Decreto di adeguamento al GDPR: il parere del Garante


Il Garante si è espresso favorevole sullo Schema di decreto legislativo di adeguamento al GDPR non all’unanimità ma solo a maggioranza

Tempo di lettura: 14 minuti



Con un provvedimento del 22 maggio scorso (Provvedimento 22/05/2018 n° 312), il Garante si è espresso, con parere favorevole sullo Schema di decreto legislativo di adeguamento al GDPR (Disposizioni per l’adeguamento della normativa nazionale alle disposizioni del Regolamento UE 2016/679).

Nonostante il parere favorevole, molte sono state le osservazioni che l’Autorità ha espresso sul Decreto, tanto è vero che il parere non è stato espresso all’unanimità, ma solo a maggioranza (ricordiamo però che il parere seppur obbligatorio, non è vincolante).

Facciamo un passo indietro, prima di fare qualche considerazione sul provvedimento del Garante.

Lo schema di decreto legislativo di adeguamento

Lo schema di decreto legislativo di adeguamento

Si tratta del decreto legislativo in materia di protezione delle persone fisiche con riguardo al trattamento dei dati personali, previsto dall’art. 13 della legge di delegazione europea n. 163, del 25 ottobre 2017, predisposto per adeguare le disposizioni dell’ordinamento nazionale al nuovo Regolamento europeo in materia di protezione dei dati personali (Regolamento UE 2016/679).

Dallo schema emerge una variazione importate attuata dal legislatore delegato: non più un’abrogazione del vecchio Codice privacy (D.lgs. 30 giugno 2003, n. 196), ma un intervento accurato sullo stesso, volto ad eliminare gli elementi di contrasto con la nuova normativa europea.

Infatti, in un primo momento si era pensato di abrogare il nostro Codice privacy e redigerne uno nuovo: scelta che aveva incontrato non poche critiche da parte di chi ci vedeva un eccesso di delega, considerando che l’art 13, comma 3, lett. a) della L. 163/2017, delegava il Governo ad “abrogare espressamente le disposizioni del codice in materia di trattamento di dati personali…incompatibili con le disposizioni contenute nel regolamento UE 2016/679”.

E ancora, alla successiva lett. b), il legislatore è stato delegato a modificare il Codice “limitatamente a quanto necessario per dare attuazione alle disposizioni non direttamente applicabili contenute nel regolamento UE 2016/679”.

Si comprende come lo scopo della legge delega è quello di intervenire nel modo tecnicamente più appropriato al raggiungimento del fine principale della delega stessa, che resta quello di adeguare l’intero quadro normativo interno al nuovo Regolamento europeo: con la conseguenza di non dover per forza abrogare in toto il precedente, ma solo intervenire su ciò che è incompatibile.

Il legislatore delegato, quindi, si muove nel senso si un’abrogazione espressa della maggior parte delle disposizioni del Codice, poiché incompatibili con le disposizioni del Regolamento generale sulla protezione dei dati.

Si procede, inoltre, anche ad un’abrogazione di quelle disposizioni che costituiscono delle duplicazioni tra Codice e Regolamento, al fine di rendere quanto più chiara possibile la normativa.

Poi, oltre a questi interventi di abrogazione, alcune disposizioni sono introdotte ex novo ed altre vengono modificate.

Inoltre, il legislatore sceglie “di garantire la continuità facendo salvi per un periodo transitorio i provvedimenti del Garante e le autorizzazioni, che saranno oggetto di successivo riesame, nonché i Codici deontologici vigenti. Essi restano fermi nell’attuale configurazione nelle materie di competenza degli Stati membri, mentre possono essere riassunti e modificati su iniziativa delle categorie interessate quali codici di settore”.

  • Il termine per l’esercizio della delega, fissato al 21 maggio 2018, è stato prorogato al 21 agosto, per effetto dello scorrimento dei termini per l’espressione del parere parlamentare previsto dall'art. 31, comma 3, della legge n. 234 del 2012: “qualora il termine per l’espressione del parere parlamentare scada nei trenta giorni che precedono la scadenza dei termini di delega o successivamente, questi ultimi sono prorogati di tre mesi”.

È bene precisare che, la proroga al 21 Agosto 2018, non vuol dire che il GDPR non si applichi, in quanto:

  • la norma invocata prevede la possibilità di proroga solo per le direttive da recepire.
  • il GDPR è un regolamento e non deve essere recepito.

LEGGI ANCHE: Come si garantisce la privacy sul web?

Il parere del Garante

Il parere del Garante

Per quanto riguarda la “conservazione dei dati di traffico telefonico e telematico”, il Garante ha ritenuto inopportuna la conferma della deroga contenuta nell’articolo 11, comma 1, lett. i), numero 3, dello schema di decreto, all’articolo 132, commi 1 ed 1-bis del Codice, introdotta dall’articolo 24 della Legge 20 novembre 2017, n. 167, recante “Disposizioni per l’adempimento degli obblighi derivanti dall'appartenenza dell'Italia all'Unione europea - Legge europea 2017”.

