GDPR, protezione e libera circolazione dei dati e di privacy: facciamo il punto della situazione.

Di Giuseppe Miceli

In questi ultimi mesi si continua a parlare molto di GDPR (il Reg. UE 679/2016) di protezione dei dati e di privacy.

Proprio in concomitanza con l’approvazione, da parte del Consiglio dei Ministri, del decreto legislativo di adeguamento dell’ordinamento interno alla normativa europea in materia di protezione dei dati personali, proviamo a fare il punto della situazione.

Come è arcinoto, lo scorso 25 maggio 2018 è diventato operativo il nuovo Regolamento UE 2016/679 “relativo alla protezione delle persone fisiche con riguardo al trattamento dei dati personali, nonché alla libera circolazione dei dati”. Si tratta dello stesso “General Data Protection Regulation” (acronimo: GDPR) che era già entrato in vigore ben due anni prima, ovvero il 24 maggio 2016, su tutto il territorio UE. Il nuovo Regolamento, composto da 173 “considerando” e 99 articoli, costituisce, insieme alla Direttiva (UE) n. 2016/680, il “Pacchetto di protezione dei dati” e realizza la riforma che definisce il rinnovato quadro comune europeo in materia di tutela dei dati personali e di rimozione degli ostacoli alla libera circolazione dei dati personali all’interno dell’EU, che rischierebbe altrimenti di penalizzazione delle attività economiche, il tutto in piena coerenza con un più ampio progetto di armonizzazione normativa europea.

A destare l’interesse generale e l’attenzione, soprattutto degli addetti ai lavori, sono le nuove regole sancite dal GDPR e, ancor più, le ricadute in termini di adempimenti che il legislatore comunitario pone a carico delle imprese e degli Enti di cui si compone la Pubblica Amministrazione, ovvero dei soggetti chiamati a garantire che i dati concernenti persone identificate o identificabili che siano utilizzati per le proprie finalità istituzionali, vengano effettivamente trattati nei limiti delle funzioni dell’ente e siano protetti con nuovi e idonei strumenti.

Il rinnovato impianto normativo in materia di protezione dei dati si erge su principi di fondamentale importanza che, per la prima volta, vengono normativizzati in virtù del loro inserimento nel testo dell’art. 5 del GDPR, il quale – per l’appunto – sancisce le disposizioni generali sui principi la cui valenza deve trovare applicazione in ogni fase del trattamento dei dati. Ecco quindi che i principi applicabili al trattamento dei dati personali sono: liceità, correttezza e trasparenza (art. 5, lett. a); limitazione della finalità (art. 5, lett. b); minimizzazione dei dati (art. 5, lett. c); esattezza (art. 5, lett. d); limitazione della conservazione (art. 5, lett. e); integrità e riservatezza (art. 5, lett. f) e, ancora, responsabilizzazione – nell’accezione inglese, accountability – (art. 5, comma 2).

L’aver sancito l’importanza del principio di accountability ha significato – di fatto – uno spostamento della linea che segna l’inizio della responsabilità imputabile al titolare del trattamento dei dati. Il principio di responsabilizzazione porta con sé il nuovo obbligo di rendicontazione o, come recita il regolamento generale nella versione in lingua italiana, l’obbligo di “comprovare”, cioè di essere in grado di dimostrare di aver adottato e attuato i presidi di prevenzione e di rimedio contro eventuali violazioni di dati o data breach.

In virtù del principio di accountability, al titolare del trattamento viene imposto il nuovo obbligo di garantire l’adozione di un sistema di controllo di gestione dei dati di propria pertinenza, nonché di dimostrare – ex ante – la propria diligenza e l’idoneità del sistema a limitare o evitare possibili danni a diritti e libertà degli individui.

La stessa struttura che il legislatore definisce con l’espressione Data Protection Impact Assessment (DPIA) realizza il principio della responsabilizzazione. L’obbligo, per il titolare del trattamento dei dati, di predisporre la DPIA comporta una propedeutica valutazione d’impatto del rischio privacy, che consentirà al titolare stesso di progettare e costruire il Piano di Valutazione di Impatto mettendo in atto tutta quella serie di misure tecniche e organizzative che siano adeguate a garantire il trattamento, per impostazione predefinita, dei soli dati personali che risultino essere strettamente necessari in relazione a ciascuna specifica finalità del trattamento. Si tratta, quindi, di dare concreta attuazione a un altro fondamentale principio sancito dal GDPR: il principio “data protection by default and by design”. Anche questo, un principio non nuovo ma che per la prima volta trova residenza in un atto normativo formale.

Ci piace pensare a un legislatore comunitario che abbia voluto concepire il principio di responsabilizzazione, come se questo fosse la “prima pietra” di una struttura – che lo stesso legislatore indica con l’espressione privacy by design – idonea a realizzare – by default – la protezione dei dati personali. Ed, in effetti, il GDPR ben potrebbe rappresentare, per il titolare del trattamento, un progetto che in continua evoluzione e sviluppo garantisce il corretto trattamento dei dati e la giusta protezione contro il crescente rischio di data breach e gli impatti negativi che possono generarsi sulle libertà e sui diritti degli interessati.

In tale contesto, il decreto legislativo che il Consiglio dei ministri ha appena licenziato completa il quadro normativo di riferimento e, oltre a ribadire l’importanza di tali principi, introduce alcune importanti novità che potranno essere meglio comprese quando il testo del decreto sarà pubblicato in gazzetta ufficiale.

Da una prima analisi emerge che il Governo ha deciso di riconoscere un “periodo di grazia” di 8 mesi rispetto alla piena operatività delle attività di ispezione del Garante Privacy o, quantomeno, rispetto alla portata del potere sanzionatorio che ne consegue.

Tuttavia, la sanzione applicabile resta definita nella soglia massima di 10 milioni di euro nei confronti di quei soggetti obbligati che non effettuino la prescritta valutazione di impatto del trattamento dati personali.

Si prevede la definizione agevolata delle liti pendenti al 25 maggio, innanzi all’Autorità garante, con il pagamento nella misura di due quinti del minimo edittale, opzione che dovrà essere esercitata entro 90 giorni dall’entrata in vigore del decreto legislativo.

Viene riconosciuta maggiore rilevanza al principio di contraddittorio davanti al garante privacy.

Sono, altresì, previste alcune semplificazioni per le PMI che dovrebbero assicurare alle imprese una più agevole azione di adeguamento alle regole europee sulla protezione dei dati.

Il decreto, che non abroga interamente il Codice privacy ma ne apporta sostanziali modifiche, fa salvo e, anzi, amplia il quadro delle sanzioni penali, per la cui applicazione rileva il danno e la finalità lucrativa.

Sono previste sanzioni più severe in materia di marketing selvaggio, ovvero in presenza di trattamenti illeciti di dati su larga scala e, sempre sul fronte del diritto penale, trova inserimento il concetto di trattamento di dati su larga scala come ai fini della configurabilità dei reati previsti e puniti dall’art 167 bis e ter del codice privacy.

Attendiamo ora la pubblicazione del decreto legislativo in Gazzetta ufficiale per una più approfondita analisi.