Schema decreto attuativo GDPR, ok dal Garante Privacy

Redazione 24/05/18
Con provvedimento del 22 maggio 2018, su richiesta della Presidenza del Consiglio, il Garante per la Protezione dei dati personali ha reso il proprio parere favorevole sullo schema di decreto legislativo recante disposizioni per l’adeguamento della normativa nazionale alle disposizioni del Regolamento UE 2016/679 (GDPR), relativo alla protezione delle persone fisiche con riguardo al trattamento dei dati personali, nonché alla libera circolazione di tali dati.

Nel suddetto parere, al fine di rendere il decreto pienamente conforme alle disposizioni del Regolamento europeo, il Garante ha rappresentato l’opportunità di apporre alcune modifiche ed integrazioni. Questi, nello specifico, i profili di interesse evidenziati:

Conservazione dei dati di traffico telefonico e telematico

L’articolo 11, comma 1, lett. i), numero 3, dello schema di decreto, conferma la deroga all’articolo 132, commi 1 ed 1-bis del Codice, introdotta dall’articolo 24 della legge 20 novembre 2017, n. 167, recante “Disposizioni per l’adempimento degli obblighi derivanti dall’appartenenza dell’Italia all’Unione europea – Legge europea 2017“. Come noto, tale disposizione ha prolungato fino a 72 mesi il termine di conservazione dei dati di traffico telefonico e telematico, nonché dei dati relativi alle chiamate senza risposta, “al fine di garantire strumenti di indagine efficace in considerazione delle straordinarie esigenze di contrasto del terrorismo, anche internazionale, per le finalità dell’accertamento e della repressione dei reati di cui agli articoli 51, comma 3-quater, e 407, comma 2, lettera a), del codice di procedura penale”.

La conferma della predetta deroga determina rilevanti criticità – come già segnalato nel parere del 22 febbraio 2018 reso sullo schema di decreto di recepimento della direttiva (UE) 2016/680 – in ordine al rispetto del principio di proporzionalità tra esigenze investigative e limitazioni del diritto alla protezione dei dati dei cittadini, affermato dalla Corte di giustizia Ue con le sentenze Digital Rights Ireland (resa in data 8 aprile 2014 nelle cause riunite C-293/12 e C-594/12,) e Tele2 e Watson (resa il 21 dicembre 2016, nelle cause riunite C 203/15 e C 698/15).

In ragione della incompatibilità della deroga con il principio di proporzionalità (come interpretato dalla Corte di giustizia nelle richiamate sentenze) e al fine di garantire la piena conformità dell’ordinamento interno al diritto dell’Unione europea, si valuti l’opportunità di espungere dallo schema di decreto l’articolo 11, comma 1, lett. i), numero 3, e per l’effetto il neo introdotto comma 5-bis dell’articolo 132 del Codice.

Per completare il riassetto normativo in questione, è, inoltre, necessario anche abrogare espressamente l’art. 24 della legge 20 novembre 2017, n. 167.

Disposizioni del CAD in materia di Piattaforma digitale nazionale dati

L’articolo 50-ter del Codice dell’Amministrazione Digitale (infra: Cad), introdotto dal decreto legislativo 13 dicembre 2017, n. 217, prevede che la Presidenza del Consiglio dei ministri promuova la progettazione, lo sviluppo e la sperimentazione di una Piattaforma Digitale Nazionale Dati, finalizzata a favorire la conoscenza e l’utilizzo del patrimonio informativo detenuto, per finalità istituzionali, dai soggetti pubblici di cui all’articolo 2, comma 2, lettera a) del Cad, ad esclusione delle autorità amministrative indipendenti di garanzia, vigilanza e regolazione, nonché alla condivisione dei dati tra i soggetti che hanno diritto ad accedervi ai fini della semplificazione degli adempimenti amministrativi dei cittadini e delle imprese. In sede di prima applicazione, la sperimentazione della Piattaforma Digitale Nazionale Dati è affidata al Commissario straordinario per l’attuazione dell’Agenda digitale. A tal fine il Commissario straordinario per l’attuazione dell’Agenda digitale provvede ad acquisire i dati, a organizzarli e conservarli.

La norma in questione suscita preoccupazione. La pur necessaria valorizzazione del patrimonio informativo pubblico non deve, infatti, avvenire a discapito della tutela dei diritti fondamentali e con possibili ricadute anche in termini di sicurezza nazionale.

In considerazione delle gravi criticità – già segnalate al Governo – sottese alla realizzazione di una così rilevante concentrazione, presso un unico soggetto, di informazioni, anche sensibili e sensibilissime, con evidenti rischi di usi distorti e accessi non autorizzati, nonché dell’esigenza di adeguare il quadro normativo nazionale al Regolamento, si ritiene necessario aggiungere, all’interno dell’articolo 22 dello schema, una disposizione volta a modificare l’articolo 50–ter del Cad come segue: “All’articolo 50-ter, del decreto legislativo 7 marzo 2005, n. 82 sono apportate le seguenti modificazioni: a) al comma 1, la parola “condivisione” è sostituita dalla seguente: “comunicazione”; b) al comma 3, le parole “ad acquisire” sono sostituite dalle seguenti : “rendere disponibili”, le parole “organizzarli e conservarli, ” sono soppresse, e la parola “condivisione” è sostituita dalla seguente: “comunicazione”; c) al comma 4, la parola “condivisione” è sostituita dalla seguente: “comunicazione” e le parole “per le finalità di cui al comma 3” sono sostituite dalle seguenti: “per tali finalità”; d) il comma 5 è sostituito dal seguente: “5. Nella Piattaforma di cui al comma 1 non sono duplicati gli archivi contenenti dati personali dei soggetti di cui all’articolo 2, comma 2, lettera a), del presente decreto.”.

