Dopo una lunga gestazione, è stato adottato l’8 agosto (qui il comunicato stampa) il decreto (decreto 101 del 10 agosto 2018) di adeguamento della normativa nazionale al Regolamento europeo in materia di protezione dei dati personali (GDPR). Il testo è stato pubblicato sulla Gazzetta Ufficiale del 4 settembre, ed entra in vigore il 19 settembre.
Prima di tutto un’osservazione sul metodo. La prima versione del decreto non ci risulta sia mai stata rilasciata, almeno non in forma ufficiale. Ne giravano diverse versioni non ufficiali. Solo a giugno la Commissione ha deciso di aprire il testo, ascoltando anche le opinioni di alcuni esperti. Per poi inabissarsi nuovamente fino alla pubblicazione in Gazzetta Ufficiale. Appare evidente che il principio della trasparenza, che dovrebbe caratterizzare il processo di formazione delle leggi, fatica ancora a trovare spazio in Italia, da cui deriva probabilmente una scarsa fiducia del popolo italiano per le leggi, che non sempre rispetta. La partecipazione del popolo al processo di formazione delle leggi è un elemento essenziale delle democrazie più compiute, perché un popolo rispetta le leggi solo se le sente proprie. Nel caso specifico basta notare come l’intera normativa in materia sia vissuta da molti per lo più come un adempimento burocratico che rende più difficile lavorare.
Tornando al Codice, possiamo notare che con la nuova versione si è preferito riformare il Codice Privacy, a differenza della scelta iniziale (la prima bozza) che ne prevedeva l’abrogazione. Si è, quindi, proceduto ad un’opera di cesello per adeguare le norme del Codice a quelle del regolamento europeo, introducendo anche alcune novità. Il decreto ovviamente adegua il Codice soprattutto nei settori dove il trattamento dei dati è particolarmente complesso e delicato (dati sulla salute, ad esempio), integrando in alcuni casi le norme del GDPR.
Il testo tradisce la brevità del tempo concesso alla Commissione, considerato che alcune norme hanno una collocazione non chiara (art. 2 bis del Codice) e presenta anche degli errori (art. 2 duodecies che fa riferimento all’indipendenza della magistratura, ma anche dei procedimenti giudiziari).
La sussidiarietà del Codice riformato è evidente già dai primi articoli, che evidenziano come il testo rechi “disposizioni per l'adeguamento dell'ordinamento nazionale alle disposizioni del regolamento” (art. 2). In realtà l’indicazione è imprecisa in quanto il Codice riformato reca anche disposizioni che non sono collegate al regolamento europeo. Questo però probabilmente giustifica l’eliminazione dell’inciso “Chiunque ha diritto alla protezione dei dati personali che lo riguardano” (art. 1 vecchio Codice) che all’epoca anticipava quanto oggi è espresso dalla Carta dei diritti fondamentali dell’Unione europea.
Veniamo sinteticamente alle novità.
Minori
L’età per esprimere il consenso al trattamento dei dati nell’ambito dei servizi della società dell'informazione viene fissata in 14 anni (art. 2 quinquies), utilizzando la deroga prevista del regolamento europeo in tema di regolamentazione della tutela dei minori (che prevede un limite di 16 anni riducibile fino a 13).
Ha, quindi, prevalso la posizione del Garante nazionale e di Confindustria, Confindustria Radio Televisioni, Assotelecomunicazioni, CNF, Istituto italiano per la privacy, ANORC-AIFAG, in base alla considerazione che un minore a 14 anni può denunciare autonomamente atti di bullismo e dare il consenso all’adozione, per cui si è reputato coerente fissare alla stessa età il limite di cui all’art. 8 del GDPR. Si aggiunge, al comma 2, che l’informativa deve essere redatta in linguaggio particolarmente chiaro e semplice, disposizione che appare del tutto superflua, considerato che il regolamento già lo prevede per tutte le informative senza distinzione di età dell’interessato. Teniamo presente che il comma 2 fa riferimento ai trattamenti di cui al comma 1, per cui questa informativa è quella diretta ai genitori del minore di 14 anni.
