30 ottobre 2018

Il “nuovo” Codice privacy – breve rassegna delle novità

di Enrico Pelino Scarica in PDF

Il 19 settembre scorso è entrato in vigore l’ormai attesissimo d.lgs. 101/2018, che ha novellato il Codice privacy (d.lgs. 196/03) per adeguarlo al Regolamento europeo in materia di protezione dei dati personali.

L’occasione dunque è utile per tracciare un primo quadro delle principali novità. Necessari limiti di spazio limiteranno questa breve rassegna ad alcuni temi.

Reclamo e segnalazione. Prevedibilmente, e opportunamente, è stato eliminato il ricorso al Garante, assorbendolo concettualmente nel rimedio reclamo, del quale è fissata la durata massima in nove-dodici mesi. Il termine non è esente da perplessità circa la sua compatibilità con la disciplina europea. Vero infatti che il Regolamento non prescrive termini di durata, tuttavia all’interprete è autorizzata dall’art. 78.2 GDPR qualche deduzione in merito a una tempistica decisamente più breve.

Viene mantenuto lo strumento della segnalazione, ma con un profilo applicativo in parte mutato.

Dati sulla salute. Spicca rispetto al passato, ed è certamente positivo, l’eliminazione del consenso per il trattamento dei dati sulla salute in ambito sanitario.

La misura era particolarmente attesa, ma non scontata: la possibilità di deroga concessa dall’art. 9.4 GDPR al legislatore nazionale avrebbe potuto essere anche declinata nel senso di mantenere la base giuridica nel consenso, come in precedenza.

Le strutture sanitarie potranno dunque cessare di accumulare attestazioni di manifestazione del consenso e liberare risorse ed energie per altre attività.

La norma di riferimento è oggi l’art. 2-septies Cod. priv., che prevede un sostanziale coinvolgimento del Garante, chiamato a definire misure di garanzia dell’interessato, soggette a revisione biennale, previa consultazione pubblica.

Autorizzazioni generali. Una parte non marginale della disciplina era contenuta in passato nelle autorizzazioni generali del Garante, emanate ai sensi dell’oggi abrogato art. 40 Cod. priv.

Questo strumento ha avuto notevoli pregi, rappresentando anche un terreno di affinamento concettuale per il giurista. E con il Regolamento?

Non tutto è perduto: la disciplina transitoria introdotta dall’art. 21 d.lgs. 101/2018 onera il Garante di un’attività di selezione e aggiornamento delle prescrizioni contenute delle autorizzazioni generali, da condurre anche attraverso una consultazione pubblica. Questo vaglio è ovviamente ammesso solo entro gli spazi di precisazione nazionale o di deroga consentiti dal Regolamento.

Allegati al Codice privacy. Non sono stati affrontati dalla riforma ma, per così dire, “messi in frigorifero” e lasciati alla futura selezione del Garante secondo due procedimenti diversi. Le ragioni per le quali questa porzione della normativa è stata risparmiata dalla riforma sono riconducibili, in parte, alla circostanza che si tratta di testi prodotti in seguito all’interlocuzione dell’Autorità di controllo con vari soggetti anche istituzionali, non coinvolgibili nei tempi stretti di una novella giunta per così dire “in limine litis”.

Comunque, non si possono sottacere motivi di rammarico per quello che appare uno dei maggiori passaggi incompiuti della novella, anche perché in quegli allegati si annidano talvolta soluzioni ormai incompatibili con la disciplina europea (ma anche con il “nuovo” Codice privacy), che andrebbero probabilmente disapplicate. “Probabilmente”: qui infatti il giurista opera su un terreno insidioso, lontano dalla certezza del diritto che in una materia già così complessa dovrebbe essere garantita.

Perimetrazione stretta del diritto nazionale presupposto. Il diritto nazionale e il Regolamento europeo registrano numerose intersezioni reciproche, ad esempio nell’area rimessa alle deroghe nazionali (in primis art. 23 e Capo IX GDPR). Tuttavia, il terreno in cui l’intersezione è più ricca e complessa è certamente quello del diritto “presupposto”, vale a dire delle disposizioni nazionali sulle quali le norme europee necessariamente poggiano.