Patrocinio del Garante

L’articolo 154-ter del Codice così come modificato dallo schema di decreto legislativo (“Potere di agire e rappresentanza in giudizio”) chiarisce che il Garante è legittimato ad esercitare azioni giudiziarie nei confronti del titolare o del responsabile del trattamento in caso di violazione delle disposizioni in materia di protezione dei dati personali. Viene altresì specificato che il Garante è rappresentato in giudizio dall’Avvocatura dello Stato ai sensi dell’articolo 1 del r.d. n. 1611/1933. Nell’ipotesi in cui quest’ultima non ne possa assumere il patrocinio, il Garante agisce in giudizio tramite proprio personale iscritto all’elenco speciale degli avvocati dipendenti da enti pubblici o mediante avvocati del libero foro.

Al riguardo, si precisa preliminarmente che il Garante in questi anni si è costantemente avvalso dell’Avvocatura dello Stato ai sensi dell’articolo 43 del r.d. n. 1611/1933 secondo quanto previsto dall’articolo 17 del Regolamento di organizzazione del Garante n. 1/2000, e intende continuare ad avvalersene nei medesimi termini, eccettuati i casi di conflitto di interessi con lo Stato o con le Regioni, come previsto dalla citata disposizione.

L’articolo 1 del r.d. n. 1611/1933 –cui la disposizione che lo schema intende introdurre nel Codice si riferisce – prevede il patrocinio obbligatorio dell’Avvocatura per le Amministrazioni dello Stato; il successivo articolo 43, invece, disciplina il cd. patrocinio facoltativo per le Amministrazioni non statali autorizzate ad avvalersene. Si ritiene che al Garante debba essere applicata più correttamente tale ultima disposizione (patrocinio facoltativo).

E’ utile evidenziare che la formulazione dell’articolo 17 del Regolamento n. 1/2000 ricalca pedissequamente quella dell’articolo 22 del precedente Regolamento sull’organizzazione e il funzionamento dell’Ufficio del Garante, approvato con D.P.R. 31 marzo 1998, n. 501, con il parere del Consiglio di Stato. In altri termini, la scelta del patrocinio facoltativo non è stata frutto di una decisione della sola Autorità che se ne avvale, ma è stata effettuata all’origine dal Governo, evidentemente proprio in ragione della natura e delle funzioni del Garante, come, tra l’altro, è avvenuto per la Consob e l’Ivass.

Infine, si tenga comunque presente che, in occasione di un contenzioso giudiziario avverso un provvedimento del Garante, è stato eccepito che la normativa italiana non soddisfa il requisito della piena indipendenza del Garante nella parte in cui prevede che lo stesso sia difeso dall’Avvocatura generale dello Stato. Per tale motivo, è stata presentata e pende tuttora una denuncia per infrazione contro la Repubblica Italiana presso la Commissione europea – CHAP (2016)00255 (fascicolo ricorrente Tribunale C)- per violazione dell’articolo 8 della Carta dei diritti fondamentali dell’Unione europea e dell’articolo 28, par. 1, secondo comma, della direttiva 95/46/CE.

Illeciti penali e amministrativi

In ordine all’elemento soggettivo del delitto di trattamento illecito di dati, di cui al novellato articolo 167 del Codice, si valuti l’opportunità di considerare, quale oggetto alternativo del dolo specifico anche il nocumento, in ragione dell’esigenza di presidiare con la sanzione penale condotte connotate da un simile disvalore, anche quando sorrette dal dolo di danno e non solo da quello di profitto. Tale modifica consentirebbe inoltre di assicurare una maggiore continuità normativa con la fattispecie vigente e di evitare gli effetti (anche sui processi in corso) dell’abolitio criminis che si dovesse ravvisare, in parte qua, per effetto della novellazione proposta.

In relazione alla disposizione di cui al comma 6 dell’articolo 167- pur comprendendone la ratio, volta a garantire maggiore conformità al principio del ne bis in idem – si rileva la parziale difformità rispetto alla norma di cui all’art. 187-terdecies del d.lgs. n. 58 del 1998, che limita l’esazione della pena pecuniaria “alla parte eccedente quella riscossa dall’Autorità amministrativa”; circostanza che non ricorre nella disposizione in esame.

In relazione alle fattispecie di reato introdotte all’articolo 167-bis del Codice, la previsione del titolare e del responsabile del trattamento, nonché del soggetto designato a norma dell’articolo 2-terdecies, quali unici soggetti attivi del reato, solleva perplessità in ragione della mancata considerazione delle persone suscettibili di operare quali autorizzate al trattamento. Si valuti, pertanto, l’opportunità di definire il novero dei soggetti attivi – analogamente a quanto disposto per le altre fattispecie, anche in sede di recepimento della direttiva (UE) 2016/680 – con il termine generale “chiunque”.

Si valuti, inoltre, in analogia con quanto osservato in relazione all’art. 167, di considerare, quale oggetto alternativo del dolo specifico anche il nocumento, in ragione dell’opportunità di assistere con la sanzione penale condotte connotate da un simile disvalore anche quando sorrette dal dolo di danno e non solo da quello di profitto. Nella fattispecie di cui all’articolo 167, del resto, il nocumento, ancorché non ricompreso nell’ambito del dolo specifico (come pure auspicato), è comunque oggetto del dolo diretto del soggetto attivo, essendo configurato come elemento costitutivo del reato. Pertanto, agli articoli 167-bis e 167-ter, comma 1, dopo le parole “al fine di trarre profitto per sé o per altri” si suggerisce di aggiungere le parole “ovvero al fine di arrecare danno all’interessato”.

