Privacy italiana: i commenti dell’Istituto Privacy in Audizione parlamentare sullo schema di Decreto legislativo di riordino in chiave GDPR

Brevi annotazioni e suggerimenti migliorativi resi da parte dell’Istituto Italiano per la Privacy e la Valorizzazione dei Dati, con riferimento allo schema di Decreto Legislativo di adeguamento della normativa nazionale circa la protezione delle persone fisiche con riguardo al trattamento dei dati personali (esercizio della delega ex art. 13 Legge 163/2017) alla luce del RGPD – Roma, 7 giugno 2018

Gruppo di lavoro IIP: Avv. Luca Bolognini, Avv. Enrico Pelino

Di seguito, si elencano sinteticamente i punti critici e i suggerimenti di miglioramento relativi alle attuali formulazioni degli articoli contenuti nello schema di Decreto Legislativo di riordino della disciplina italiana in materia di protezione dei dati personali (esercizio della delega ex art. 13 Legge 163/2017) alla luce della piena applicazione del Regolamento 2016/679/UE.

Questi punti sono stati brevemente illustrati il 7 giugno 2018 dal Presidente dell’Istituto Italiano per la Privacy e la Valorizzazione dei Dati, Avv. Luca Bolognini, nel corso dell’Audizione su Atto del Governo n. 22, innanzi alla Commissione Parlamentare speciale per gli atti urgenti presentati dal Governo.

