L’oggetto e le finalità del trattamento e l’autorità di controllo

Redazione 06/03/19
Il decreto legislativo 101/2018 si apre con due articoli dedicati ai principi, che sono estremamente importanti.

In particolare, dopo il primo articolo, il quale modifica il titolo del codice privacy specificando che esso contiene le disposizioni per adeguare l’ordinamento nazionale al Regolamento europeo ed introduce all’interno dell’elenco dei provvedimenti normativi su cui si fonda lo stesso codice sia la legge di delegazione europea del 2017, sia la legge relativa alla partecipazione dell’Italia all’attuazione della normativa europea, sia, infine, il GDPR, il successivo art. 2 modifica in maniera consistente la parte I del codice privacy che si occupa delle disposizioni generali.

Per quanto concerne l’art. 1, detta disposizione stabilisce che il trattamento dei dati personali avviene secondo le norme del Regolamento europeo e del codice privacy nel rispetto della dignità umana, dei diritti e delle libertà fondamentali della persona.

In tal modo, il legislatore – come detto – ha voluto chiarire che la normativa interna in materia di privacy ha il solo fine di integrare il GDPR laddove quest’ultimo attribuisce tale facoltà agli Stati membri e che, in ogni caso, essa deve essere sempre interpretata e applicata alla luce dei principi previsti dal Regolamento europeo. Per quanto riguarda, invece, l’art. 2 del codice privacy, in primo luogo, viene modificata l’architettura della parte I del codice la quale viene ridotta dagli originari sette titoli (rispettivamente aventi ad oggetto i principi generali, i diritti dell’interessato, le regole generali per il trattamento dei dati, i soggetti del trattamento, la sicurezza dei dati di sistemi, gli adempimenti e i trasferimento dei dati all’estero) agli attuali quattro titoli che si occupano invece delle disposizioni generali, dei principi, delle disposizioni in materia di diritti dell’interessato ed infine delle disposizioni relative al titolare del trattamento e del responsabile del trattamento.

Le novità del nuovo codice

Vengono ridotti sensibilmente anche gli articoli di cui si compone la parte I, i quali passano dai 46 previsti dal vecchio codice privacy agli attuali 16 articoli.

La motivazione che sta dietro questa sensibile riduzione normativa è da rinvenire nel fatto che, con l’applicazione del Regolamento, le disposizioni generali e i principi relativi al trattamento dei dati personali sono contenuti all’interno della suddetta normativa europea.

Nello specifico, l’articolo 2 del decreto legislativo in esame, in primo luogo, modifica la rubrica del suddetto titolo I, facendo ora riferimento ai principi e alle disposizioni generali. In secondo luogo, viene sostituito l’art. 1 del codice privacy il quale si occupa di definire l’ambito oggettivo di detto codice. In particolare, tale nuova disposizione stabilisce che il trattamento dei dati personali avviene secondo le norme del Regolamento europeo, nonché dello stesso codice privacy nazionale, nel rispetto della dignità umana, dei diritti e delle libertà fondamentali della persona.

È questo, quindi, il nuovo oggetto del decreto legislativo 30 giugno 2003, n. 196. Il legislatore ha, in tal modo, confermato il sistema dei trattamenti di dati personali che si basa sulla centralità dei diritti e delle libertà fondamentali della persona come riconosciuti sia dall’ordinamento nazionale che da quello europeo, come già del resto previsto anche prima della riforma (fatto salvo, ovviamente, il fatto che il riferimento al rispetto del codice privacy è da intendersi come diretto alla nuova formulazione del codice derivante dalle profonde innovazioni contenute nel decreto legislativo 101/2018).

L’art. 2 del codice privacy, dedicato alle finalità, viene anch’esso modificato soltanto formalmente, ma non sostanzialmente. Infatti, nella misura in cui, alla vecchia formulazione che individuava le finalità del codice nella garanzia che il trattamento dei dati personali si svolgesse nel rispetto dei diritti e delle libertà fondamentali, si sostituisce la nuova formulazione per cui l’attuale codice ha lo scopo di adeguare l’ordinamento nazionale alle disposizioni del Regolamento europeo (all’interno del quale ultimo sono espressamente contemplate dette finalità), non fa altro che indirettamente ribadire che l’obiettivo del codice privacy è quello di proteggere i diritti e le libertà fondamentali delle persone. A tale ultimo proposito, infatti, è opportuno rilevare come l’art. 1 del Regolamento europeo, dopo aver stabilito che il suo compito consiste nell’individuazione di norme relative alla protezione delle persone fisiche con riguardo al trattamento dei dati personali e di norme relative alla libera circolazione dei dati, precisa che le finalità della norma europea sono proprio quelle di proteggere i diritti e le libertà fondamentali delle persone fisiche soprattutto con riferimento alla tutela dei dati personali. La scelta compiuta dal legislatore nella costruzione dei primi due articoli è chiaramente espressiva del rapporto di subordinazione tra la normativa nazionale e quella europea: il legislatore, infatti, afferma chiaramente – come abbiamo già avuto modo di evidenziare – che il codice privacy italiano ha lo scopo e la funzione di adegua- 2 principi generali 19 re l’ordinamento nazionale alle disposizioni del Regolamento europeo e che conseguentemente le sue norme dovranno essere interpretate ed applicate in conformità alle disposizioni previste dal Regolamento europeo. Infine, l’art. 2 del decreto legislativo in esame inserisce all’interno del titolo I il nuovo articolo 2-bis dedicato all’autorità di controllo.