Nel provvedimento si legge, infatti, che “la conferma della predetta deroga determina rilevanti criticità in ordine al rispetto del principio di proporzionalità tra esigenze investigative e limitazioni del diritto alla protezione dei dati dei cittadini, affermato dalla Corte di giustizia Ue con le sentenze Digital Rights Ireland e Tele2 e Watson”. Pertanto, il Garante invita a valutare “l’opportunità di espungere dallo schema di decreto l’articolo 11, comma 1, lett. i), numero 3, e per l’effetto il neo introdotto comma 5-bis dell'articolo 132 del Codice”.

Sotto osservazione anche l’art. 154-ter del Codice come riformulato dallo schema di decreto legislativo, “potere di agire e rappresentanza in giudizio”: l’Autorità ha posto l’attenzione soprattutto nella parte in cui si prevede che il Garante, ai sensi dell'articolo 1 del r.d. n. 1611/1933 venga rappresentato in giudizio dall’Avvocatura dello Stato alla pari di tutte le amministrazioni statali.

Sul punto l’Autorità ha precisato che “il Garante in questi anni si è costantemente avvalso dell'Avvocatura dello Stato ai sensi dell'articolo 43 del r.d. n. 1611/1933 - che prevede il patrocinio facoltativo per le amministrazioni non statali e non l’art. 1 che, invece, prevede il patrocinio obbligatorio- e intende continuare ad avvalersene nei medesimi termini, eccettuati i casi di conflitto di interessi con lo Stato o con le Regioni, come previsto dalla citata disposizione. ritiene che nell’ipotesi specifica debba essere applicato l’art. 43 del r.d. n. 1611/1933”.

Per quanto riguarda la configurazione dei nuovi illeciti penali previsti nel decreto.

In ordine all’elemento soggettivo del delitto di trattamento illecito di dati, di cui al novellato articolo 167 del Codice, il Garante sottolinea “l’opportunità di considerare, quale oggetto alternativo del dolo specifico anche il nocumento, in ragione dell’esigenza di presidiare con la sanzione penale condotte connotate da un simile disvalore, anche quando sorrette dal dolo di danno e non solo da quello di profitto”.

In relazione alla disposizione di cui al comma 6 dell’art. 167, il Garante “pur comprendendone la ratio, volta a garantire maggiore conformità al principio del ne bis in idem, ne sottolinea la parziale difformità rispetto alla norma di cui all’art. 187-terdecies del d.lgs. n. 58 del 1998, che limita l’esazione della pena pecuniaria alla parte eccedente quella riscossa dall'Autorità amministrativa, circostanza che non ricorre nella disposizione in esame”.

Per quanto riguarda la fattispecie di reato introdotte all’art. 167-bis del Codice, ha sollevato perplessità “la previsione del titolare e del responsabile del trattamento, nonché del soggetto designato a norma dell'articolo 2-terdecies, quali unici soggetti attivi del reato”, in ragione della mancata considerazione delle persone suscettibili di operare quali autorizzate al trattamento. Pertanto, il Garante ha invitato a “definire il novero dei soggetti attivi, con il termine generale "chiunque"”.

Altra critica alla scelta di abrogare l’articolo 170, recante il delitto di inosservanza di provvedimenti del Garante, “che va considerata in rapporto alle scelte compiute in sede di recepimento della direttiva (UE) 2016/680 e, in particolare, all’introduzione, in quella sede disposta, di una norma incriminatrice dell'inosservanza dei provvedimenti del Garante, del tutto analoga all'attuale articolo 170”.

Pertanto, “qualora tale ultima norma venisse abrogata, si determinerebbe un’irragionevole disparità di trattamento, per cui l’inadempimento del medesimo provvedimento del Garante, se imputabile ad organi incaricati di funzioni di accertamento, prevenzione, repressione dei reati, integrerebbe gli estremi di tale delitto, mentre se imputabile a qualsiasi altro soggetto rileverebbe esclusivamente ai fini sanzionatori amministrativi”.

Il parere del Garante: trattamenti particolari

Con riferimento ai “trattamenti particolari”: in primo luogo, il Garante suggerisce “un’integrazione dell'articolo 2-sexies che disciplina il trattamento di dati particolari (già "sensibili" in base al previgente Codice) per "motivi di interesse pubblico rilevante" ai sensi dell'articolo 9, par. 1, lett. g) del GDPR, riproducendo in maniera sostanzialmente inalterata il regime normativo previsto al previgente articolo 20 del Codice per i trattamenti di dati sensibili effettuati da soggetti pubblici”.

