPR.
L’azzardata previsione di un potere siffatto rischierebbe di snaturare ruolo e compiti dell’Autorità garante, sia rispetto a quelli che oggi prevede il Codice Privacy (articolo 154), ma anche a quelli (articoli 58 e 59) che il GDPR riconosce alle autorità di controllo nazionali per le quali non sono previsti compiti e poteri di tutela diretta dei diritti fondamentali e delle liberà dei cittadini.
Nell’esercizio dei poteri di cui al comma 1020, il Garante, ai sensi del comma 1021 dell’articolo 1 della Legge di Bilancio, sarebbe tenuto ad adottare entro due mesi dalla sua entrata in vigore, un provvedimento che disciplini le modalità che ad essa consentiranno di monitorare l’applicazione del GDPR e di vigilare sulla sua applicazione (comma 1021, lett. a).
Il provvedimento dovrebbe risolversi nella previsione di specifici interventi dell’Autorità garante in esecuzione delle attività che la riguardano.
Essa, infatti, è chiamata a prevedere, fissandole nel provvedimento,, modalità di verifica della presenza di adeguate infrastrutture per l’interoperabilità dei formati con cui i dati sono messi a disposizione degli interessati, sia ai fini della portabilità dei dati ai sensi dell’articolo 20 del GDPR, sia ai fini dell’adeguamento tempestivo alle sue disposizioni. Tanto se il trattamento dei dati personali avvenga per via automatizzata e/o tramite tecnologie digitali (comma 1021, lett. b).
Il legislatore nazionale costruisce la sua prescrizione commettendo una serie di leggerezze soprattutto laddove sembra trascurare – ancora una volta – il lavoro che il legislatore europeo e, con esso, i garanti riuniti nel Gruppo di lavoro articolo 29 hanno compiuto e stanno compiendo per restituire un’applicazione uniforme del GDPR.
Il nostro legislatore, senza rivelarne le ragioni o il fondamento giuridico, fissa misure operative particolarmente gravose per i titolari dei trattamento tenuti ad applicarle per le finalità predicate nell’articolo 1, comma 1021, lett.b), della Legge di Bilancio.
Con quale effetto?
L’unico finora rinvenibile è quello per cui imporre l’uso di infrastrutture per l’interoperabilità dei formati con cui i dati sono messi a disposizione dell’interessato si risolverebbe per i soggetti che vi saranno tenuti in una soluzione per la prova dell’adeguamento, oltre tutto tempestivo, al GDPR del tutto incongruente, anche rispetto agli obblighi, in primis di accountability in esso previsti. Altrettanto sproporzionata è la sua previsione in relazione agli obblighi di portabilità rispetto ai quali il GDPR (e anche il Gruppo dei garanti europei) si è già espresso raccomandando di contenere l’adempimento entro limiti affrontabili, che, cioè, contemperino i diritti degli interessati e gli oneri richiesti ai titolari del trattamento per garantirli, senza sacrifici eccessivi per gli uni e per gli altri.
Non di diverso tenore sono le ulteriori modalità esecutive (dei poteri di cui al comma 1020) previste dalla disposizione in esame e che faranno anche esse parte del provvedimento di prossima adozione.
Esse prevedono in capo al Garante l’onere di predisporre modelli documentali, quali quelli riferiti alla informativa da compilare a cura dei titolari interessati, linee guida e buone prassi, con il fine di monitorare, controllare e valutare il trattamento fondato sull’interesse legittimo che prevede l’uso di nuove tecnologie o di strumenti automatizzati (comma 1021, lettere c) e d).
Le attività di verifica, in specie, si concentrano su determinati trattamenti, rispetto sia alla base giuridica che alle modalità di esecuzione degli stessi. Sarà un caso? Ai posteri l’ardua sentenza.
L’interesse del legislatore pare sicuramente rivolto ad un sempre maggiore coinvolgimento dell’Autorità garante, sui cui poteri di controllo si sofferma con dovizia di particolari senza curarsi del rischio di deviare fin troppo dal GDPR.
Il legislatore persegue i suoi fini raccogliendo stimoli dall’ampio articolato del GDPR per rintracciarvi ambiti di rischio che sottrae alla valutazione dei rimedi con cui trattarlo da parte del titolare, e che rimette di default al controllo preventivo dell’Autorità garante.
Il percorso è inevitabilmente tortuoso e svilisce di nuovo i progressi che il GDPR compie anche in continuità con l’esperienza maturata in tal senso dal Gruppo di lavoro dei garanti europei.
Esso, con il parere n. 6/2014, sottopone l’interesse legittimo ad un esame approfondito proprio quando la proposta di regolamento veniva alla luce e chiedeva di ricevere un giudizio esperto sui diversi temi in gioco.
