LEXALIA PRIVACY NEWSLETTER – GENNAIO 2018

LEGGE DI BILANCIO 2018 E NOVITA’ PRIVACY

 

La Legge di bilancio 2018 (Legge 27 dicembre 2017, n. 205), con l’art. 1, commi da 1020 a 1025 ha introdotto una serie di novità (alcune dal contenuto alquanto discutibile) volte a fornire attuazione al Regolamento Generale per la Protezione dei Dati Personali n. 679/2016 (“GDPR”).

  • Il Comma 1020 stabilisce che “al fine di adeguare l’ordinamento interno al regolamento (UE) 2016/679 … il Garante per la protezione dei dati personali assicura la tutela dei diritti fondamentali e delle libertà dei cittadini e ha l’esclusivo compito di ribadire le funzioni ed i compiti del Garante, peraltro già ampiamente delineati sin dalla Legge 675/1996 e poi dal D.Lgs. 196/2003 e dagli artt. 51 e seguenti del GDPR.
  • Il comma 1020 ha imposto al Garante di adottare entro due mesi dalla data di entrata in vigore della legge (ovverosia entro il 28 febbraio 2018), un provvedimento interno, nell’ambito del quale si disciplinino:
  1. a) le modalità attraverso le quali il Garante stesso monitora l’applicazione del GDPR e vigila sulla sua applicazione;
  2. b) le modalità di verifica, anche attraverso l’acquisizione di informazioni dai Titolari del trattamento dei dati personali trattati per via automatizzata o tramite tecnologie digitali, della presenza di adeguate infrastrutture per l’interoperabilità dei formati con cui i dati sono messi a disposizione dei soggetti Interessati, sia ai fini della portabilità (art. 20 del GDPR), sia ai fini dell’adeguamento tempestivo alle disposizioni del regolamento stesso;
  3. c) la predisposizione di un modello di informativa da compilare a cura dei Titolari che effettuano un trattamento fondato sull’interesse legittimo che prevede l’utilizzo di nuove tecnologie o di strumenti automatizzati;
  4. d) definisce linee-guida o buone prassi in materia di trattamento dei dati personali fondato sull’interesse legittimo del Titolare.

 

Tale previsione, ed in particolare la lettera b) che precede, sembra essere parzialmente in contrasto con il GDPR, essendo fondata sul concetto di adeguare le infrastrutture aziendali ex ante. Come noto, infatti, è proprio il Regolamento Europeo a incoraggiare i titolari del trattamento a sviluppare formati interoperabili che consentano la portabilità dei dati, senza, però, obbligare gli stessi ad “adottare o mantenere sistemi di trattamento tecnicamente compatibili”.

Anche la predisposizione di un modello di informativa e di linee guida esula dalle finalità e dai contenuti del GDPR che scoraggiano la predisposizione di modelli documentali astratti e non fondati su un’attenta analisi della realtà aziendale di riferimento e che delegano al Comitato Europeo per la Protezione dei Dati la pubblicazione di linee guida, raccomandazioni e migliori prassi al fine di promuovere l’applicazione coerente del presente Regolamento (art. 70.1.e) del GDPR).

  • Il comma 1022 statuisce che il Titolare del trattamento “ove effettui un trattamento fondato sull’interesse legittimo che prevede l’uso di nuove tecnologie o di strumenti automatizzati, deve darne tempestiva comunicazione al Garante per la protezione dei dati personali. A tale fine, prima di procedere al trattamento, il titolare dei dati invia al Garante un’informativa relativa all’oggetto, alle finalità e al contesto del trattamento … trascorsi quindici giorni lavorativi dall’invio dell’informativa, in assenza di risposta da parte del Garante, il titolare può procedere al trattamento”. Una volta ricevuta tale comunicazione, ai sensi del successivo comma 1023, il Garante dovrà effettuare “un’istruttoria sulla base dell’informativa ricevuta dal titolare e, ove ravvisi il rischio che dal trattamento derivi una lesione dei diritti e delle libertà dei soggetti interessati, dispone la moratoria del trattamento per un periodo massimo di trenta giorni … qualora ritenga che dal trattamento derivi comunque una lesione dei diritti e delle libertà del soggetto interessato, dispone l’inibitoria all’utilizzo dei dati”.