Trattamento in ambito sanitario
Con riferimento al mondo sanitario, il nuovo disposto normativo prevede che il trattamento dei dati personali per la finalità di tutela della salute è soggetto alle modalità di cui all’art. 9 del regolamento europeo. L’articolo in questione stabilisce un generale divieto di trattamento dei dati speciali tranne che in determinate ipotesi. Quelle che ci interessano sono le ipotesi di cui alla lettera h) (“finalità di medicina preventiva o di medicina del lavoro, valutazione della capacità lavorativa del dipendente, diagnosi, assistenza o terapia sanitaria o sociale ovvero gestione dei sistemi e servizi sanitari o sociali”) e i) (“motivi di interesse pubblico nel settore della sanità pubblica”). Altra ipotesi di esenzione dal divieto è tratteggiata dal paragrafo 3 (“se tali dati sono trattati da o sotto la responsabilità di un professionista soggetto al segreto professionale”).
Nei casi indicati, quindi, non occorre il consenso dell’interessato per il trattamento dei dati sulla salute.
La precedente normativa del Codice privacy subordinava il trattamento di questa particolare tipologia di dati al consenso dell’interessato (che non sempre può o vuole fornirlo), o all’autorizzazione del Garante. La nuova normativa semplifica la situazione. Di contro, però, pretende una tutela rafforzata dei dati, introducendo la possibilità che il Garante imponga misure di garanzia specifiche per il trattamento dei dati sulla salute (con un provvedimento rivisto a cadenza biennale).
In sostanza con tali norme il legislatore italiano conferma le scelte del regolamento europeo, si tratta di norme che notoriamente non sono ben viste dalle istituzioni europee. Sarebbe stato preferibile evidenziare la complementarietà delle misure di garanzia rispetto a quanto già previsto dal GDPR.
Le misure di garanzia riguardano anche le cautele da adottare relativamente a:
a) contrassegni sui veicoli e accessi a zone a traffico limitato;
b) profili organizzativi e gestionali in ambito sanitario;
c) modalità per la comunicazione diretta all’interessato delle diagnosi e dei dati relativi alla propria salute;
d) prescrizioni di medicinali.
Le medesime disposizioni si applicano anche ai dati genetici e biometrici, laddove le misure di garanzia relative ai dati genetici sono adottate sentito il Ministro della salute che, a tal fine, acquisisce il parere del Consiglio superiore di sanità. Per i dati genetici, le misure di garanzia possono individuare, in caso di particolare ed elevato livello di rischio, il consenso come ulteriore misura di protezione dei diritti dell’interessato, o altre cautele specifiche.
Autorizzati al trattamento
Il decreto consente ai titolari e ai responsabili del trattamento di designare delle persone fisiche alle quali siano attribuiti dei compiti e delle funzioni specifiche connesse al trattamento dei dati personali. Non si tratta dei vecchi responsabili interni del trattamento, bensì il riferimento, a questo punto inutile, è agli autorizzati (o incaricati) al trattamento.
Organismo nazionale di accreditamento
Il Codice individua nell’Ente unico nazionale di accreditamento (Accredia) l’organismo nazionale di accreditamento di cui all’articolo 43, paragrafo 1, lettera b), del Regolamento, fatto salvo il potere del Garante di assumere direttamente l’esercizio di tali funzioni con riferimento a una o più categorie di trattamenti.
Data retention
Viene confermato il termine di conservazione dei dati di traffico telefonico e telematico fino a 72 mesi, così come introdotto dalla legge n. 167 del 2017, art. 24. Termine che appare in contrasto con quanto affermato dalla Corte di Giustizia europea e non proporzionato. Secondo il Garante europeo tale termine è in aperta violazione dei principi che reggono il quadro europeo, trattandosi di un termine, 6 anni, che non è contemplato nemmeno nei paesi più marcatamente totalitari e non ha eguali in nessuno dei paesi democratici. In Germania, ad esempio, il corrispondente termine è individuato in poche settimane. Si tenga presente che in base alla Convenzione di Budapest ci sono tecniche sostitutive quali il congelamento dei dati.
Illeciti penali
Il regolamento europeo, ovviamente, si occupa solo delle sanzioni amministrative, inasprendole notevolmente, mentre la materia penale rimane di competenza esclusiva degli Stati nazionali. A tal proposito il decreto, a differenza della prima bozza che le aboliva, recupera le fattispecie criminali, introducendo la previsione del danno come elemento caratterizzante in alternativa allo scopo di profitto. Quindi non si terrà contro del solo profitto economico dell’autore dell’illecito ma anche del danno arrecato agli interessati, compreso il danno d’immagine e reputazionale della vittima, in tal modo coprendo le fattispecie di revenge porn.