Infatti, il Regolamento richiede che per il trattamento di tali dati, il diritto nazionale individui “misure appropriate e specifiche per tutelare i diritti fondamentali e gli interessi dell'interessato”.

Tuttavia, il comma 1 del nuovo articolo 2-sexies si limita a prevedere che la “legge o, nei casi previsti dalla legge, il regolamento, specifichino i tipi di dati che possono essere trattati, le operazioni eseguibili e il motivo di interesse pubblico rilevante”, senza più richiedere, come previsto dall’analogo articolo 20 del Codice il parere conforme del Garante sull’atto da adottare.

Non sono inoltre previsti i necessari richiami al fatto che l’atto normativo debba contenere anche le specifiche misure a tutela degli interessati richieste dal Regolamento.

Con riferimento “al trattamento dei dati biometrici per finalità di sicurezza”: l’art. 9 del Regolamento - che ha inserito i dati biometrici nella categoria dei dati particolari, vietandone, in via generale, il relativo trattamento, prevede, con riguardo all’impiego in ambito lavoristico, che il trattamento sia consentito quando "necessario per assolvere gli obblighi ed esercitare i diritti specifici del titolare del trattamento o dell'interessato in materia di diritto del lavoro e della sicurezza sociale e protezione sociale, nella misura in cui sia autorizzato dal diritto dell'Unione o degli Stati membri o da un contratto collettivo ai sensi del diritto degli Stati membri, in presenza di garanzie appropriate per i diritti fondamentali e gli interessi dell'interessato".

Attraverso questa disposizione si limita la possibilità di impiegare tecniche biometriche nel contesto lavorativo e potenzialmente non consente di utilizzare sistemi biometrici anche per finalità di autenticazione informatica.

Sulla base si ciò, il Garante suggerisce di” inserire, all'interno dell’articolo 2-septies, un comma 6-bis, che legittimi ai sensi dell'articolo 9, par. 2 lett. b) del Regolamento, le tecniche di riconoscimento biometrico per specifiche finalità di sicurezza, in aggiunta o in sostituzione degli ordinari sistemi di autenticazione informatica, basati su informazioni nella disponibilità cognitiva (password, user id) o su dispositivi (badge, token). Ciò peraltro in armonia a quanto già prescritto o autorizzato, in alcuni casi, dal Garante nel vigente quadro normativo (in applicazione della sopra citata regola 2 dell'allegato B al Codice)”.

Riguardo al “consenso del minore”: in relazione ai servizi della società dell’informazione, il Garante non condivide l’indicazione in base alla quale in tale ambito è consentito il trattamento dei dati personali del minore di età inferiore a sedici anni, “poiché tale limite non appare coerente con altre disposizioni dell'ordinamento che individuano, invece, a quattordici anni il limite di età consentito per esercitare determinate azioni giuridiche.

Si pensi, fra le tante, alle disposizioni in materia di cyberbullismo che consentono al minore ultraquattordicenne di esercitare i diritti previsti a propria tutela contro atti di cyberbullismo nei suoi confronti”.

Con riferimento al “riutilizzo di dati a fini di ricerca scientifica o a fini statistici”: la nuova formulazione dell’art. 110-bis contenuta del decreto, non convince il Garante, ritenendo che il concetto di riutilizzo sembri coincidere con quello di utilizzo da parte di terzi, a fini commerciali o non commerciali, diversi da quelli iniziali per i quali le informazioni sono state prodotte, e riguarda soltanto i documenti contenenti dati pubblici (indipendentemente dal fatto che si tratti di dati personali o meno) nella disponibilità di pubbliche amministrazioni e di organismi di diritto pubblico.

Pertanto, “se la nozione di riutilizzo andasse interpretata alla luce della predetta disciplina essa non potrebbe estendersi, in generale, ai dati sensibili e giudiziari e, in particolare, a quelli attinenti alla salute e alla vita sessuale, per il trattamento dei quali il Regolamento individua particolari condizioni e limiti (cfr. artt. 9 e 10)”.

Queste sono alcune delle indicazioni fornite dal Garante sullo schema di decreto. L’Autorità in alcuni casi ha semplicemente suggerito delle integrazioni, in altri delle modifiche più radicali al fine di risolvere criticità e dubbi interpretativi. Trattandosi di un parere non vincolante però, vedremo quali di questi suggerimenti vengano accolti.

Clicca su Mi piace!


Categoria

Privacy

ARTICOLI CONSIGLIATI


Scopri nel video come gestire al meglio il tuo studio legale

La registrazione è stata effettuata, a breve verrà verificata dallo staff.

Riceverai l'email di accesso da cui potrai scaricare LEGALDESK.

Ora verrai rediretto alla home page.