L’abrogazione dell’articolo 170 – recante il delitto di inosservanza di provvedimenti del Garante – va considerata in rapporto alle scelte compiute in sede di recepimento della direttiva (UE) 2016/680 e, in particolare, all’introduzione, in quella sede disposta, di una norma incriminatrice dell’inosservanza dei provvedimenti del Garante, del tutto analoga all’attuale articolo 170.

Qualora, quindi, tale ultima norma venisse abrogata, si determinerebbe l’irragionevole conseguenza per cui l’inadempimento del medesimo provvedimento del Garante, se imputabile ad organi incaricati di funzioni di accertamento, prevenzione, repressione dei reati, integrerebbe gli estremi di tale delitto, mentre se imputabile a qualsiasi altro soggetto rileverebbe esclusivamente ai fini sanzionatori amministrativi (art. 83, par. 5, lett. e) Reg.).

Tale disparità di trattamento solleva perplessità, segnatamente, in ordine al rispetto del principio di eguaglianza-ragionevolezza, dal momento che alla medesima condotta, lesiva dello stesso bene giuridico (la piena effettività delle funzioni del Garante), si applicherebbero due regimi sanzionatori estremamente diversi, solo in ragione della natura soggettiva del titolare e del contesto in cui sia realizzato il trattamento (attività di polizia o giustizia penale, ovvero ogni altro ambito). Elementi, questi, inidonei a giustificare, di per sé soli, tali differente regime sanzionatorio.

Si invita pertanto a una ulteriore riflessione sul punto, al fine di adottare una soluzione che eviti ingiustificate disparità di trattamento, pur nel rispetto del divieto di bis in idem richiamato dal considerando 150 del Regolamento. Nel caso si intenda far rivivere la disposizione incriminatrice, si suggerisce di individuare i provvedimenti del Garante così presidiati in ragione della loro rilevanza, richiamando, in particolare, l’articolo 58, par. 2, lett. f), del Regolamento e gli articoli 2-septies, comma 1 del Codice, e 21, comma 1, dello schema di decreto legislativo.

L’articolo 166 del Codice (concernente le sanzioni amministrative pecuniarie), nella nuova formulazione proposta, ai commi 1 e 2 individua le disposizioni del decreto legislativo n. 196/2003 la cui violazione è sanzionata, rispettivamente, ai sensi dell’articolo 83, par. 4 o par. 5 del Regolamento a seconda della gravità della violazione. Al riguardo, si evidenziano una serie di criticità che andrebbero riviste anche al fine di un migliore coordinamento con le restanti norme del testo.

Innanzitutto, l’articolo 124 (Fatturazione dettagliata) risulta inserito sia al comma 1 che al comma 2, segno evidente di un refuso. Essendo le disposizioni ivi contenute riconducibili all’esercizio dei diritti da parte dell’interessato, la cui violazione è sanzionata ai sensi del par. 5 dell’articolo 83 del Regolamento, il riferimento all’articolo 124 sarebbe da collocare, più correttamente, al comma 2 dell’articolo 166 (violazioni più gravi).

Inoltre, si ritiene auspicabile inserire al comma 1, tra le condotte sanzionabili, quelle che si pongono in contrasto con il comma 1 dell’articolo 110 del Codice. Diversamente, la mancata conduzione di una valutazione d’impatto e la mancata attivazione, ove necessario, della consultazione preventiva dell’Autorità, ai sensi degli articoli 35 e 36 del Regolamento, previste dall’articolo 110, comma 1, nel caso in cui il trattamento di dati sanitari a fini di ricerca medica, biomedica ed epidemiologica sia effettuato in assenza del consenso degli interessati, al fine di consentire di realizzare un ponderato bilanciamento dei vari interessi in gioco, rimarrebbe priva di conseguenze.

In tale quadro, attesa la particolare delicatezza dei trattamenti disciplinati dall’articolo 110-bis, aventi ad oggetto il “riutilizzo” dei dati a fini di ricerca scientifica o a fini statistici, in assenza del consenso degli interessati e previa autorizzazione del Garante, andrebbe prevista espressamente la sanzionabilità anche della violazione delle disposizioni del comma 2 dell’articolo 110-bis che richiedono l’autorizzazione del Garante, nonché della violazione delle prescrizioni impartite con tale autorizzazione. A tal fine, andrebbe quindi citata questa disposizione nell’elenco di cui al comma 2 dell’art. 166. Sempre in materia di ricerca scientifica, risulta invece inopportuna e sproporzionata l’inclusione, tra le condotte sanzionabili, della fattispecie di cui all’articolo 110, comma 2, del Codice, in quanto tale norma si limita ad indicare specifiche modalità con cui possono essere effettuate l’eventuale rettificazione e integrazione dei dati richieste dall’interessato, tenuto conto delle peculiarità del contesto di riferimento.

Al comma 2 non risulta pertinente la citazione dell’articolo 152 tra le fattispecie sanzionabili, atteso che tale disposizione si limita a individuare nell’autorità giudiziaria ordinaria il soggetto deputato a dirimere le controversie in materia di protezione dei dati personali; pertanto si suggerisce la sua eliminazione.