Si prenda l’art. 6.1.c) GDPR, trattamento in adempimento di un obbligo di legge: il contenuto dell’obbligo di legge è fornito non solo dal diritto europeo, ma da quello diritto nazionale, dunque sarà tendenzialmente diverso in Italia, Spagna o Francia.

Stesso discorso per l’art. 6.1.e) GDPR. Anche in questo caso il giurista dovrà andare a verificare la normativa nazionale extra-privacy applicabile.

Piace ricordare che il considerando 41 GDPR introduceva, com’è noto, una nozione di diritto nazionale molto ampia ed evoluta, ispirata a un approccio di common law. Sono tali infatti anche disposizioni diverse da norme primarie, dunque – è da ritenere – le circolari applicative, le Faq ministeriali, le prassi e perfino gli orientamenti consolidati del Garante o gli approdi fermi della Cassazione. L’importante è che il diritto nazionale sia chiaro e preciso nella formulazione e prevedibile nell’applicazione.

La riforma del Codice privacy tuttavia ha annullato quasi completamente questa apertura, riducendo il diritto nazionale “presupposto”, almeno in un’ampia serie di casi, alla sola legge o al regolamento, quest’ultimo unicamente nei casi previsti dalla legge.

Qual è la conseguenza? Un restringimento delle basi giuridiche richiamabili: sia di quelle generali dell’art. 6 GDPR (cfr. art. 2-ter Cod. priv.) sia di quelle particolari dell’art. 9 (cfr. art. 2-sexies Cod. priv.). Sono prevedibili non poche difficoltà applicative e revisioni di informative, di procedure e, in molti casi, anche dei registri del trattamento.

Autorizzazione preliminare. Il Regolamento europeo all’art. 36.5 permette al legislatore nazionale una specifica deroga alla regola della consultazione preventiva solo eventuale. È infatti possibile, per trattamenti riconducibili all’esecuzione di un compito di interesse pubblico, rendere obbligatoria l’autorizzazione preliminare del trattamento da parte del Garante.

L’Italia, nel contesto di un piano di deroghe già molto intenso, ha ritenuto qui di cogliere un’ulteriore occasione di deroga, reintroducendo un istituto che – molto alla lontana – ricorda l’ormai abrogata verifica preliminare, cfr. l’attuale art. 2-quinquies decies Cod. priv.

Diritto di controllo ad effetto post-mortem. Costituisce una delle novità più interessanti. Com’è noto infatti i poteri di controllo della persona fisica sui propri dati personali cessano con la morte. Il Codice privacy prevedeva sì l’esercizio di diritti sulle informazioni del deceduto, ma da parte di terzi per interessi attuali loro riconducibili. Non solo questi strumenti, di indubbia utilità pratica, sono stati mantenuti anche con la riforma, ma ne sono stati aggiunti altri del tutto inediti. Oggi l’interessato può infatti conferire mandato a terzi per l’esercizio dei suoi diritti post-mortem e può perfino vietare il trattamento di suoi dati post-mortem da parte dei terzi che vi sarebbero legittimati.

Il divieto si applica ai servizi della società dell’informazione (un contesto dunque molto ampio) e presenta profili non solo di interesse pratico ma anche di grande stimolo su un piano teorico. Cfr. nuovo art. 2-terdecies Cod. priv.

Residui di concezione “consenso-centrica”. Terminiamo questa breve rassegna con un motivo di insoddisfazione. Il “vecchio” Codice ruotava attorno al consenso (almeno per i soggetti privati): unica base giuridica, derogarabile in una serie di ipotesi tassative. Il Regolamento, ma già per la verità la dir. 95/46, è invece ispirato al diverso criterio dell’equipollenza delle basi giuridiche. Spiace allora notare che la novella di adeguamento non abbia sempre fatto un lavoro di pulitura e che qua e là affiorino resti, ormai archeologici, di una concezione “consenso-centrica”. La questione non è teorica, ma pratica. Questi residui confondono infatti l’interprete e rendono talvolta incerto il dettato normativo.  

Centro Studi Forense - Euroconference consiglia

Come strutturare nella pratica il “processo di privacy assessment”