Il Gruppo dei garanti europei, con il ridetto parere, risponde sulle modalità di valutazione dell’interesse legittimo auspicando: “di inserire nella proposta di regolamento un considerando sui fattori chiave di cui tenere conto nell’applicazione del test comparativo. Il Gruppo di lavoro “articolo 29” raccomanda altresì di aggiungere un considerando che imponga al responsabile del trattamento (n.d.r. il titolare del trattamento), ove opportuno, di documentare la sua valutazione nell’interesse di una maggiore responsabilità. Infine, il Gruppo di lavoro “articolo 29” sarebbe inoltre favorevole all’introduzione di una disposizione sostanziale che imponga ai responsabili del trattamento (n.d.r. il titolare del trattamento) di spiegare agli interessati perché ritengono che gli interessi e i diritti e le libertà fondamentali degli interessati non prevalgano sui loro interessi”.
Il GDPR risponde all’invito con l’articolo 35 che si occupa della valutazione di impatto sulla protezione dei dati rimettendola, in prima battuta e in via esclusiva se sufficientemente esauriente, al titolare del trattamento.
In base a tale disposizione “Quando un trattamento prevede l’uso di nuove tecnologie e considerati la natura, l’oggetto, il contesto e le finalità del trattamento può presentare un rischio elevato per i diritti e le libertà delle persone fisiche, il titolare del trattamento deve effettuare, prima di procedere al trattamento, una valutazione dell’impatto dei trattamenti previsti sulla protezione dei dati personali”. Solo allorché il titolare del trattamento, eseguita la valutazione di impatto, ritenga di non essere in grado di gestire l’elevato rischio per l’interessato, comunque rintracciato nel trattamento sottoposto ad analisi, il GDPR, all’articolo 36, prevede sia adita l’autorità di controllo in sede di consultazione preventiva.
In palese contrasto con la normativa europea in vigore, il legislatore nostrano si affretta a confermare in capo all’Autorità garante il potere esclusivo di operare il bilanciamento degli interessi in gioco al fine di ritracciare la legittimità di quello portato dal titolare del trattamento (così articolo 24, comma 1, lett. g) del Codice Privacy).
Discostandosi dalle prescrizioni del GDPR, il comma 1021 dell’articolo 1 della Legge di Bilancio introduce un obbligo di immediata interlocuzione con l’Autorità garante, dando per scontata l’impossibilità per il titolare di dar seguito ai suoi obblighi di verifica a fronte di trattamenti come quelli considerati dalla disposizione, ovvero fondati sull’interesse legittimo che prevede l’uso di nuove tecnologie o di strumenti automatizzati.
Il legislatore persegue i suoi fini a tutti i costi anche forzando o dando nuova vita a procedure e adempimenti previsti ancora dal Codice Privacy ma di cui non si conoscono le sorti alla scadenza del 25 maggio 2018.
E’ il caso, per esempio, dell’informativa da rendere all’Autorità garante al fine della verifica del trattamenti in questione; essa potrebbe evocare la notificazione dell’articolo 37 del Codice Privacy, abbandonata dal GDPR, ma in effetti non lo è fino in fondo perché sembra più attinente ad un interpello o ad una richiesta di verifica preliminare. Tanto in considerazione del comma 1022 dell’articolo 1 della Legge di Bilancio per cui “Il titolare di dati personali, individuato ai sensi dell’articolo 4, numero 7), del regolamento GDPR, ove effettui un trattamento fondato sull’interesse legittimo che prevede l’uso di nuove tecnologie o di strumenti automatizzati, deve darne tempestiva comunicazione al Garante per la protezione dei dati personali. A tale fine, prima di procedere al trattamento, il titolare dei dati invia al Garante un’informativa relativa all’oggetto, alle finalità e al contesto del trattamento, utilizzando il modello di cui al comma 1021”. Quello che invece è chiaro è che l’informativa non corrisponde alla comunicazione di cui all’articolo 36, terzo paragrafo, del GDPR, poiché essa presuppone il compimento della valutazione di impatto da parte del titolare del trattamento e che questi ne dia contezza, nel caso se ne verifichino le condizioni, all’autorità di controllo investita così della consultazione preventiva.
