Mercoledì 19 settembre entra in vigore il decreto legislativo n.101 del 2018. Vi sono molte buone ragioni per ritenere che tenere fermo il tradizionale termine di 15 giorni dalla pubblicazione per la vacatio legis di un provvedimento così complesso, che modifica tanto profondamente il vecchio Codice privacy basato sul d.lvo 196 del 2003, possa essere stato un azzardo.
Con l’entrata in vigore del d.lvo 101/2018, infatti, tutto il sistema normativo di tutela dei dati personali italiano cambia profondamente, come si è già avuto modo di sottolineare in vari articoli su Agenda digitale.
Gdpr, Pizzetti: “I consigli per leggere e applicare bene il decreto 101/2018 dal 19 settembre”
È necessario dunque essere pronti a fare un grosso sforzo per cogliere non solo le interconnessioni fra GDPR e normativa nazionale contenuta nel Codice novellato, ma anche il ruolo che, nelle materie in cui il legislatore nazionale ha competenza, è stato attribuito al Garante. Un ruolo che adesso coincide anche con il dovere di accelerare su provvedimenti e interpretazioni della complessa normativa.
Il rischio da evitare è, tra l’altro, un lungo periodo di proroga degli effetti di norme del Codice già abrogate e modificate o sostituite dal d.lvo n. 101/2018.
La ridefinizione dei poteri del Garante
In molti casi, infatti, e anche questo già lo si è sottolineato su Agendadigitale, la scelta fatta dal legislatore italiano è stata di confermare, ove possibile, i poteri di soft law che già il vecchio Codice assicurava all’Autorità di controllo. Ove questo non è stato possibile si è provveduto a ridefinire alla luce del GDPR i poteri del Garante, dando ad esso anche nuovi strumenti molto penetranti, il cui esercizio può condizionare incisivamente l’applicazione delle norme contenute nel Codice novellato, sempre ovviamente mantenendo la coerenza con i principi del GDPR in materia.
Si tratta di una scelta fatta dal legislatore delegato in modo consapevole, tenendo conto innanzitutto del lavoro della Commissione Finocchiaro che poi, nelle fasi successive, si è ulteriormente ampliata, anche per tenere conto dei pareri del Garante stesso e di quelli delle Commissioni Parlamentari.
Le ragioni di questa scelta sono state essenzialmente due, entrambe legate all’obiettivo di assicurare flessibilità alla attuazione della normativa nazionale. La prima riguarda la volontà di mantenere sempre elevato, anche rispetto ai mutamenti tecnologici futuri, il livello di tutela del diritto fondamentale alla protezione dei dati personali.
La seconda ragione riguarda la necessità di assicurare nel tempo una interpretazione e applicazione della normativa che assicuri e favorisca la libera circolazione dei dati, in un quadro di sviluppo dell’economia digitale.
Tra i tanti settori in cui questa scelta è stata ampiamente utilizzata vi è certamente quello relativo ai trattamenti di dati personali che hanno la loro base di legittimazione nella necessità di adempiere a un obbligo legale (art. 6, paragrafo 1, lettera c) o di eseguire un compito di interesse pubblico o connesso all’esercizio di pubblici poteri di cui è investito il titolare del trattamento (art.6, paragrafo 1, lettera e).
Si tratta di trattamenti che hanno nella loro finalità la base stessa della loro legittimazione e dunque non richiedono il consenso dell’interessato.
Accanto a quanto previsto rispetto a questi trattamenti, che si basano appunto sull’interesse pubblico inteso come esecuzione di un compito di pubblico interesse o connesso all’esercizio di pubblici poteri, si affianca poi quanto previsto dall’art. 9, paragrafo 2 lettera g) del GDPR.
Il trattamento degli ex dati sensibili
L’art. 9 contiene al paragrafo 1 un divieto generale di trattamento di alcune categorie particolari di dati (sostanzialmente gli ex dati sensibili).
Al paragrafo 2, però la disposizione indica una serie di casi in cui il trattamento di questi tipi di dati può avvenire legittimamente, malgrado il divieto di carattere generale del primo paragrafo.