Revenge porn è l’espressione anglosassone con cui si indica la pubblicazione sul web di foto o video, anche molto intimi ed espliciti, a scopo di vendetta. Spesso accade che la diffusione di un certo tipo di immagini o video pornografici segua la fine di una relazione sentimentale e venga utilizzata come strumento di vendetta nei confronti delle vittime, che sono prevalentemente donne. Si tratta, indubitabilmente, di un esempio estremo di come le tecnologie possano essere utilizzare per esercitare potere e controllo su altre persone, prevalentemente donne. Si tratta di episodi gravissimi ai quali conseguono ripercussioni a livello psicologico inimmaginabili, spingendo in alcuni casi le vittime fino a gesti estremi.
Le leggi vigenti in Italia non riescono a contrastare adeguatamente il fenomeno dei video privati diffusi per vendetta, per questo da anni si chiede una normativa adeguata al periodo storico che stiamo vivendo.
Ricordiamo che in Italia, a differenza di altri paesi come Israele, Germania, Regno Unito, 34 stati degli Stati Uniti e Australia, non esiste una legge specifica che punisca il revenge porn. Qui da noi, anche in virtù di un quadro normativo ad ampio spettro, la fattispecie in questione può essere inquadrata come diffamazione, violazione della privacy, stalking, estorsione, o trattamento illecito dei dati. Ma l'aumentare dei casi e la loro pericolosità intrinseca per le vittime impone un aggiornamento delle norme, ed è probabilmente per questo motivo che si è preferito non abolire le fattispecie penali ma adeguarle.
Si tratta, quindi, di una modifica molto attesa considerato che vi sono numerosi casi nei quali l’uso illecito dei dati viene rivolto proprio a danneggiare la reputazione della vittima.
I reati previsti dal Codice sono:
• il trattamento illecito dei dati,
• la comunicazione e la diffusione illecita di dati personali oggetto di trattamento su larga scala,
• l'acquisizione fraudolenta di dati personali oggetto di trattamento su larga scala,
• la falsità nelle dichiarazioni al garante,
• l'interruzione dell'esecuzione di compiti e poteri del garante,
• l'inosservanza dei provvedimenti del garante.
In tema ricordiamo che il regolamento europeo non dispone alcuna abrogazione di reati penali, e in particolare l'orientamento recente della Corte di Giustizia europea stabilisce che il problema del ne bis in idem si presenta solo nel momento in cui la sanzione amministrativa irrogata assume natura penale e quando il fatto è identico. È quindi ritenuto ammissibile un “doppio binario” (amministrativo e penale) nel momento in cui i procedimenti, e le sanzioni, perseguono scopi complementari riguardanti aspetti diversi del medesimo comportamento illecito.
A tal proposito un comma dell’art. 167 del Codice stabilisce che: “Quando per lo stesso fatto è applicata a norma del presente codice o del Regolamento a carico dell'imputato o dell'ente una sanzione amministrativa pecuniaria dal Garante e questa è stata riscossa, la pena è diminuita”. La norma, però, appare del tutto indeterminata rispetto ai criteri per stabilire la diminuzione.
I reati previsti dall’art. 167 bis e 167 ter del Codice hanno come elemento caratterizzate il trattamento su larga scala, concetto già introdotto dal regolamento e sostanziato dai pareri del Working Party art. 29 (oggi European Data Protection Board). L’attuazione della norma penale potrebbe creare problemi di tassatività essendo il concetto estraneo alla normativa criminale.
Viene introdotto, inoltre, l’obbligo per il PM procedente di chiedere un parere al Garante, il quale stabilirà se ci sono gli estremi del reato. In tal modo l’obbligatorietà dell’azione penale finisce per essere subordinata al parere del Garante.
Periodo di grazia e definizioni agevolate
L’approccio iniziale è piuttosto morbido, così come richiesto dai pareri di Camera e Senato e dallo stesso Garante privacy. Il decreto, infatti, prevede (art. 22 comma 13 del decreto) che per un periodo di 8 mesi l’autorità di controllo (il Garante) dovrà tenere conto del fatto che si tratta di una normativa nuova, nell’applicazione delle sanzioni. Questo non vuol dire che le imprese possono attendere altro tempo per adeguarsi alla normativa, visto che comunque il regolamento è già in vigore e pienamente applicabile.