Si suggerisce, altresì, di citare tra le fattispecie sanzionate di cui all’articolo 166, comma 2, anche la mancata osservanza dell’articolo 157 del Codice (mancato riscontro alla richiesta di informazioni o esibizione di documenti al Garante). Tale fattispecie, già sanzionata nella disciplina previgente, andrebbe ripristinata anche al fine di allineare il quadro sanzionatorio con quanto previsto dal Regolamento. Quest’ultimo, all’articolo 83, par. 5, infatti, sanziona la mancata osservanza dell’articolo 58, par. 1, ai sensi del quale viene disciplinata tale attività istruttoria da parte delle autorità di controllo nell’ambito dei poteri di indagine ad esse attribuiti. Peraltro, al medesimo comma 2 appare opportuno sopprimere le parole: “e delle modalità tecniche”, dal momento che esse (diversamente dalle misure di garanzia e dalle regole deontologiche) non costituiscono l’oggetto delle norme di cui agli articoli 2-septies e 2-quater ai quali la norma si riferisce.

Al fine di rendere coerente le disposizioni con il resto dell’ordinamento, si ritiene opportuno citare tra le fattispecie sanzionate, oltre a quelle individuate al comma 3 (violazione delle disposizioni in materia di registro pubblico delle opposizioni, che attualmente rinviano all’articolo 162, comma 2-quater, del Codice il quale verrà soppresso), anche quelle di cui all’articolo 5-ter del d.lgs. 14 marzo 2013, n. 33, visto che quest’ultimo rinvia all’articolo 162, comma 2-bis del Codice parimenti destinato alla soppressione.

Trattamenti particolari

Trattamenti in ambito pubblico

L’articolo 2-sexies disciplina il trattamento di dati particolari (già “sensibili” in base al previgente Codice) per “motivi di interesse pubblico rilevante” ai sensi dell’articolo 9, par. 1, lett. g) del Regolamento, riproducendo in maniera sostanzialmente inalterata il regime normativo previsto al previgente articolo 20 del Codice per i trattamenti di dati sensibili effettuati da soggetti pubblici.

Il Regolamento richiede che, per il trattamento di tali dati, il diritto nazionale individui “misure appropriate e specifiche per tutelare i diritti fondamentali e gli interessi dell’interessato”. Tuttavia il comma 1 del nuovo articolo 2-sexies si limita a prevedere che la “legge o, nei casi previsti dalla legge, il regolamento, specifichino i tipi di dati che possono essere trattati, le operazioni eseguibili e il motivo di interesse pubblico rilevante” senza più richiedere, come previsto dall’analogo articolo 20 del Codice il parere conforme del Garante sull’atto da adottare. Non sono inoltre previsti i necessari richiami al fatto che l’atto normativo debba contenere anche le specifiche misure a tutela degli interessati richieste dal Regolamento (e previste ad esempio anche dall’art. 2-octies per i “dati giudiziari”). Al riguardo si propone di modificare il comma 1 come segue: 1. trattamenti delle categorie particolari di dati personali di cui all’articolo 9, paragrafo 1, del Regolamento, necessari per motivi di interesse pubblico rilevante ai sensi della lettera g), paragrafo 2, del medesimo articolo, sono ammessi qualora siano previsti dal diritto dell’Unione europea ovvero, nell’ordinamento interno, da disposizioni di legge o, nei casi previsti dalla legge, di regolamento, adottato in conformità al parere espresso dal Garante anche su schemi tipo, che specifichino i tipi di dati che possono essere trattati, le operazioni eseguibili e il motivo di interesse pubblico rilevante, nonché le misure appropriate e specifiche per tutelare i diritti fondamentali e gli interessi dell’interessato.”

Inoltre, si segnala che nella disposizione in esame, tra le finalità di rilevante interesse pubblico elencate non si rinvengono, né sembra possibile ricavarle in via interpretativa, quelle di “programmazione, gestione, controllo e valutazione dell’assistenza sanitaria” e quelle sulla “vigilanza sulle sperimentazioni, farmacovigilanza, autorizzazione all’immissione in commercio e all’importazione di medicinali e di altri prodotti di rilevanza sanitaria” (artt. 85, comma 1, lett. b e c del Codice e 9, par. 2, lett. h del Regolamento), che si suggerisce invece di prevedere. Analogamente, al comma 2, lett. e) della predetta disposizione, andrebbero menzionate anche le finalità di “documentazione dell’attività istituzionale di organi pubblici”, di “esercizio del mandato degli organi rappresentativi, ivi compresa lo loro sospensione o il loro scioglimento, nonché l’accertamento delle cause di ineleggibilità, ncompatibilità o di decadenza, ovvero di rimozione o sospensione da cariche pubbliche” (cfr. art. 65 del Codice abrogato dallo schema in esame).

Al comma 2, lett. v), viene specificato che i rapporti di lavoro nell’ambito dei quali si effettuano i trattamenti riguardano “soggetti che svolgono compiti di interesse pubblico o connessi all’esercizio di pubblici poteri”. Poiché tutti i trattamenti disciplinati dall’articolo in esame sono effettuati da tali categorie di soggetti, per i diversi compiti di “rilevante interesse pubblico” indicati in tutte le lettere di cui al comma 2, per evitare equivoci interpretativi si ritiene opportuno che l’inciso in questione sia collocato, più correttamente, nell’alinea del comma 2 secondo la riformulazione che si suggerisce: “2. Fermo quanto previsto dal comma 1, si considera rilevante l’interesse pubblico relativo a trattamenti effettuati da soggetti che svolgono compiti di interesse pubblico o connessi all’esercizio di pubblici poteri nelle seguenti materie:”.