Il primo caso, indicato alla lettera a), è ovviamente il consenso. La lettera g) specifica, invece, che anche rispetto a queste categorie particolari di dati, il trattamento è legittimo quando è necessario “per motivi di interesse pubblico rilevante sulla base del diritto dell’Unione o degli Stati membri, che deve essere proporzionato alla finalità perseguita, rispettare l’essenza del diritto alla protezione dei dati e prevedere misure appropriate e specifiche per tutelare i diritti fondamentali e gli interessi dell’interessato”.
Si tratta dunque di due disposizioni, quella dell’art. 6, paragrafo 1, lettera e) e quella dell’art.9, paragrafo 2, lettera g), che fanno entrambe riferimento al concetto di “interesse pubblico” come base di legittimazione dei trattamenti anche indipendentemente dal consenso.
È necessario, però, tenere ben distinte le due disposizioni e il loro ambito di applicazione.
L’art. 6 paragrafo 1, lettere c) ed e) individua nella necessità di adempiere a un obbligo di legge o nel dovere di eseguire un compito di interesse pubblico, o connesso all’esercizio di pubblici poteri, due basi di legittimazione specifiche, che si affiancano e coesistono con le altre indicate nel medesimo articolo e paragrafo.
Nel caso dell’art. 9, paragrafo 2 lettera g) invece consente di rimuovere il divieto generale di trattamento di queste particolari categorie di dati quando ricorrano i motivi di interesse pubblico specificati dalle normative dell’Unione o da quelle nazionali.
Anche in questo caso la previsione citata si affianca ad altre, contenute nello stesso articolo e paragrafo che, a cominciare dal consenso di cui alla lettera a), per finire alle finalità di archiviazione nel pubblico interesse, di ricerca scientifica o storica o statistica, di cui alla lettera j), hanno tutte il medesimo duplice effetto: quello di rimuovere il divieto generale al trattamento delle categorie particolari di dati e di costituire, a tal fine, delle specifiche basi giuridiche ad hoc.
Non vi è dubbio che fra le due serie di disposizioni, contenute negli art. 6, paragrafo 2, e art.9, paragrafo 2 vi è un rapporto complesso che, proprio nel caso del richiamo all’interesse pubblico, emerge con particolare rilievo.
Le due disposizioni, per la parte che si sta analizzando, non sono dunque perfettamente coincidenti né come contenuto né come oggetto, anche se esse sono tra loro strettamente connesse.
Proprio dalle evidenti differenze e connessioni tra le due norme derivano alcune altre disposizioni contenute nel decreto legislativo n. 101 che, sia rispetto alla loro attuazione a regime, sia per quanto riguarda il periodo transitorio, ne accentuano ulteriormente le diversità.
In questa sede però ci si limita ad affrontare l’esame delle disposizioni del decreto legislativo n. 101 che riguardano l’attuazione dell’art. 6, paragrafo 1, lettera e) e paragrafo 3.
Resta fermo che una analisi di pari rilevanza dovrà essere fatta anche rispetto alle norme, ovviamente diverse e specifiche, contenute nel d.lvo 101 rispetto all’attuazione dell’art. 9, paragrafo 2, relativamente alla disciplina rimessa al legislatore nazionale. Analisi che per quanto riguarda l’art.9 non potrà limitarsi solo alla lettera g) del paragrafo 2 ma dovrà estendersi almeno anche alle scelte fatte dal legislatore nazionale nell’ambito dei poteri conferiti dal paragrafo 4 dello stesso art.9 in materia di dati genetici, biometrici e relativi alla salute.
Nel caso dell’art.6 del GDPR il paragrafo 1, lettera e) individua una specifica base di legittimazione dei trattamenti, legata alla necessità di eseguire un compito di interesse pubblico o connesso all’esercizio di pubblici poteri. Si tratta di una base di legittimità dotata di una propria autonomia, che si affianca alle altre, individuate dallo stesso paragrafo, fra le quali quella più vicina è certamente la necessità di adempiere a un obbligo legale del titolare, di cui alla lettera c).