Vengono estesi i poteri del Garante, che avrà la possibilità di introdurre semplificazione per le piccole e medie imprese, per l’adempimento degli obblighi gravanti sui titolari del trattamento.
Con riguardo ai procedimenti amministrativi pendenti alla data di applicazione del decreto (circa 1.200), si prevede la definizione agevolata col pagamento dei due quinti della sanzione minima, purché nei 90 giorni dalla data di entrata in vigore del decreto.
A tal proposito ricordiamo che il regolamento europeo non prevede più l’istituto del ricorso, per cui ulteriori iniziative nascenti da atti differenti dal reclamo dovranno essere confermati dall’interessato nei 60 giorni, a pena di improcedibilità, compreso del resto le verifiche preliminari (prior checking), anche esse abolite dal GDPR (tranne per i casi di valutazione di impatto del trattamento). I reclami, invece, saranno trattati regolarmente come tali.
Il procedimento dinanzi al Garante sarà improntato al principio del contraddittorio, come già avviene per altre autorità.
I codici deontologici, e anche le autorizzazioni generali del Garante rimangono in vigore fino all’eventuale revisione, se necessaria.
Legittimi interessi
A decorrere dal 25 maggio 2018, le disposizioni di cui ai commi 1022 e 1023 dell'articolo 1 della legge 27 dicembre 2017, n. 205, che stabiliscono l’obbligo di notificare previamente i trattamenti basati sui legittimi interessi al Garante, si applicano si applicano esclusivamente ai trattamenti dei dati personali funzionali all'autorizzazione del cambiamento del nome o del cognome dei minorenni. Il Garante può adottare provvedimenti generali in materia. L’obbligo previsto precedentemente era in contrasto col principio di accountability del regolamento europeo che stabilisce che sia il titolare del trattamento in autonomia a decidere la base giuridica del trattamento, salvo ovviamente verifiche, e sanzioni eventuali, successive.
È stato, quindi, recepito il parere del Garante nazionale, limitando l’obbligo di notifica ai trattamenti svolti per l’esecuzione di un compito di interesse pubblico che può presentare rischi particolarmente elevati.
Whistleblowing
La norma sul whistleblowing viene corretta, mantenendo non accessibile a nessuno il nome del dipendente che segnala l'illecito (art. 2 undecies lett. f), nemmeno in base al diritto di accesso di cui al GDPR o al diritto di accesso ai documenti amministrativi, così salvaguardando l’identità del whistleblower.
Scalabilità
Nel Codice non sembra presente alcun riferimento al principio che permette di adeguare gli obblighi alle aziende (scalabilità), non potendo trattare le piccole e medie aziende alla stregua delle multinazionali. Si tratta di un aspetto fondamentale, che permea l’intero regolamento europeo, e che porta all’effettiva semplificazione degli oneri a carico di alcune aziende e quindi alla riduzione della burocratizzazione degli adempimenti.
Eliminazione delle generalità sui provvedimenti giudiziari
L’art. 52 del Codice prevede, anche nel vecchio testo, la possibilità per gli interessati di chiedere l’annotazione sull’originale del provvedimento giudiziario che in caso di diffusione occorre omettere le generalità. Nel testo proposto era presente l’inciso “per finalità di informazione giuridica su riviste
giuridiche, supporti elettronici o mediante reti di comunicazione elettronica”, che però è stato soppresso nel testo finale, quello pubblicato. Sia il Garante europeo che l’Organismo congressuale Forense e l’AIGA hanno criticato questo soppressione in quanto l’attuale testo può creare confusione. Le sentenza, infatti, devono essere complete dei dati necessari, per cui la norma riguarda la possibilità che le sentenze pubblicate online o su riviste cartacee non riportino le generalità e altri dati identificativi dell’interessato. Col testo attuale, invece, si potrebbero avere problemi per l’utilizzazione dei duplicati e/o delle copie informatiche, non essendo chiaro che si riferisce ai soli casi di utilizzazioni diverse dall’esercizio dei diritti alla tutela giudiziaria.
Ovviamente si tratta solo di una prima lettura dei punti principali di un testo che si presenta piuttosto complesso.