Avv. Bruna Alessandra Fossati
Lo scorso 4 settembre, la pubblicazione in Gazzetta Ufficiale ha segnato l’approvazione in del decreto attuativo del Regolamento UE 2016/679 meglio noto come GDPR. Cosa si conferma e si smentisce rispetto alle previsioni? L’analisi dell’Avv. Bruna Alessandra Fossati.
Il 4 settembre scorso con la pubblicazione in Gazzetta Ufficiale del Decreto legislativo n. 101 del 10 agosto 2018 contenente le disposizioni per l’adeguamento della normativa nazionale ai principi del Regolamento UE 2016/679 (GDPR) relativo alla protezione delle persone fisiche con riguardo al trattamento dei dati personali, nonché alla loro libera circolazione, l’Italia si è formalmente (e finalmente) adeguata alla normativa europea in materia di privacy, più rispondente all’innovazione tecnologica ed economica-commerciale degli ultimi decenni.
Il Decreto entrerà in vigore il 19 settembre prossimo. Il testo pubblicato è quello licenziato dal Consiglio dei Ministri nella seduta dell’8 agosto 2018 sul contenuto del quale si è scritto e letto molto, anche indiscrezioni del tutto non confermate.
La prima clamorosa smentita, di grande impatto in quanto relativa al profilo sanzionatorio, è che non esiste alcuna norma che preveda la sospensione, fino alla fine di aprile 2019, dell’attività ispettiva del Garante. I più ottimisti (o, verosimilmente, i ritardatari) andavano sostenendo che, per un periodo di otto mesi dall’emanazione del Decreto, il Garante Privacy non avrebbe compiuto controlli, attuando una sorta di moratoria.
Il testo appena pubblicato prevede altro: per i primi otto mesi dalla data di entrata in vigore del Decreto, il Garante Privacy, ai fini dell’applicazione delle sanzioni amministrative e nei limiti in cui risulti compatibile con le disposizioni del Regolamento UE, terrà conto della fase di prima applicazione delle disposizioni sanzionatorie. Verosimilmente dunque il Garante per i primi otto mesi sarà più “indulgente” nell’erogare le sanzioni, operando una valutazione di molteplici fattori, il che non esclude – tutt’altro – una sua attività ispettiva.
Già da una prima lettura, il testo del Decreto soffre e rispecchia la stagione politica in cui è nato, in particolare, il contrasto tra la scelta iniziale di abrogare il previgente Codice Privacy per sostituirlo integralmente con un nuovo testo, e quella, poi di fatto adottata, di mantenerlo introducendo le necessarie modifiche.
La prima grande difficoltà degli addetti ai lavori è dunque di ordine pratico: il coordinamento delle norme vigenti. Il Regolamento UE da un lato, il nuovo Decreto legislativo e il Codice Privacy del 2003 come novellato per effetto delle nuove norme.
Le difficoltà interpretative e applicative di un sistema normativo così articolato e complesso potranno portare ad un incremento del contenzioso: ricorsi potranno derivare per alcuni aspetti relativi alle norme penali, altri per chiarimenti di ordine applicativo della nuova normativa, altri ancora per impugnare i provvedimenti del Garante, tenuto conto anche di una novità molto importante, che merita di essere segnalata.
La nuova normativa stabilisce infatti che gli interessati possano ricorrere sia al Garante sia all’Autorità giudiziaria ordinaria (direttamente o contro un provvedimento del Garante), conferendo mandato a un ente del terzo settore di agire per suo conto. Insomma una sorta di class action.
Inoltre, con riguardo agli aspetti innovativi della disciplina che possono aumentare il contenzioso anche davanti alla Autorità giudiziaria ordinaria, il Decreto legittima esplicitamente il Garante ad agire in giudizio nei confronti del titolare o del responsabile del trattamento in caso di violazioni delle disposizioni in materia di dati personali.
Una delle novità più importanti del Decreto riguarda proprio le conseguenze dell’omesso rispetto della disciplina in materia di privacy, sia con la previsione di un’azione diretta da parte del Garante sia dedicando alle violazioni apposite sanzioni amministrative e penali.
Il Decreto, irrigidendo l’alleggerimento sanzionatorio operato dal GDPR che prevede un maggior numero di sanzioni di natura amministrativa rispetto a quelle di natura penale, ha recuperato alcune figure di reato, quali il trattamento illecito di dati personali, l’acquisizione fraudolenta e le false dichiarazioni rese al Garante.
Per quanto riguarda invece le sanzioni amministrative, le imprese che violano gli obblighi di cui al Decreto potranno essere assoggettate a sanzioni amministrative tra i 10 e i 20 milioni di euro o tra il 2 e il 4% del fatturato mondiale annuo.
Il rafforzamento dei poteri del Garante si estende anche alla adozione di regole deontologiche, provvedimenti a carattere generale e misure di garanzia. Questi poteri riguardano settori specifici come avviene nel caso dei trattamenti di dati genetici, biometrici e relativi alla salute, allo scopo di garantire un punto di equilibrio tra le ragioni della ricerca scientifica e la tutela degli interessati.
Il Garante dovrà esprimersi altresì sulle misure di semplificazione per le micro, piccole e medie imprese, promuovendo modalità semplificate di adempimento degli obblighi del titolare del trattamento.
Continuando la disamina delle modifiche più significative apportate dal Decreto, con riferimento ai servizi diretti offerti dalla società dell’informazione (i social) il consenso al trattamento dei propri dati personali può essere validamente espresso in prima persona dal soggetto che ha compiuto quattordici anni. Per i minori di quattordici anni, il consenso dovrà essere esercitato da chi ne esercita la responsabilità genitoriale.
Tra le novità di primario rilievo vi è inoltre la specificazione delle regole alle quali deve attenersi il titolare del trattamento in caso di ricezione di curricula vitae inviati spontaneamente e finalizzati all’instaurazione di un rapporto di lavoro. Il Decreto stabilisce che le informazioni disciplinate all’art. 13 GDPR devono essere fornite solo al momento del primo contatto utile successivo all’invio del curriculum. Quindi, in via generale, non è necessario esprimere un consenso al trattamento dei dati già nel curriculum.
Tra le novità merita di essere menzionata anche la norma che si occupa dei diritti delle persone decedute. In particolare, i diritti in materia di privacy dettati dal GDPR e riferiti ai dati personali di soggetti deceduti possono essere esercitati da chi ha un interesse proprio o agisce a tutela dell’interessato in qualità di suo mandatario o per ragioni familiari meritevoli di protezione. Ciò tranne nei casi previsti dalla legge o, limitatamente all’offerta diretta di servizi della società dell’informazione, se l’interessato lo ha vietato espressamente, in maniera inequivoca, specifica, libera e informata, con una dichiarazione scritta presentata o comunicata al titolare del trattamento.
In sintesi, dunque, queste sono le prime considerazioni sul Decreto attuativo. Ulteriori saranno rimesse ad un esame approfondito e coordinato di ciascun articolo e ad una valutazione della prima applicazione coordinata con il Regolamento UE e con ciò che rimane del “vecchio” Codice Privacy. Il tutto ovviamente con un occhio rivolto all’attività delle Autorità di controllo europee per avere chiara l’evoluzione uniforme ed extra-territoriale della tutela dei dati personali.