Misure di garanzia per il trattamento dei dati genetici, biometrici e relativi alla salute

L’articolo 2-septies introdotto nel Codice dall’articolo 2, comma 1, lettera e) dello schema di decreto, in attuazione di quanto previsto dall’articolo 9, paragrafo 4, del Regolamento, stabilisce che i dati genetici, biometrici e relativi alla salute, possono essere oggetto di trattamento in presenza di una delle condizioni di cui al paragrafo 2 del medesimo articolo ed in conformità alle misure di garanzia disposte dal Garante.

In proposito, si ritiene opportuno specificare le misure che potranno essere adottate dal Garante e al riguardo si suggerisce di integrare il comma 5 della menzionata disposizione inserendo dopo le parole “è consentito” il seguente periodo: “In particolare, le misure di garanzia individuano le misure di sicurezza, ivi comprese tecniche di cifratura e di pseudonimizzazione, misure di minimizzazione, specifiche modalità di accesso selettivo ai dati e per rendere le informazioni agli interessati, nonché eventuali altre misure necessarie a garantire i diritti degli interessati.”.

Pur nella consapevolezza della sua funzionalità a confermare la vigenza di norme del Codice non incompatibili con il Regolamento, desta tuttavia perplessità l’elencazione, al comma 4, con finalità meramente esemplificativa, delle materie rispetto alle quali il Garante possa adottare misure di garanzia, dovendo come noto preferirsi, nei testi normativi, elencazioni tassative al fine di ridurre i margini di discrezionalità dell’interprete, suscettibile di pregiudicare la necessaria certezza del diritto. Si invita pertanto il Governo a valutare l’opportunità di sopprimere o quantomeno modificare tale disposizione.

Al comma 6, secondo periodo, è opportuno sostituire le parole: “Per i” con le seguenti: “Limitatamente ai”, al fine di chiarire che il consenso quale ulteriore misura di garanzia può essere previsto esclusivamente con riferimento ai dati genetici.

Trattamento di dati biometrici per finalità di sicurezza

L’articolo 9 del Regolamento, che ha inserito i dati biometrici nella categoria dei dati “particolari” (già “sensibili”) vietandone, in via generale, il relativo trattamento, prevede, con riguardo all’impiego in ambito lavoristico, che il trattamento sia consentito quando “necessario per assolvere gli obblighi ed esercitare i diritti specifici del titolare del trattamento o dell’interessato in materia di diritto del lavoro e della sicurezza sociale e protezione sociale, nella misura in cui sia autorizzato dal diritto dell’Unione o degli Stati membri o da un contratto collettivo ai sensi del diritto degli Stati membri, in presenza di garanzie appropriate per i diritti fondamentali e gli interessi dell’interessato” (art. 9, par. 2, lett. b), Reg. e considerando da 51 a 53).

Questa disposizione limita quindi in modo rilevante, rispetto al passato, la possibilità dell’impiego di tecniche biometriche nel contesto lavorativo e potenzialmente non consente di utilizzare sistemi biometrici anche per finalità di autenticazione informatica. Al riguardo infatti, con l’abrogazione del Disciplinare tecnico in materia di misure minime di sicurezza, allegato B) al Codice, verrebbe meno anche l’attuale base normativa, ivi contenuta, che ammetteva questa possibilità (regola 2). Al riguardo, si propone quindi di inserire, all’interno dell’articolo 2-septies, un comma 6-bis, che legittimi ai sensi dell’articolo 9, par. 2 lett. b) del Regolamento, le tecniche di riconoscimento biometrico per specifiche finalità di sicurezza, in aggiunta o in sostituzione degli ordinari sistemi di autenticazione informatica, basati su informazioni nella disponibilità cognitiva (password, user id) o su dispositivi (badge, token). Ciò peraltro in armonia a quanto già prescritto o autorizzato, in alcuni casi, dal Garante nel vigente quadro normativo (in applicazione della sopra citata regola 2 dell’allegato B al Codice).

La disposizione fa, in ogni caso, salva la successiva e puntuale individuazione, da parte del Garante, dei casi che possono trovare nella stessa il presupposto di liceità, nonché delle misure di garanzia e delle ulteriori condizioni di liceità dei conseguenti trattamenti nell’ambito dell’emanando provvedimento previsto dall’articolo 2-septies. Attraverso tale norma si intende così autorizzare il trattamento di dati biometrici quando le esigenze di sicurezza e integrità dei sistemi o delle aree (ad esempio, dei locali ove sono custoditi dati e informazioni di particolare delicatezza) richiedono un maggior grado di certezza dell’identità del soggetto legittimato all’utilizzo di sistemi o all’accesso alle aree indicate, anche al fine di scongiurare il rischio di cessione illegittima o di furto di credenziali.

Si propone quindi di inserire, all’interno dell’articolo 2-septies, un comma del seguente tenore:

“6.bis. Ai fini del rispetto dei principi in materia di protezione dei dati personali, con riferimento agli obblighi di cui articolo 32 del Regolamento, è ammesso l’utilizzo dei dati biometrici con riguardo alle procedure di accesso fisico e logico ai dati da parte dei soggetti autorizzati, nel rispetto delle misure di garanzia e nei casi individuati ai sensi del presente articolo.”.