Peculiari sono anche le modalità in cui si compiono gli effetti della procedura avviata con l’informativa; anche esse, infatti, sembrerebbero combinate in modo del tutto casuale sempre al fine di restituire alla procedura una sua identità specifica e distinta. Il comma 1023 dell’articolo 1 della Legge di Bilancio prevede che l’esito della suddetta possa essere:
• l’avvio del trattamento sottoposto a verifica, trascorsi quindici giorni dall’invio dell’informativa (di cui al combinato disposto dei commi 1021 e 1022 dell’articolo 1 della Legge di Bilancio) senza che il Garante si sia espresso. A meno che questi – si presume anche successivamente a tale periodo (non è chiarito dalla disposizione in esame) – non disponga:
• la sospensione del trattamento per trenta giorni ove ravvisi il rischio che da esso derivi una lesione dei diritti e delle libertà dei soggetti interessati, al fine, altresì, di procedere con ulteriori approfondimenti anche richiedendo e ricevendo allo scopo ulteriori informazioni da parte del titolare; o addirittura
• l’inibitoria del trattamento qualora, espletata l’ulteriore istruttoria, ritenga che dal trattamento derivi comunque una lesione dei diritti e delle libertà del soggetto interessato.
Conclusioni
Le novità introdotte dalla Legge di Bilancio rischiano di aggravare il gap con il GDPR, mettendo in pericolo un adeguamento compatibile con le prerogative riconosciute agli Stati membri per procedervi. Sicuramente, allo stato, le nuove disposizioni sembrano discostarsi dalle finalità del GDPR, queste tese ad una maggiore consapevolezza e responsabilizzazione del titolare del trattamento e ad una più puntuale caratterizzazione dei poteri di indirizzo e di verifica riconosciuti alle autorità di controllo che nel loro concreto esercizio si avvalgono di direttive conformi ed uniformemente condivise tra loro con l’intento di evitare interventi troppo “personalizzati”.
Desta perplessità, infine, anche la scelta della “sede” delle nuove norme ad impatto privacy. La Legge di Bilancio (che legittima la spesa pubblica riservata all’attuazione delle attività predette nel comma 1025 dell’articolo 1) che non è il Codice Privacy e non incide sul suo articolato in revisione, e che non è neanche la Legge europea (o quella di delegazione europea) deputata a coordinare la normativa nazionale con il GDPR.
Perché mai una scelta del genere?
Le norme introdotte dalla Legge di Bilancio sembrerebbero costruite ad arte per scongiurare che l’adeguamento al GDPR avvenga senza un sostegno economico adeguato (l’articolo 13 della Legge di delegazione europea prevede sul punto, al comma 4, che “Dal presente articolo non devono derivare nuovi o maggiori oneri a carico della finanza pubblica e ad essa si provvede con le risorse umane, strumentali e finanziarie disponibili a legislazione vigente”).
La Legge di Bilancio anticipa la previsione della Commissione europea del 24 gennaio u.s. di stanziare a favore dei Garanti europei 1,7 milioni di euro, per assicurare l’implementazione del GDPR nei tempi previsti. Inoltre, preoccupata del ritardo con cui gli Stati membri stanno procedendo nell’opera di adeguamento normativo, la Commissione sollecita maggiore rigore nel concluderla entro i tempi pattuiti e di assicurarsi che gli enti preposti all’implementazione e vigilanza sul GDPR siano stati dotati delle risorse economiche e delle competenze necessarie.
Alla luce di ciò la Legge di Bilancio manterrà (o potrà mantenere) comunque le sue previsioni di spesa? E se sì ciò quale effetto avrà sulle disposizioni introdotte in materia di protezione dei dati personali?
Forse l’unico pregio che può riconoscersi alla Legge di Bilancio è quello di aver, in anticipo sulle raccomandazioni della Commissione, tentato di rimuovere l’ostacolo quanto meno economico all’opera di adeguamento normativo al GDPR. Che, però, per tutto il resto procede a rilento e la Legge di Bilancio, con le sue disposizioni di dubbia applicabilità, non aiuta a sanare il ritardo in cui si trova il nostro Paese.
L’Europa non manca di dire la sua anche su questo. La Commissaria UE alla giustizia Vera Jurova fa sentire la sua voce contro la lentezza del Governo italiano, manifestando preoccupazione sulla possibilità che l’Italia aggravi la sua posizione, già precaria, causa della campagna elettorale che sta impegnando il nostro Paese e che ormai volge al termine. La Jurova parla chiaro: “Vogliamo aiutare le autorità italiane ad accelerare ma se gli Stati membri non saranno pronti entro il 25 maggio, il regolamento inizierà comunque a essere di applicazione”. Richiama il dovere dell’amministrazione di adoperarsi comunque in tutte le attività che la riguardano senza che le elezioni, seppur importanti, ne diventino un impedimento.
I 100 giorni, o meno, non aiuteranno a definire un piano di azione soddisfacente, viste anche le sue premesse che scontano la fretta di chi le ha messe in opera rivelandosi inconcludenti e dall’esito incerto.