A riconferma della “vicinanza” di queste due basi di legittimazione, il paragrafo 3 del medesimo art.6 prevede che tanto nel caso della lettera c) quanto in quello della lettera e) “la base su cui si fonda il trattamento deve essere specificata dal diritto dell’Unione o dello Stato membro cui è soggetto il titolare del trattamento”. Inoltre si specifica che proprio perché “la finalità del trattamento è determinata nella stessa base giuridica”, tanto il diritto dell’Unione quanto quello dello Stato membro devono contenere, in particolare per quanto riguarda la lettera e), “condizioni specifiche per adeguare l’applicazione delle norme del Regolamento, tra cui: le condizioni generali relative alla liceità del trattamento; le tipologie di dati oggetto del trattamento; gli interessati; i soggetti cui possono essere comunicati i dati personali e le finalità per cui sono comunicati; le limitazioni delle finalità, i periodi di conservazione e le operazioni e procedure di trattamento, lecito e corretto, quali quelle di cui al Capo IX”.
Sempre il paragrafo 3 dell’art. 6 specifica infine, proprio rispetto alla lettera e) del paragrafo 1, che “il diritto dell’Unione o degli Stati membri persegue un obbiettivo di interesse pubblico ed è proporzionato all’obbiettivo legittimo perseguito”. Specificazione, questa, che, sotto il profilo dei trattamenti di dati, collega l’attribuzione di compiti di interesse pubblico con la proporzionalità rispetto all’obbiettivo perseguito, ribadendo allo stesso tempo sia il principio di finalità che quelli classici di proporzionalità e necessità dei trattamenti.
Va infine aggiunto, per avere un quadro completo della normativa contenuta nell’art. 6 del GDPR per il tema che qui interessa, il richiamo al contenuto del paragrafo 2 del medesimo articolo.
Questa disposizione specifica, in particolare con riguardo ai trattamenti basati sulle lettere c) ed e) del paragrafo 1, che gli Stati possono “mantenere o introdurre norme più specifiche per adeguare l’applicazione del presente Regolamento…determinando con maggiore precisione requisiti specifici per il trattamento e altre misure atte a garantire un trattamento lecito e corretto anche per altre specifiche situazioni di trattamento di cui al Capo IX”.
Il paragrafo 2 dell’art. 6 amplia dunque il potere del legislatore nazionale anche al di là della individuazione e disciplina dei compiti di interesse pubblico o esercizio di pubblici poteri già prevista dal paragrafo 1. Grazie a questa norma le leggi nazionali possono introdurre “disposizioni più specifiche” anche rispetto al Regolamento, sia sotto il profilo dei requisiti specifici dei trattamenti che delle misure atte a garantire il rispetto dei principi di protezione e tutela dei dati personali.
Le disposizioni relative al perseguimento di compiti di interesse pubblico
Possiamo esaminare ora le norme del decreto legislativo n. 101/2018 che danno attuazione alle diverse disposizioni relative al perseguimento di compiti di interesse pubblico o l’esercizio dei pubblici poteri contenute nell’art. 6 GDPR.
La prima disposizione del decreto legislativo che riguarda questa materia è l’art. 2-ter, contenuta al Capo II del decreto che innova a tutta la prima parte del vecchio Codice.
Questa disposizione ha come scopo essenziale, secondo quanto recita la sua stessa rubrica, quello di precisare che nell’ordinamento italiano la base giuridica dei trattamenti effettuati per l’esecuzione di un compito di interesse pubblico o connesso all’esercizio di pubblici poteri è costituita esclusivamente da una norma di legge o di regolamento. Così, infatti, recita il comma 1 dell’art. 2-ter, nel quale tuttavia è citata, a mio giudizio erroneamente, la lettera b) anziché la lettera e) del paragrafo 1 dell’art. 6. Errore questo non sanato dal recente decreto di rettifica pubblicato in G.U., ma che è da augurarsi possa essere corretto attraverso un nuovo decreto di errata corrige del quale vi è assoluto bisogno.