Tali commi hanno, di fatto, introdotto una sorta di notificazione ed autorizzazione privacy ex ante, in contrasto con il GDPR che ha, dal suo canto, eliminato ogni notificazione all’Autorità Garante, riducendo all’osso il perimetro delle autorizzazioni e delle consultazioni preliminari.

  • I successivi commi 1024 e 1025 stabiliscono una serie di obblighi di rendicontazione del Garante ed uno stanziamento ulteriore di Euro 2.000.000,00 per l’attuazione delle disposizioni di cui ai commi 1020-1024.

Le novità legislative contenute nella Legge di Bilancio 2018 si sono andate ad aggiungere ai già più che dibattuti interventi del legislatore italiano attuati con:

  1. l’ 13 della Legge 25/10/2017, n. 163 (Delega al Governo per il recepimento delle direttive europee e l’attuazione di altri atti dell’Unione europea) nell’ambito della quale è stato delegata al governo Italiano l’adozione entro il 21 maggio 2018, di uno o più decreti legislativi al fine di adeguare il quadro normativo nazionale alle disposizioni del GDPR[1], e con
  2. l’ 28 della Legge 20/11/2017, n. 167, nell’ambito del quale, tra l’altro, il legislatore nazionale ha uniformato (con risultati ancora non del tutto incoraggianti) la figura del Responsabile del trattamento dei dati ex art. 29 del Codice della Privacy con quella delineata dal GDPR ed ha introdotto la possibilità, previa autorizzazione del Garante, del riutilizzo di dati personali, anche sensibili (ad esclusione di quelli genetici), per scopi statistici e di ricerca scientifica, a condizione che siano adottate forme preventive di minimizzazione e anonimizzazione dei dati.

Il prossimo passo che si attende dal (nuovo) governo è quello dell’emanazione dei decreti legislativi oggetto di delega ai sensi della Legge 163/2017, si spera con risultati più incoraggianti e più in linea con le finalità ed i contenuti del GDPR, rispetto a quelli ottenuti con la Legge di Bilancio 2018.

[1] La Legge 163/2017 ha fissato i principi che il governo dovrà seguire nell’emanazione dei citati decreti legislativi, ovverosia: (i) abrogare espressamente le disposizioni del Codice della Privacy incompatibili con le disposizioni del GDPR; (ii) modificare il Codice della Privacy limitatamente a quanto necessario per dare attuazione alle disposizioni non direttamente applicabili contenute nel GDPR; (iii) coordinare le disposizioni vigenti in materia di protezione dei dati personali con le disposizioni recate dal GDPR; (iv) prevedere il ricorso a specifici provvedimenti attuativi e integrativi adottati dal Garante per la protezione dei dati personali per le finalità previste dal GDPR e (v) Adeguare il sistema sanzionatorio penale e amministrativo vigente alle disposizioni del GDPR.

[1] La Legge 163/2017 ha fissato i principi che il governo dovrà seguire nell’emanazione dei citati decreti legislativi, ovverosia: (i) abrogare espressamente le disposizioni del Codice della Privacy incompatibili con le disposizioni del GDPR; (ii) modificare il Codice della Privacy limitatamente a quanto necessario per dare attuazione alle disposizioni non direttamente applicabili contenute nel GDPR; (iii) coordinare le disposizioni vigenti in materia di protezione dei dati personali con le disposizioni recate dal GDPR; (iv) prevedere il ricorso a specifici provvedimenti attuativi e integrativi adottati dal Garante per la protezione dei dati personali per le finalità previste dal GDPR e (v) Adeguare il sistema sanzionatorio penale e amministrativo vigente alle disposizioni del GDPR.