Il Garante per la protezione dei dati personali

In particolare, la nuova disposizione stabilisce che l’autorità di controllo nazionale, che, ai sensi dell’articolo 51 del Regolamento europeo, è deputata alla sorveglianza dell’applicazione del Regolamento per il raggiungimento dei fini da esso previsti, è il Garante per la protezione dei dati personali (che viene, successivamente, meglio disciplinato dall’articolo 153 del codice medesimo). Attraverso l’articolo 2-bis, quindi, il legislatore ha dato attuazione alla disciplina prevista dall’articolo 51 del GDPR il quale stabilisce che ogni Stato membro deve incaricare una o più autorità pubbliche indipendenti di controllare l’applicazione del Regolamento medesimo per tutelare i diritti e la libertà personale con riguardo al trattamento dei dati e agevolare la libera circolazione dei dati personali nel territorio dell’Unione. L’articolo 2-bis specifica, quindi, che detta autorità individuata dallo Stato italiano è il Garante per la protezione dei dati personali.

È significativo come il legislatore delegato abbia voluto inserire questa disposizione, attuativa dell’articolo 51 del Regolamento europeo, all’interno dei principi generali contenuti nei primissimi articoli del codice, anziché inserirla nei successivi articoli dedicati proprio alla disciplina della struttura, delle competenze e dei poteri del Garante privacy (articoli 153 e seguenti). La motivazione sembra potersi rinvenire nel fatto che, in tal modo, il legislatore ha voluto rendere maggiormente comprensibili una serie di norme poste successivamente all’articolo 2-bis, ma precedenti rispetto al citato art. 153, precisando che, anche con il nuovo codice privacy, l’autorità indipendente deputata alla sorveglianza della materia rimane il Garante per la protezione dei dati personali come era previsto anche dal vecchio codice. Infine, è opportuno rilevare come il titolo I del nuovo codice si chiuda proprio con l’articolo appena esaminato (cioè il 2-bis), in considerazione del fatto che il successivo articolo 27 del decreto legislativo 101/2018 (dedicato proprio alle abrogazioni) abroga gli artt. da 3 a 6 del vecchio codice. In particolare, detti articoli (dedicati, rispettivamente, al principio di necessità nel trattamento dei dati, alle definizioni, all’oggetto ed ambito di applicazione nonché alla disciplina del trattamento) sono stati eliminati dal nuovo codice, poiché gli articoli 2 e 3 (relativi all’ambito materiale e territoriale di applicazione), nonché gli articoli 4 e 5 (relativi alle definizioni e al principio di necessità) del Regolamento europeo disciplinano direttamente tali aspetti. 20 2 principi generali Per quanto riguarda l’ambito di applicazione materiale, il Regolamento europeo stabilisce che le disposizioni si applicano al trattamento dei dati personali, sia esso automatizzato o meno, contenuti in un archivio o destinati a figurarvi (fatta esclusione delle specifiche ipotesi tassativamente elencate dalla stessa norma, tra le quali i trattamenti effettuati per attività che non rientrano nell’ambito di applicazione del diritto dell’Unione o i trattamenti effettuati da una persona fisica per l’esercizio di attività personale o domestica) oppure quelli effettuati dalle autorità competenti a fini di prevenzione, indagine, accertamento o perseguimento di reati o esecuzione di sanzioni penali.

Per quanto riguarda, invece, l’ambito territoriale di applicazione del Regolamento europeo – come detto –, quest’ultimo estende l’applicazione della normativa in materia di privacy anche a tutti i trattamenti compiuti da soggetti stabiliti al di fuori dell’Unione europea allorquando questi riguardano dati personali di soggetti stabiliti all’interno dell’Unione europea o sono realizzati al fine di fornire a questi ultimi beni o servizi oppure a monitorarne il comportamento. Relativamente alle definizioni dei termini utilizzati all’interno del Regolamento europeo, quest’ultimo le fornisce nell’art. 4, fra le quali sono degne di nota in questa sede quella di dato personale (che consiste in qualsiasi informazione concernente una persona fisica identificata o identificabile) e quella di trattamento (il quale comprende qualsiasi operazione o insieme di operazioni compiute con o senza l’ausilio di processi automatizzati e applicate a dati personali o a insieme di dati personali, come la raccolta, la registrazione, l’organizzazione, la strutturazione, la conservazione, la modifica, la consultazione, la distruzione).

Il presente contributo è tratto

Redazione

Scrivi un commento

Accedi per poter inserire un commento