Dal 25 maggio del 2018 entrerà in vigore il Regolamento generale per la protezione dei dati personali (GDPR) approvato dall’Unione europea nel maggio del 2016. Il fatto di essere un regolamento, a differenza della normativa precedente che era inserita in una direttiva, implica che non vi è non solo la necessità di una legge nazionale di recepimento delle norme, ma nemmeno vi è spazio per una tale normativa. Tutto ciò che rimane da fare ai singoli Stati è emanare una legge che adegui le norme vigenti eliminando le incompatibilità, ed eventualmente fornisca alle autorità garanti nuovi mezzi per i suoi compiti.

Con la legge di bilancio del 2018 (8 (Legge 27 dicembre 2017, n. 205, G.U. n.302 del 29-12-2017 - Suppl. Ordinario n. 62), il legislatore ha, infatti, inserito alcune norme. Mentre, però, il testo sostiene che le norme siano “al fine di adeguare l'ordinamento interno al regolamento (UE) 2016/679”, nella realtà alcune di queste norme finiscono per modificare l’impianto del GDPR, rimanendo in contrasto con le norme europee.
Infatti, un emendamento approvato in Commissione bilancio alla Camera ha introdotto il seguente comma:

1022. Il titolare di dati personali, individuato ai sensi dell'articolo 4, numero 7), del regolamento RGPD, ove effettui un trattamento fondato sull'interesse legittimo che prevede l'uso di nuove tecnologie o di strumenti automatizzati, deve darne tempestiva comunicazione al Garante per la protezione dei dati personali. A tale fine, prima di procedere al trattamento, il titolare dei dati invia al Garante un'informativa relativa all'oggetto, alle finalità e al contesto del trattamento, utilizzando il modello di cui al comma 1021, lettera c). Trascorsi quindici giorni lavorativi dall'invio dell'informativa, in assenza di risposta da parte del Garante, il titolare può procedere al trattamento.

La norma riguarda l’istituto dei legittimi interessi del titolare del trattamento, che è una delle possibili basi giuridiche del trattamento. In generale consente al titolare di trattare dati, anche in assenza di consenso, purché sussistano determinati requisiti, e in particolare occorre che il titolare abbia necessità di elaborare il dato, che bilanci tale interesse con i diritti e le libertà degli utenti, e che il trattamento sia equo. Questo istituto è inserito in un quadro più generale che valorizza le scelte del titolare, il quale dovrà, però, analizzare correttamente i rischi derivanti dal trattamento dei dati (casomai redigendo una DPIA, valutazione di impatto del trattamento), e bilanciare gli interessi delle parti.

Tale istituto era già previsto dalla direttiva precedente, ma poco conosciuto in Italia perché, in base alla legge di recepimento della norme della direttiva europea, il legislatore italiano aveva sostanzialmente riservato all’Autorità Garante per la protezione dei dati personali il bilanciamento degli interessi. Quindi fino a maggio 2018 occorre rivolgersi al Garante in via preventiva.

In base alla normativa europea, invece, nell’ambito del principio di responsabilizzazione, compete al titolare del trattamento effettuare tale bilanciamento, così consentendo un’applicazione generalizzata dell’istituto. Rimane in capo al Garante una possibilità di verifica successiva, per evitare abusi.
Al legislatore italiano, però, evidentemente non piace dare troppa libertà, per cui l’emendamento rivolta la situazione obbligando il titolare a fare una comunicazione preventiva al Garante (sulla base di un modello che dovrebbe predisporre il Garante stesso). È vero che trascorsi 15 giorni comunque potrà avviare il trattamento, ma nella pratica si configura più come una verifica preventiva. Il Garante, infatti, procederà alla sua verifica e potrà bloccare il trattamento.

Questa situazione non solo determina un contrasto tra la normativa italiana e quella europea, ma renderà sicuramente molto più gravoso il compito del Garante. Infatti, oggi tutti i trattamenti sono basati su nuove tecnologie o strumenti automatizzati, quindi di fatto tutti i trattamenti basati sui legittimi interessi dovranno essere notificati al Garante che dovrà vagliarli tutti.

1023. Il Garante per la protezione dei dati personali effettua un'istruttoria sulla base dell'informativa ricevuta dal titolare ai sensi del comma 1022 e, ove ravvisi il rischio che dal trattamento derivi una lesione dei diritti e delle libertà dei soggetti interessati, dispone la moratoria del trattamento per un periodo massimo di trenta giorni. In tale periodo, il Garante può chiedere al titolare ulteriori informazioni e integrazioni, da rendere tempestivamente, e, qualora ritenga che dal trattamento derivi comunque una lesione dei diritti e delle libertà del soggetto interessato, dispone l'inibitoria all'utilizzo dei dati.

È pacifico che l'istituto dei legittimi interessi potrebbe consentire abusi nel trattamento dei dati e diventare un escamotage per non dover richiedere il consenso, ma proprio per questo esiste la verifica successiva del Garante, che potrà concentrarsi sui casi più pericolosi, e quelli segnalati.
Infine, teniamo presente che tale normativa potrebbe portare problemi alle aziende che operano in vari paesi dell’Unione, dovendo avere a che fare con oneri differenti a seconda del paese.