È stato finalmente approvato durante il Consiglio dei ministri dell’8 agosto lo schema del decreto legislativo recante disposizioni per l’adeguamento della normativa nazionale alle disposizioni del regolamento (Ue) 2016/679, il cosiddetto Gdpr.
A breve il testo sarà pubblicato su Gazzetta Ufficiale, ma già su qualcosa è possibile cominciare a ragionare visto che, dopo i pareri di Camera e Senato comunque la base del decreto era già stata pubblicata sui siti istituzionali del Parlamento con le relative relazioni e le condizioni poste al Governo per l’approvazione.
Il testo è stato oggetto di un lungo e travagliatissimo iter approvativo. Rimandando alle diverse fonti istituzionali on line coloro che fossero interessati alla cronologia e alle diverse bozze dello schema in prima battuta uscito da una Commissione ministeriale, poi modificato dal Consiglio dei ministri in prima approvazione, poi sottoposto ai pareri di Camera e Senato, si vuole in questa sede in primo luogo sottolineare un punto fondamentale della vicenda ovvero le due diverse scuole di pensiero che si sono contrapposte sotto il profilo giuridico in questi mesi rispetto ad una visione complessiva che bisognava avere del decreto.
Una parte riteneva che il decreto legislativo di adeguamento della normativa nazionale in materia di privacy dovesse e potesse riempire gli spazi lasciati dal Regolamento europeo agli stati membri andando quindi a prevedere ad esempio spazi più ampi di manovra e di intervento dell’Autorità di controllo nazionale in quei settori non specificatamente disciplinati dal Regolamento e comunque senza violare quest’ultimo.
La previsione di interventi e il maggior spazio di manovra si riteneva utile soprattutto nell’attribuzione al Garante di maggiori poteri e autonomia nell’emanazione di provvedimenti per disciplinare nello specifico alcuni settori.
Dall’altra parte invece, un altro orientamento di pensiero ha ritenuto che il decreto dovesse essere in realtà un mero decreto attuativo e di coordinamento della normativa privacy nel senso di una normazione strettamente attuativa e applicativa delle norme regolamentari senza, o comunque con una limitatissima attribuzione di competenze ulteriori all’Autorità di controllo italiana. Una normativa interna quindi che non doveva entrare troppo in profondità in alcuni settori e soprattutto non doveva consentire poteri troppo ampi all’Autorità Garante nell’esprimere pareri a margine di testi legislativi o di emanare provvedimenti in alcune materia simili quasi a testi legislativi con ampio potere discrezionale dell’autorità di disciplinare modalità e trattamenti non altrimenti previsti da norme di legge.
Nessuna dei due orientamenti ha prevalso sull’altra e come accade in questi casi il testo che si è andato concretizzando e poi è uscito dalle Camere per gli ultimi ritocchi del Governo è un insieme delle due tesi.
Non vi è dubbio che gli adeguamenti e la normativa interna era necessaria visto il testo del Regolamento cosi generico. Il decreto andrà a prevedere e adeguare la normativa nazionale soprattutto in settori dove il trattamento dei dati personali è complesso, delicato, particolare e caratterizzato da modalità di trattamento di categorie particolari di dati personali (dati sensibili) necessario per motivi di rilevante interesse pubblico. Sono previsti a questo proposito numerose disposizioni che completano gli articoli 9 e 10 del regolamento europeo consentendo il trattamento in una serie numerosa (indicata analiticamente) di ipotesi. È previsto un potere del Garante di emanare un provvedimento biennale relativo a misure di garanzia per trattamento dei dati genetici, biometrici e relativi alla salute che tenga conto di numerose indicazioni del legislatore e che individui adeguate misure di sicurezza.
Contrariamente a quando inizialmente disposto è stata colmata la lacuna relativa all’uso dei dati biometrici per l’accesso fisico e logico ai dati da parte dei soggetti autorizzati e sono state apportate numerose correzioni a piccoli errori commessi in alcuni punti a causa degli stretti tempi di elaborazione del testo normativo.
Il decreto si occupa anche di prevedere nel dettaglio, in relazione alla normativa nazionale la specifica disciplina del trattamento dei dati, da parte dei privati, relativi alle condanne penali e ai reati nonché ai dati dei procedimenti giudiziari trattati per accertamento, esercizio o difesa di un diritto in sede giudiziaria.
Molte sono le disposizioni che limitano o precisano il trattamento dei dati in materie delicate e settori complessi come salute, pubblica amministrazione e giustizia.
Particolare importanza in materia è stata data anche alla correzione della norma sul whistleblowing che mantiene riservato e non accessibile a nessuno (neanche in base al diritto riconosciuto dal Gdpr di accesso ai dati o quello ai documenti amministrativi) il nome del dipendente che segnala l’illecito.
Norma interessante è quella relativa al Data protection officer (Dpo) obbligatorio per l’Autorità Giudiziaria anche se ciò era già previsto dalla direttiva europea approvata in primavera dal governo italiano. Vedremo cosa dirà il testo definitivo approvato proprio ieri sera dal governo.
In tema di delitti per illecito trattamento dei dati personali si rilevano tre fattispecie, con dolo specifico di profitto e di danno cagionato a terzi ma con condotte limitate ai fatti gravi di trattamento di dati sensibili, giudiziari, in violazione degli articoli 2 septies e 2 octies del decreto. È punito anche il trattamento dei dati personali quando sono oggetto di trattamento su larga scala. È un concetto che vuole richiamare i cosiddetti Big Data. ma non potendolo scrivere tale termine nel codice penale si è fatto ricorso ad una terminologia presente nel regolamento ma non consona e comprensibile non tanto dal giudice penale ma proprio dal soggetto agente al quale norma di rivolge. Larga scala è un concetto complesso, chiarito in parte in ambito europeo, che però in una norma penale espone tutta la fattispecie a rischi di violazione del principio di tassatività e precisione della norma.
Non si ravvisano problemi per l’obbligatorietà dell’azione penale, contrariamente a quanto commentato da taluno in queste ore. Visto invece l’obbligo del Pm di informare senza ritardo il Garante quando ha notizia dei reati di cui ai commi 1,2, e 3, e senz’altro da capire meglio come potrà tutelarsi il segreto istruttorio del procedimento giudiziario quando la parte avrà diritto di accedere al procedimento amministrativo.
Non è dato sapere inoltre, ma attendiamo la pubblicazione del testo il senso di una utilizzabilità dei dati trattati illecitamente e il rinvio ai criteri di utilizzabilità stabiliti dai codici di rito sia penale sia civile.
Infine, visto quanto emerso on line in queste ore in merito ad un possibile periodo di grazia e di sospensione dalle ispezioni (grace period) si deve precisare che in assenza del testo normativo è difficile capire esattamente l’intenzione del legislatore. È tuttavia pacifico che, come accaduto in Francia, è l’Autorità di controllo che può sospendere, seppure a certe condizioni, per un dato periodo le ispezioni o comunque l’applicazione delle sanzioni e non vi è altrettanto dubbio che tale obbligo non può essergli imposto da una norma di legge.
Vedremo quando il testo sarà pubblicato nelle prossime ore su Gazzetta Ufficiale, non vi è dubbio però che poi la palla passerà all’Autorità Garante che dovrà dare concreta, effettiva ed efficace attuazione alla normativa.