Consenso del minore

Con riferimento all’art. 2-quinquies del Codice come modificato dallo schema di decreto, si osserva, in relazione ai servizi della società dell’informazione, che l’indicazione in base alla quale in tale ambito è consentito “il trattamento dei dati personali del minore di età inferiore a sedici anninon appare coerente con altre disposizioni dell’ordinamento che individuano, invece, a quattordici anni il limite di età consentito per esercitare determinate azioni giuridiche. Si pensi, fra le tante, alle disposizioni in materia di cyberbullismo che consentono al minore ultraquattordicenne di esercitare i diritti previsti a propria tutela contro atti di cyberbullismo nei suoi confronti (v. art. 2, c. 1, l. n. 71 del 2017). O si pensi al diritto del minore ultraquattordicenne di prestare il proprio consenso all’adozione (art. 7, c. 2, l. n. 184 del 1983). Parrebbe pertanto incoerente ammettere il quattordicenne a prestare il proprio consenso per essere adottato, ma non per iscriversi a un social network.

Limitazione ai diritti dell’interessato

In relazione all’articolo 2-decies, si segnala la necessità di espungere il riferimento al “responsabile del trattamento” in quanto i diritti di cui agli articoli da 15 a 22 del Regolamento sono esercitabili solo nei confronti del titolare del trattamento. Inoltre, con riferimento sia all’articolo 2-decies, comma 3, sia all’articolo 2-undecies, comma 2, occorre inserire dopo le parole “l’esercizio dei medesimi diritti può, in ogni caso, essere ritardato, limitato o escluso con comunicazione motivata e senza ritardo all’interessato” le parole “a meno che ciò possa compromettere le finalità della comunicazione medesima”. Ciò in quanto l’ostensione di informazioni all’interessato, ove non sia prevista la possibilità di una loro limitazione, potrebbe vanificare la ratio della norma che comprime l’esercizio del diritto di accesso ai dati personali in presenza di interessi ritenuti di particolare tutela. Peraltro, tale previsione risulta anche coerente con quanto previsto dall’articolo 23, par. 2, lett. h), del Regolamento.

Riutilizzo di dati a fini di ricerca scientifica o a fini statistici

Riguardo all’articolo 110-bis, pur apprezzando l’intenzione del legislatore di inquadrare a livello sistematico le norme sul riutilizzo dei dati a fini di ricerca scientifica o a fini statistici introdotte dall’articolo 28 della legge europea n. 167 del 2017, tale disposizione per la sua formulazione solleva alcuni dubbi interpretativi.

In primo luogo, riguardo alla nozione diriutilizzo” che non viene definita dal decreto e che pare incompatibile con quella contenuta nella normativa vigente sul riutilizzo delle informazioni del settore pubblico. Il riutilizzo a norma della predetta disciplina, richiamata peraltro anche nel considerando 154 del Regolamento, coincide infatti con l’utilizzo da parte di terzi, a fini commerciali o non commerciali, diversi da quelli iniziali per i quali le informazioni sono state prodotte, e riguarda soltanto i documenti contenenti dati pubblici (indipendentemente dal fatto che si tratti di dati personali o meno) nella disponibilità di pubbliche amministrazioni e di organismi di diritto pubblico. Sono quindi esclusi dal campo di applicazione del riutilizzo, così inteso, i dati personali che non godono di un generale regime di conoscibilità ovvero quelli la cui conoscibilità è subordinata al rispetto di determinati limiti o modalità, in base alle leggi, ai regolamenti o alla normativa dell’Unione europea.

Pertanto, se la nozione di riutilizzo andasse interpretata alla luce della predetta disciplina essa non potrebbe estendersi, in generale, ai dati sensibili e giudiziari e, in particolare, a quelli attinenti alla salute e alla vita sessuale, per il trattamento dei quali il Regolamento individua particolari condizioni e limiti (cfr. artt. 9 e 10). Tale interpretazione contrasterebbe inoltre con quanto affermato al comma 3 del medesimo articolo 110-bis che, nell’escludere dal concetto di riutilizzo il trattamento a fini di ricerca effettuato dagli IRCSS con dati raccolti nell’ambito dell’attività clinica, fa riferimento a casi di utilizzo ulteriore di dati non da parte di terzi, bensì del medesimo titolare del trattamento.

Se con tale nozione si vuole, invece, fare riferimento a trattamenti ulteriori, a fini di ricerca scientifica o a fini statistici, di dati personali inizialmente raccolti per altri scopi (ai sensi dell’articolo 6, par. 4 del Regolamento), indipendentemente dal fatto che questo sia effettuato dal medesimo titolare o da titolari diversi (distinzione che peraltro non si rinviene nel nuovo quadro giuridico introdotto dal Regolamento), la disposizione contenuta nell’articolo 110-bis appare superflua in quanto l’articolo 5, par. 1, lett. b) del Regolamento qualifica già le ulteriori finalità di ricerca scientifica e statistiche eventualmente perseguite come compatibili con quelle iniziali, purché l’ulteriore trattamento sia effettuato in conformità alle garanzie previste dall’articolo 89 del Regolamento. Inoltre, l’ulteriore trattamento a fini scientifici o statistici di dati raccolti per altri scopi è già consentita sulla base dei presupposti di liceità del trattamento individuati dagli articoli 6 e 9 del Regolamento (cfr., in particolare, art. 6, par. 1., lett. a, o f e art. 9 par. 2 lett. j) e secondo le modalità previste dall’articolo 89 dello stesso, dalla disciplina del Codice, così come emendata dallo schema di decreto in esame (cfr. artt. 104-110 e art. 20, commi 3 e 4, che fa salve le regole deontologiche vigenti per i trattamenti a fini scientifici e statistici, ferma restando la verifica della loro compatibilità con il nuovo quadro giuridico europeo da parte del Garante), nonché dalle altre rilevanti disposizioni di settore (cfr. per l’accesso di soggetti terzi ai dati raccolti a i statistici, art. 5-ter del d.lgs n. 33 del 2013, nonché, più in generale, per i trattamenti a fini statistici, d.lgs. n. 322 del 1989). Conseguentemente, il potere del Garante di autorizzare i trattamenti ulteriori non dovrebbe essere escluso per i dati genetici.