  1. Sarebbe stato auspicabile introdurre disposizioni che andavano, tutte, o a integrare/adeguare o a modificare il Codice Privacy (D.Lgs. 196/2003) nel relativo “corpo del testo”. Si è scelto, invece, di lasciare alcune disposizioni di coordinamento “stand alone” nel nuovo Decreto Legislativo (es. artt. 22 e ss.). Così, la disciplina privacy italiana si comporrà di due testi legislativi di riferimento, da sommare con il Regolamento e con tutte le normative secondarie che sopravvivranno (es. determinati Provvedimenti dell’autorità Garante) e che sopraggiungeranno (es. codici di condotta) in futuro.
  2. Si ritiene che il nuovo art. 2-ter.1 D.Lgs. 196/2003 (la base giuridica… esclusivamente norma di legge o, nei casi previsti dalla legge, di regolamento) si ponga in potenziale contrasto con il cons. 41. La deroga di cui all’art. 6.3 non riguarda, ad avviso di chi scrive, la nozione stessa di “base giuridica”.
  3. Nuovo art. 2-quinquies.1 D.Lgs. 196/2003: la soluzione adottata al momento, con il mantenimento a 16 anni dell’età per la validità del consenso al trattamento dei dati personali da parte del minore nella fruizione di servizi della società dell’informazione, pare infelice. I minori under-16 utilizzano di fatto molti servizi di social networking e altri servizi ICT, e prevedere la validità del loro consenso sin dai 14 anni di età aiuterebbe a prevedere esplicitamente, nell’ambito dell’offerta dei servizi ICT, contenuti e servizi adatti a un pubblico molto giovane (a partire dal contenuto stesso delle informative privacy). Negare il dato di fatto, porterebbe paradossalmente a minori tutele per gli under-16 fino a 14 o 13 anni on line in Italia. Si raccomanda di abbassare la soglia almeno a 14 anni.
  4. Nuovi artt. 2-septies e 75 e ss. D.Lgs. 196/2003: si apprezza la decisione di eliminare la necessità di consenso come base giuridica per il trattamento di dati per finalità di tutela della salute in ambito sanitario (sebbene sia auspicabile specificare meglio quali ambiti siano esclusi o inclusi in tale previsione, es. dossier sanitario elettronico?). Appare invece lecita ma discutibile la scelta di far specificare garanzie particolari, con provvedimento del Garante, per il trattamento di dati relativi alla salute. In ogni caso, l’articolo 22 comma 12 dello schema di decreto presenta gravi criticità, rendendo poco chiaro e difficilmente comprensibile come applicare, in attesa delle regole di garanzia emanate dall’Autorità di controllo in materia di privacy e tutela della salute, altre norme contenute nella vecchia formulazione del D.Lgs. 196/2003 e già abrogate. Si raccomanda di specificare meglio quali norme di garanzia si applichino nel periodo transitorio, evitando – ad esempio – ogni dubbio in merito alla sopravvivenza temporanea della condizione di liceità del consenso in ambito sanitario anche nella fase di transizione in attesa delle regole del Garante.
  5. Nuovo art. 2-decies D.Lgs. 196/2003: sarebbe opportuno un coordinamento anche con la recente disciplina sul whisteblowing, che tutela, a certe condizioni, la riservatezza del segnalante.
  6. Nuovo art. 2-duodecies D.Lgs. 196/2003: “che agisce a tutela dell’interessato”. Quale “interessato”? Il deceduto? O ci si riferisce al portatore di un “interesse proprio”?
  7. Il mantenimento del vecchio (ma recente) articolo 110-bis D.Lgs. 196/2003 continua a presentare gravi problemi e rischia di limitare fortemente il riutilizzo di dati per fini di ricerca scientifica, in generale, in Italia. Esso limita e subordina a previa autorizzazione del Garante qualsiasi riutilizzo di dati personali per fini di ricerca scientifica, in qualsiasi ambito, dovendosi dare per scontato che il concetto stesso di “riutilizzo” vada inteso come trattamento per altri scopi, successivi, non previsti nell’informativa resa agli interessati. Viceversa, il considerando 50 e l’art. 5.1.b) del RGPD danno per presunta la compatibilità di scopo del riutilizzo di dati per finalità di ricerca scientifica; inoltre l’art. 89 RGPD dà sì potere di specificazione agli Stati Membri in tali materie, ma solo con riferimento alla limitazione di determinati diritti degli interessati (di cui agli articoli 15, 16, 18 e 21 RGPD) e non con riferimento alle condizioni di liceità e alle basi giuridiche. Si raccomanda di limitare il perimetro di applicazione di tale articolo con riguardo al solo trattamento di dati genetici, dati biometrici o dati relativi alla salute, unico ambito per cui, giusto l’art. 9.4 RGPD, uno Stato possa apporre ulteriori limitazioni per tali finalità.
  8. Nuovo 140-bis D.Lgs. 196/2003 che prevede l’alternatività fra reclamo o ricorso all’autorità giudiziaria ordinaria: la disposizione italiana pare, a chi scrive, incompatibile con gli artt. 77-79 del Regolamento, che cominciano sempre con “Fatto salvo”. Art. 77 RGPD sui reclami: “Fatto salvo ogni altro ricorso amministrativo o giurisdizionale,”, Art. 79 RGPD, sui ricorsi giurisdizionali: ” Fatto salvo ogni altro ricorso amministrativo o extragiudiziale disponibile,”
  9. Nuovo art. 142 D.Lgs. 196/2003, Reclamo innanzi all’Autorità Garante: andrebbe prevista anche la rappresentanza attraverso avvocato, com’è oggi, sarebbe grave non prevederla.
  10. Nuovo art. 143 D.Lgs. 196/2003 – termine di nove o dodici mesi per la decisione del reclamo da parte del Garante italiano: tempistica lunga, considerando che il reclamo contiene anche quello che oggi è il ricorso al Garante (con tempistica estremamente più ridotta). Inoltre, il considerando 129 RGPD prevede termini ragionevoli per le decisioni delle autorità di controllo e l’art. 78.2 RGPD recita: “entro tre mesi… non lo informi dell’esito” e significa, a parere di chi scrive, che deve essere possibile ottenere (se del caso) l’esito entro tre mesi. Qui la norma sembra incompatibile con il RGPD: dovrebbe essere prevista decisione standard a 3 mesi, prorogabili in determinate ipotesi.
  11. Nuovo delitto previsto ex art. 167-bis D.Lgs. 196/2003: i soggetti a cui si riferisce la proprietà del delitto andrebbero integrati: non solo gli incaricati ex nuovo art. 2-terdecies del D.Lgs. 196/2003, ma anche i soggetti autorizzati ex art. 29 RGPD.
  12. Nuovi delitti previsti dagli artt. 167-bis e 167-ter D.Lgs. 196/2003: palese violazione del principio di tassatività in ambito penale. In cosa dovrebbe consistere un “rilevante” numero di persone, costituente la condizione obiettiva di punibilità? La fattispecie nasce incostituzionale. “Rilevante” è un termine valutativo che non può essere accolto in ambito penale.
  13. In generale, si accoglie con estremo favore il superamento dell’indifendibile ipotesi di un tentativo di decreto legislativo – in evidente e grossolano contrasto con il perimetro della delega legislativa ex art. 13 L. 163/2018 e con la Costituzione – di abrogare interamente il D.Lgs. 196/2003 e di modificare parti di normative derivanti dal recepimento di altre Direttive (come la e-Privacy, 2002/58/CE, peraltro soggetta a probabile superamento con il venturo Regolamento e-Privacy proposto dalla Commissione UE nel 2017).

Roma, lì 7 giugno 2018