Il secondo comma dell’art. 2-ter precisa inoltre che, salvo i casi in cui i trattamenti rientrino nelle particolari categorie di dati disciplinati dall’art. 9 GDPR, o riguardino condanne penali e reati, disciplinati dall’art. 10 GDPR, la “comunicazione” di dati trattati per l’esecuzione di compiti di interesse pubblico o per l’esercizio di pubblici poteri è ammessa (cioè lecita) solo se prevista ai sensi del comma 1.
Il medesimo comma 2 dell’art. 2-ter contiene però anche un importante rinvio al Garante, compatibile con l’art. 58 comma 4 e anche con il dettato dell’ar.6 paragrafo 3, ma che certo costituisce il conferimento all’Autorità di un potere molto significativo nel contesto di questo settore di trattamenti.
Una visione ipergarantista della tutela dei dati personali
In base a questa norma, infatti, se la comunicazione di dati trattati per compiti di interesse pubblico o esercizio di pubblici poteri tra diversi titolari è necessaria per lo svolgimento dei compiti e delle funzioni istituzionali dei titolari stessi, ma non è prevista né da leggi né da regolamenti, la comunicazione è legittima solo in quanto se ne dia comunicazione al Garante e non la si inizi prima che siano decorsi 45 giorni dalla notificazione.
Si tratta di un primo segnale, posto subito come tra le prime norme del Codice novellato, del fatto che anche il d.lvo 101/2018, pur innovando moltissimo, resta fortemente legato a una visione ipergarantista della tutela dei dati personali.
Di particolare interesse sono il terzo e il quarto comma dell’art.2 ter, e anch’essi testimoniano del fatto che anche nel nuovo decreto legislativo il modo di vedere e di pensare alla tutela dei dati personali caratteristico del vecchio Codice ha continuato ad avere una forte influenza, talvolta, come in questo caso, più dal punto di vita simbolico che delle effettive conseguenze derivanti dalle norme adottate.
Come è noto, il GDPR non distingue tra comunicazione e diffusione ma, quando è necessario, disciplina sempre e soltanto la comunicazione dei dati oggetto di trattamenti, distinguendo, a seconda dei casi, se essa interviene tra titolari o tra titolari e responsabili o tra titolari e soggetti terzi.
Persino quando, nel Considerando 18, intende escludere dalla applicazione del Regolamento quelle che potrebbero essere comunicazioni per finalità esclusivamente personali, non fa riferimento al termine comunicazione né diffusione ma unicamente alle finalità dei trattamenti.
La conferma più evidente del fatto che al centro dell’interesse del GDPR sta il trattamento dei dati e che, rispetto ai trattamenti la distinzione antica tra comunicazione e la diffusione non ha specifico rilievo si trova, del resto, proprio all’art. 4 che, elencando le definizioni usate nel GDPR specifica che deve essere considerato “trattamento” qualsiasi operazione che riguarda un ampio numero di attività specificamente indicate e fra queste “la comunicazione mediante trasmissione, diffusione o qualunque altra forma di messa a disposizione dei dati”.
Lo stesso art. 6 paragrafo 3 del GDPR, già più volte citato, consente al legislatore nazionale di definire quali siano i soggetti ai quali possono essere comunicati i dati oggetto di trattamenti per l’esecuzione di compiti di interesse pubblico ma non fa alcun riferimento all’ ipotesi della loro diffusione come distinta dalla comunicazione.
Il comma 3 dell’art. 2-ter del d.lvo 101/2018, invece, reintroduce la distinzione, ben nota nell’ambito sia della Direttiva 95/46 che del vecchio Codice, tra comunicazione e diffusione. Di conseguenza il comma 4 specifica, a mio giudizio piuttosto inutilmente, le differenze di significato tra questi due termini, altrimenti non comprensibili alla luce del GDPR.
La inutilità della distinzione è del resto confermata dallo stesso comma 3 dell’art. 2-ter giacché nel momento stesso in cui richiama entrambi i concetti specifica poi che sia la comunicazione che la diffusione di dati “a soggetti che intendono trattarli per altre finalità” sono entrambe ammesse “solo se previste ai sensi del primo comma”.