Infine, la previsione di un’autorizzazione specifica da parte del Garante per ciascun trattamento ulteriore, a fini di ricerca scientifica o a fini statistici, di dati personali inizialmente raccolti per altri scopi, non accompagnata dalla possibilità di rilasciare altresì, ove possibile, provvedimenti autorizzativi di tipo generale, in relazione a determinate categorie di titolari e di trattamenti, rischia di irrigidire eccessivamente le attività poste in essere in questo settore.

In conclusione, tutto ciò considerato, qualora le disposizioni di cui all’articolo 110-bis si volessero mantenere, il termine “riutilizzo” andrebbe innanzitutto sostituito, ovunque ricorra, con quello di “trattamento ulteriore da parte di terzi” (cfr. in tal senso, il considerando 50 del Regolamento). In secondo luogo, le predette disposizioni andrebbero coordinate meglio con le norme di settore sopra richiamate, specificando in particolare che l’autorizzazione del Garante può essere rilasciata anche in relazione a determinate categorie di titolari e di trattamenti e, in questo caso, è pubblicata nella Gazzetta Ufficiale. Infine, il terzo comma andrebbe riformulato specificando che il trattamento a fini di ricerca da parte degli IRCSS dei dati raccolti per l’attività clinica è effettuato nel rispetto di quanto prevede il Regolamento e in particolare dell’articolo 89 dello stesso.

Responsabile protezione dati

Appare opportuno estendere all’autorità giudiziaria nell’esercizio delle funzioni giurisdizionali diverse da quelle penali l’obbligo di designazione del responsabile della protezione dati, coerentemente con la scelta compiuta in occasione del recepimento della direttiva (UE) 2016/680, relativamente ai trattamenti svolti dall’autorità giudiziaria nell’esercizio della funzione giurisdizionale in sede penale (cfr. art. 28, AG 517, XVII legislatura.).

Informazioni in caso di ricezione di curricula

Con riferimento all’articolo 9, lett. c), dello schema di decreto che inserisce nel Codice l’articolo 111-bis, in materia di “informazioni in caso di ricezione di curricula“, al fine di meglio coordinare la disposizione con i principi del Regolamento, che esigono che l’interessato sia sempre informato in ordine al trattamento dei dati che lo riguardano, si propone di rivedere la norma nei termini di seguito indicati:

“1. Le informazioni di cui all’articolo 13 del Regolamento, nei casi di ricezione di curricula spontaneamente trasmessi dagli interessati al fine dell’instaurazione di un rapporto di lavoro, vengono fornite al momento del primo contatto utile, successivo all’invio del curriculum medesimo. Nei limiti delle finalità di cui all’articolo 6, par. 1, lett. b), del Regolamento, il consenso al trattamento dei dati presenti nei curricula non è dovuto”.

Diritti riguardanti le persone decedute

All’articolo 2-duodecies dello schema di decreto, si ritiene utile garantire che la volontà dell’interessato di vietare l’esercizio dei diritti di accesso ai dati che lo riguardano non sia condizionata da eventuali valutazioni predeterminate da terzi. Si suggerisce, pertanto, di inserire all’interno della norma un ulteriore comma dal seguente tenore: “3-bis. Sono nulle le clausole contrattuali che prevedono disposizioni in contrasto con quanto stabilito dai commi 2 e 3”.

Si valuti, infine, l’opportunità di assicurare un migliore coordinamento della disposizione in esame con la disciplina civilistica rilevante, in particolare in ordine alle implicazioni del divieto di cui ai commi 2 e 3 sull’esercizio, da parte dei terzi, dei diritti patrimoniali derivanti dalla morte dell’interessato nonché del diritto di difesa in giudizio.

Procedimento sanzionatorio amministrativo

In ordine alla procedura descritta dall’articolo 166, al comma 6 è opportuno prevedere la notificazione della contestazione all’interessato anziché una semplice comunicazione che, in quanto tale, è priva delle caratteristiche di certezza necessitate nell’ambito dei procedimenti sanzionatori e prescrittivi amministrativi.

Regole deontologiche relative ad attività giornalistiche

Con riferimento a quanto previsto per il codice deontologico dell’attività giornalistica dall’art. 139, comma 2, è opportuno chiarire meglio che la norma è destinata ad avere effetti anche oltre il periodo transitorio, sopprimendo le parole da: “Nel periodo compreso”, fino a: “successivamente”, cnseguentemente collocando la disposizione all’ultimo comma dell’articolo.

Modalità di verifica delle autorizzazioni generali

Per quanto riguarda l’articolo 21 dello schema di decreto, in via preliminare si rileva, al comma 1, che andrebbe richiamato, tra le disposizioni “relative alle situazioni di trattamento”, anche l’articolo 9, par. 2, lett. b), del Regolamento, che disciplina il trattamento di dati particolari nel campo del diritto del lavoro e della protezione sociale, materia anch’essa oggetto di autorizzazione generale suscettibile di verifica.

