Manca davvero poco alla deadline del 25 maggio 2018, quando troverà piena applicazione il GDPR Privacy (Regolamento UE 2016/679), relativo al trattamento e alla libera circolazione dei dati personali, e il legislatore italiano irrompe sulla scena occupandosi del tema ai commi da 1020 a 1025 dell’art. 1 della legge n. 205/2017, altrimenti nota come Legge di Bilancio 2018.
Se la volontà era quella di garantire maggior chiarezza ai milioni di operatori che verranno interessati dall’applicazione del Regolamento Privacy, dobbiamo purtroppo concludere che si tratta di un obiettivo disatteso.
Quanto stabilito dalla Legge di Bilancio sembra essere, infatti, confliggere con il contenuto della norma europea.
Al comma 1021, si stabilisce che il Garante per la protezione dei dati personali debba emanare un provvedimento con cui:
a) disciplinare le modalità di monitoraggio dell’applicazione del GDPR Privacy;
b) disciplinare le modalità di verifica della presenza di adeguate infrastrutture per l’interoperabilità dei formati con cui i dati sono messi a disposizione dei soggetti interessati;
c) predisporre un modello di informativa per il trattamento dei dati fondato sull’interesse legittimo che prevede l’uso di nuove tecnologie e di strumenti automatizzati e
d) definire linee-guida o buone prassi in materia di trattamento dei dati fondato sull’interesse legittimo del titolare.
Ebbene, le previsioni di cui alle lettere b) e d) vanno in direzione contraria al solco disegnato dal legislatore europeo.
Quanto alla lettera b), infatti, il legislatore italiano sembra dimenticare che nei considerando del GDPR Privacy si stabilisce che “è opportuno incoraggiare i titolari del trattamento a sviluppare formati interoperabili che consentano la portabilità dei dati. (…) Il diritto dell’interessato di trasmettere o ricevere dati personali che lo riguardano non dovrebbe comportare l’obbligo per i titolari del trattamento di adottare o mantenere sistemi di trattamento tecnicamente compatibili”.
Sarà quindi importante verificare che il Garante non imponga un obbligo di adeguamento delle infrastrutture per l’interoperabilità dei formati, soprattutto considerando che il diritto dell’interessato di ricevere i dati personali in formato strutturato, di uso comune, leggibile e interoperabile non dovrebbe applicarsi qualora il trattamento si basi su un fondamento giuridico diverso dal consenso o l’esecuzione di un contratto.
Quanto alla lettera d), invece, l’art. 70, comma 1, lett. e) del Regolamento Privacy prevede espressamente che sia il Comitato Europeo per la protezione dei dati a dover pubblicare “linee-guida, raccomandazioni e migliori prassi” al fine di promuovere l’applicazione coerente del Regolamento.
Mal si comprende, pertanto, come il Garante nazionale possa “scavalcare” il Comitato Europeo, rischiando di pubblicare “linee-guida, raccomandazioni e migliori prassi” in contrasto con quelle europee, così ingenerando un potenziale disorientamento tra gli operatori.
I commi 1022 e 1023, poi, introducono una ipotesi in cui il titolare del trattamento dei dati deve preventivamente rivolgersi al Garante.
In particolare, si stabilisce che il titolare del trattamento debba informare preventivamente il Garante ogni volta che intenda eseguire un trattamento fondato sull’interesse legittimo del titolare o di terzi attraverso l’uso di nuove tecnologie o strumenti automatizzati.
A seguito della comunicazione si aprono due scenari:
- se trascorsi quindici giorni lavorativi il Garante non risponde, allora il titolare del trattamento potrà procedere;
- se, invece, decide di avviare una istruttoria per verificare l’esistenza di un rischio nel trattamento dei dati, il Garante dispone la moratoria per un massimo di trenta giorni al termine dei quali può inibire al titolare l’utilizzo dei dati.
Si tratta di previsioni che tradiscono lo spirito della norma sovranazionale (che relega a pochissimi casi l’ipotesi di consultazione preventiva) e tentano di attribuire al Garante un potere di valutazione di adeguatezza del trattamento che, invece, il Regolamento Privacy attribuisce direttamente al titolare attraverso il meccanismo della “valutazione d’impatto”.
Non resta quindi che confidare che l’esecutivo, quando eserciterà la delega contenuta all’art. 13 della legge 163/2017, voglia aggiustare il tiro e armonizzare in modo sistematico le previsioni domestiche a quelle europee.