La prima notizia del 2018 arriva come un fulmine a ciel sereno, inaspettata e abilmente nascosta tra le innumerevoli previsioni della legge di bilancio. Quello che è successo è che è stata introdotta una modifica di enorme impatto rispetto al Regolamento Europeo sulla protezione dei dati, che ci fa fare un passo indietro e che aggrava ulteriormente la complessità burocratica derivante dal Regolamento stesso (cosa di cui, francamente, non si sentiva bisogno). La modifica legislativa è disponibile sul nostro sito alla pagina web www.studiozallone.it… I fatti sono questi: all’interno della legge di bilancio (legge 205 del 27.12.2017) i commi da 1020 a 1025 introducono una nuova disciplina relativa alla privacy che, in apparenza (ma solo in apparenza) tende a dare attuazione al regolamento ma che, nella sostanza, lo modifica in maniera significativa introducendo un obbligo di notifica preventiva che nel GDPR non esiste. Si tratta di questo: il GDPR modifica sostanzialmente la attuale impostazione dei requisiti di legittimità del trattamento disciplinata dal nostro codice privacy. Il codice prevede come unico requisito di legittimità il consenso dell’interessato (art. 23) salvo poi introdurre tutte le eccezioni alla necessità di ottenere il consenso nel successivo articolo 24. Secondo la Direttiva invece (ed ora secondo il Regolamento), il consenso è solo uno dei vari requisiti di legittimità per il trattamento dei dati, uno dei quali è quello previsto dall’articolo 7, lettera f) della Direttiva, secondo cui il trattamento è consentito qualora sia “necessario per il perseguimento dell’interesse legittimo del responsabile del trattamento oppure del o dei terzi cui vengano comunicati i dati, a condizione che non prevalgano l’interesse o i diritti e le libertà fondamentali della persona interessata” . Si tratta del c.d. “bilanciamento di interessi” che il nostro legislatore ha ristretto in maniera sostanziale con il dettato dell’articolo 24.1. (g), che ha limitato questa possibilità ai “casi individuati dal Garante”. Il che significa che: o il Garante emette di sua iniziativa un provvedimento per indicare quali siano questi casi (e finora sono stati molto pochi), oppure occorre fare una istanza specifica al Garante stesso per ricevere una declaratoria di sussistenza dell’interesse legittimo. Il GDPR, come si diceva sopra, ha ripreso la stessa impostazione della Direttiva e, all’articolo 6.1 (f), ha previsto lo stesso principio di bilanciamento di interessi, con minime variazioni lessicali. La legge di bilancio, ai commi 1020-1025, prevede ora, tra l’altro, che il Garante debba disciplinare come effettuare le verifiche sulla interoperabilità dei formati con cui i dati sono messi a disposizione dell’interessato, al fine di assicurare il rispetto del principio della portabilità dei dati, e poi introduce questa nuova, incomprensibile e clamorosa limitazione: “1022. Il titolare di dati personali, individuato ai sensi dell’articolo 4, numero 7), del regolamento RGPD, ove effettui un trattamento fondato sull’interesse legittimo che prevede l’uso di nuove tecnologie o di strumenti automatizzati, deve darne tempestiva comunicazione al Garante per la protezione dei dati personali. A tale fine, prima di procedere al trattamento, il titolare dei dati invia al Garante un’informativa relativa all’oggetto, alle finalita’ e al contesto del trattamento, utilizzando il modello di cui al comma 1021, lettera c). Trascorsi quindici giorni lavorativi dall’invio dell’informativa, in assenza di risposta da parte del Garante, il titolare puo’ procedere al trattamento.” In altre e semplici parole, il nostro legislatore ha deciso di limitare nuovamente il principio del bilanciamento di interessi, ponendo una restrizione significativa alla introduzione di un principio invece sacrosanto. Faccio un banale esempio, che faccio da anni semplicemente perché assistetti ad un divertente siparietto cui diede inizio il legale responsabile della privacy di una grande multinazionale: se una azienda decide di predisporre l’elenco telefonico interno, lo fa per perseguire un proprio interesse legittimo; l’elenco telefonico interno, peraltro, non è previsto da nessun contratto collettivo o da una norma di legge per cui, secondo la legge italiana, per predisporre e mettere a disposizione della mia organizzazione l’elenco telefonico interno occorre o chiedere il consenso dell’interessato o presentare una istanza al Garante: qualcuno crede che questa sia una situazione normale? La domanda, in questi termini, fu fatta proprio da questa persona al Garante (all’epoca il compianto prof. Rodotà), il quale non seppe (e non poteva essere diversamente) dare una risposta logica. Con l’applicazione del Regolamento speravamo di aver superato questa viscosità burocratica, ma evidentemente ci siamo sbagliati. Il risultato della modifica legislativa inserita nella legge finanziaria è che il Garante sarà inondato da queste c.d. “informative” (che per pudore il legislatore non ha chiamato notifiche, anche perché si sarebbe posto in evidente contrasto con una delle sbandierate novità del Regolamento, cioè proprio l’aver eliminato le notifiche preventive). La notifica (chiamiamo pure le cose con il loro nome) dovrà essere fatta su un modello che il Garante ha l’obbligo di predisporre nei prossimi due mesi e dovrà indicare, tra l’altro, oggetto, finalità e contesto del trattamento. Nel corso della mia vita professionale ho presentato numerose istanze al Garante e, sulla base della mia recente esperienza, è mia ferma opinione che il Garante non sarà mai in grado di rispondere nel termine molto stringente( due settimane) previsto dalla Finanziaria, con l’ulteriore possibile risultato che, all’arrivo delle notifiche, dall’ufficio del Garante parta automaticamente una risposta con richiesta di chiarimenti o comunque una risposta interlocutoria, per consentire di prendere tempo e non far scadere il termine (spero che i fatti mi smentiscano, ma ne dubito). Ci domandiamo francamente quanto questa modifica sia legittima: il Regolamento, infatti, prevede che gli Stati Membri possano regolamentare specifici trattamenti, nei limiti ben ristretti previsti dal considerando 10 del GDPR, ma qui si tratta di cosa ben diversa: non si tratta di disciplinare un trattamento specifico, ma di una vera e propria modifica procedurale che introduce una sostanziale limitazione ai requisiti di liceità del trattamento più in generale ed incide non su una sola categoria, ma disciplina in maniera autonoma ed eccentrica rispetto al GDPR tutta una serie di trattamenti, indipendentemente da finalità, modalità ed oggetto. Concludiamo su questa non lieta novella ricordando un particolare importante, per onore di cronaca e per mettere le cose in prospettiva: chi abbia avuto recentemente bisogno di fare una istanza al Garante ex articolo 17 sa che il tempo di risposta a queste istanze è attualmente di circa un anno (e talvolta anche di più): ognuno tragga le proprie conclusioni. E così, con l’anno nuovo, salutiamo una delle poche semplificazioni che il GDPR ci aveva regalato.
Comments are closed.