Inoltre, i termini di novanta giorni, ivi stabiliti per consentire al Garante l’adozione del provvedimento generale con il quale si individuano le prescrizioni delle autorizzazioni generali compatibili con il Regolamento, appaiono troppo esigui. Ciò, soprattutto in considerazione degli adempimenti istruttori previsti ai fini dell’adozione che prevedono, in aggiunta, un ulteriore procedimento di consultazione pubblica. Tale procedimento aggiuntivo, infatti, – teso a consentire ai partecipanti la possibilità effettiva di concorrere a determinare la decisione finale grazie a un orizzonte temporale adeguato al processo di consultazione – non può (da solo) risultare inferiore a sessanta giorni (cfr. Linee guida sulla consultazione pubblica in Italia, pubblicate dalla Presidenza del Consiglio dei ministri, Ministro per la semplificazione e la pubblica amministrazione, 2017).

Al riguardo, pertanto, sarebbe opportuno rivedere i termini stabiliti nell’articolo prevedendo che il Garante predisponga lo schema di provvedimento da porre in consultazione pubblica entro novanta giorni dalla data di entrata in vigore del decreto e che il medesimo provvedimento venga adottato entro sessanta giorni dall’esito della consultazione pubblica. In tal senso, al comma 1 dell’articolo 21 le parole “con provvedimento di carattere generale da adottarsi entro novanta giorni” dovrebbero essere sostituite dalle seguenti: “con provvedimento di carattere generale da porre in consultazione pubblica entro novanta giorni”, e il secondo periodo del comma 1 dovrebbe essere riformulato come segue: “Il provvedimento di cui al presente comma è adottato entro sessanta giorni dall’esito del procedimento di consultazione pubblica”.

In coerenza con quanto appena osservato, al comma 2 dovrebbe prevedersi che la cessazione degli effetti delle autorizzazioni generali ritenute incompatibili dovrà prodursi al momento della pubblicazione in Gazzetta Ufficiale della versione finale del provvedimento. Pertanto, il comma 2, dovrebbe essere riformulato come segue: “2. Le autorizzazioni generali, sottoposte a verifica a norma del comma 1, che sono state ritenute incompatibili con le disposizioni del regolamento (UE) 2016/679 cessano di produrre effetti al momento della pubblicazione in Gazzetta Ufficiale del provvedimento di cui al comma 1”. Analoga previsione in ordine al momento di cessazione degli effetti deve essere introdotta al comma 3 per le autorizzazioni ivi previste.

Infine, in considerazione del fatto che le disposizioni delle autorizzazioni generali vigenti sono destinate a confluire (in parte, cioè quelle compatibili con il Regolamento) nel provvedimento generale di cui al comma 1, si propongono di seguito alcuni mirati perfezionamenti dei commi 4 e 5, volti ad un miglior coordinamento dell’intero articolo: “4. Sino all’adozione delle regole deontologiche e delle misure di garanzia di cui agli articoli 2-quater, 2-septies del Codice in materia di protezione dei dati personali di cui al decreto legislativo 30 giugno 2003, n. 196 producono effetti per la corrispondente categoria di dati e di trattamenti, le autorizzazioni generali di cui al comma 1 e le pertinenti prescrizioni del provvedimento di cui al comma 1.

Le violazioni delle prescrizioni contenute nelle autorizzazioni generali di cui al presente articolo e nel provvedimento generale di cui al comma 1 sono soggette alla sanzione amministrativa di cui all’articolo 83, paragrafo 5, del regolamento (UE) 2016/679. “.

Particolari trattamenti per ragioni di interesse pubblico

Per assicurare una piena corrispondenza e conformità all’articolo 36 del Regolamento cui la norma fa espresso rinvio, l’articolo 22, comma 5, dello schema di decreto andrebbe modificato, facendo opportuno riferimento a trattamenti svolti per l’esecuzione di un compito di interesse pubblico che può presentare rischi particolarmente elevati ai sensi dell’articolo 35 del Regolamento, disciplinati dallo schema nel nuovo articolo 2-quaterdecies del Codice.

Tenendo conto del disposto di tale ultimo articolo e del riferimento ai minorenni contenuti nel testo dello schema di decreto, l’osservazione potrebbe essere recepita riformulando la disposizione nei seguenti termini: “5. A decorrere dal 25 maggio 2018, le disposizioni di cui ai commi 1022 e 1023 dell’articolo 1 della legge 27 dicembre 2017, n. 205 si applicano esclusivamente ai trattamenti dei dati personali funzionali all’autorizzazione del cambiamento del nome e/o del cognome dei minorenni. Con riferimento a tali trattamenti, il Garante per la protezione dei dati personali può, nei limiti e con le modalità di cui all’articolo 36 del regolamento (UE) 2016/679 adottare provvedimenti di carattere generale. Al fine di semplificare gli oneri amministrativi, i soggetti che rispettano le misure di sicurezza e gli accorgimenti prescritti ai sensi dell’articolo 2- quaterdecies sono esonerati dall’invio al Garante dell’informativa di cui al citato comma 1022. In sede di prima applicazione, le suddette informative sono inviate entro 60 giorni dalla pubblicazione in Gazzetta Ufficiale del provvedimento del Garante.”

Pertanto, alla luce delle osservazioni sopra riportate (auspicando le modifiche ed integrazioni suggerite), nonché di ulteriori indicazioni volte a garantire, sotto l’aspetto formale, una maggiore coerenza della disciplina interna rispetto al diritto dell’Unione europea, il Garante esprime parere favorevole sullo schema di decreto legislativo di cui sopra.

Volume consigliato 

Nuova Privacy dopo il 25 maggio: partecipa all’evento Web! 

Redazione

Scrivi un commento

Accedi per poter inserire un commento