Compatibilità al limite tra GDPR e normativa nazionale
Vi è una seconda norma, contenuta nel d.lvo 101 del 2018, e relativa ai dati trattati per compiti di interesse pubblico di cui all’art. 6, paragrafo 1, lettera e), che è necessario richiamare. Si tratta dell’art. 2-quinquiesdecies.
Questa disposizione, che il decreto legislativo colloca nel nuovo Titolo I quater del Codice novellato, contenente disposizioni relative al titolare e responsabile del trattamento, recita: “con riguardo ai trattamenti svolti per l’esecuzione di un compito di interesse pubblico che possano presentare rischi elevati ai sensi dell’art. 35 del Regolamento, il Garante può, sulla base di quanto disposto dall’art. 36, paragrafo 5, del medesimo Regolamento e con provvedimenti di carattere generale adottati d’ufficio, prescrivere misure e accorgimenti a garanzia dell’interessato che il titolare è tenuto ad adottare”.
Si tratta di una norma molto “forte”, che assegna al Garante un potere assai rilevante sia perché non previsto esplicitamente dal GDPR, sia perché i provvedimenti a carattere generale che l’Autorità può (non deve) adottare in caso di trattamenti che presentino rischi elevati, sono adottati di ufficio.
Si tratta di una previsione che pare persino poter contrastare con l’art. 36, paragrafo 5 del GDPR, richiamato peraltro anche dall’art. 2-quinquiesdecies. L’art. 36, paragrafo 5 del GDPR, prevede infatti che gli Stati membri possano imporre al titolare di consultare il Garante al fine di ottenere l’autorizzazione preliminare in relazione ai trattamenti che comportano rischi elevati quando riguardano l’esecuzione di compiti di interesse pubblico.
Il che significa che l’iniziativa deve essere del titolare e relativamente a specifici trattamenti. Invece l’art. 2-quinquiesdecies prevede che il Garante possa procedere d’ufficio, e per di più con provvedimenti di carattere generale.
È difficile negare che siamo ai limiti estremi della compatibilità della nuova normativa nazionale col GDPR, ed infatti di questo si rende conto anche la Relazione governativa che invoca, a copertura dell’art. 2-quinquiesdecies anche quanto previsto dall’art. 6, paragrafo 2 del GDPR. Norma, quest’ultima, che, come già si è detto, consente al legislatore nazionale di introdurre anche disposizioni più specifiche “per adeguare l’attuazione del presente Regolamento con riguardo ai trattamenti in conformità col paragrafo 1, lettere c) ed e)”.
Quello che è certo è l’art. 2-quinquiesdecies introduce nel sistema italiano di tutela dei dati un ulteriore e molto forte potere di soft law del Garante. Un potere che appare particolarmente “rilevante” anche perché la norma esplicitamente parla di “provvedimenti di carattere generale, adottati d’ufficio”.
Il quadro, tuttavia, non sarebbe completo se non richiamassimo l’attenzione anche su una altra, ultima, norma. Si tratta dell’art.22, collocato nel Capo VI del d.lvo 101, e cioè tra le disposizioni transitorie e finali.
Il comma 3 di questa disposizione stabilisce che:“sino all’adozione dei corrispondenti provvedimenti generali di cui all’art. 2-quinquiesdecies del codice in materia di protezione dei dati personali, di cui al decreto legislativo 196 del 2003 (ovviamente come novellato dal d.lvo 101, N.d.R.), i trattamenti di cui al medesimo articolo, già in corso alla data di entrata in vigore del presente decreto, possono proseguire qualora avvengano in base a espresse disposizioni di legge o regolamento o atti amministrativi generali, ovvero nel caso in cui siano stati sottoposti a verifica preliminare o autorizzazione del Garante, che abbiano individuato misure e accorgimenti adeguati a garanzia dell’interessato”.
Si tratta di una norma scritta in modo complicato, che pone molti problemi.
Non è chiaro, infatti, se si applica solo ai trattamenti già in corso all’entrata in vigore del decreto legislativo n.101 del 2018 o anche a quelli che abbiano inizio dopo tale data.
Inoltre, da un punto di vista sistemico, non è chiaro perché la mancata approvazione di provvedimenti generali che, secondo l’art. 2-quinquiesdecies, il Garante può ma non deve adottare anche d’ufficio, comporti obbligatoriamente l’applicazione ai trattamenti in corso di quanto previsto dal comma 3 dell’art. 22 del decreto 101.
Infine, ove si dovesse ritenere che la norma dell’art. 22 comma 3 si applica anche a trattamenti avviati dopo l’entrata in vigore del decreto n.101, resterebbe da spiegare perché la mancata approvazione da parte del Garante di provvedimenti generali adottabili solo d’ufficio, che la norma dell’art. 2-quinquiesdecies considera solo facoltativi, dovrebbe avere come effetto o l’interdizione dall’avvio dei nuovi trattamenti, o la loro sottoposizione a verifiche preliminari o autorizzazioni specifiche che ormai non sono più previste nel nuovo Codice novellato.
Un interrogativo, questo, a cui sembra davvero difficile rispondere, tanto più che l’art.22 comma 3 non proroga affatto le norme già abrogate del Codice, come invece fa il comma 11 del medesimo articolo rispetto alle norme relative alla salute nel caso di mancanza delle misure di garanzia previste dall’art. 2-septies del Codice novellato.
Ad aumentare la complessità dei problemi concorre infine il comma 5 dell’art. 22 che, con riferimento ai trattamenti di dati personali funzionali all’autorizzazione al cambiamento del nome o del cognome dei minorenni, torna a far riferimento a provvedimenti generali che, coerentemente con quanto disposto dall’art. 2-quinquiesdecies, il Garante può adottare, ma la cui mancanza non condiziona in alcun modo i trattamenti alla preventiva adozione di tali provvedimenti.
Un lavoro complesso all’orizzonte
Il quadro delineato con riguardo alla complicata normativa che disciplina i trattamenti per l’esecuzione di compiti di interesse pubblico o l’esercizio di pubblici poteri che risulta dalla normativa contenuta nel GDPR da applicare in conformità a quella del Codice novellato ci dice quanto complesso sia, anche solo con riferimento a questo importante settore, il lavoro che ci attende.
Quello che è certo però è che al Garante, al quale anche in questo campo sono assegnati rilevanti poteri di soft law, ha il dovere di accelerare quanto più possibile la scelta se adottare o no i provvedimenti generali di cui all’art. 2-quinquiesdecies e comunque di chiarire quale sia la sua interpretazione di questo groviglio normativo.
Un compito che, conoscendo la competenza e la sollecitudine del Presidente, Collegio e dell’Ufficio del Garante è giusto attendersi sia affrontato tempestivamente. Così come è giusto ritenere che certamente l’Autorità adotterà rapidamente le misure di garanzia che ritiene necessarie rispetto ai trattamenti relativi ai dati genetici, biometrici e relativi alla salute che l’art. 2-septies consente (e impone) ad essa di individuare.
Non sarebbe giustificabile in alcun modo, infatti, che un ritardo del Garante comportasse un lungo periodo di proroga degli effetti di norme del Codice già abrogate e modificate o sostituite dal d.lvo n. 101/2018.
La estrema delicatezza del settore e la inevitabile difficoltà che comporterebbe verificare quali delle norme abrogate siano compatibili col GDPR, e in che termini, impone grande rapidità nella adozione delle misure di garanzia di cui all’art. 2-septies. Lo stesso art. 22 comma 11, del resto, specifica che le norme già abrogate continuano ad avere effetto fino all’adozione delle misure di garanzia di cui all’art. 2-septies, ma solo in quanto compatibili col Regolamento 2016/679.
Un grande lavoro attende dunque il Garante dal 19 settembre 2018. Non vi è ragione di dubitare che esso sarà all’altezza dell’investimento di fiducia che il legislatore delegato ha fatto nei suoi confronti.
