Il ruolo del Garante per la protezione dei dati personali alla luce dell'evoluzione normativa...
Click here to load reader
-
Upload
salomone-travaglia-studio-legale -
Category
Education
-
view
658 -
download
0
Transcript of Il ruolo del Garante per la protezione dei dati personali alla luce dell'evoluzione normativa...
1
IL RUOLO DEL GARANTE PER LA PROTEZIONE DEI DATI PERSONALI
ALLA LUCE DELL’EVOLUZIONE NORMATIVA COMUNITARIA ED
INTERNA
La materia della protezione dei dati personali è stata, in tempi recenti, soggetta a
profonde trasformazioni. La normativa interna è stata “ritoccata”, negli ultimi due
anni, con ben quattro interventi legislativi, ed è destinata ad essere nuovamente
modificata nel prossimo futuro. Infatti, il 25 gennaio del 2012, la Commissione
europea ha presentato ufficialmente le proposte relative a quello che sarà il nuovo
quadro giuridico europeo in materia di protezione dei dati personali, e cioè un
Regolamento, che sostituirà la direttiva 95/46/CE, ed una Direttiva, che dovrà
disciplinare i trattamenti per finalità di giustizia e di polizia. Il filo conduttore, sia
a livello interno sia a livello europeo, è da un lato quello di rafforzare i diritti delle
persone, a fronte degli incalzanti sviluppi tecnologici che consentono di utilizzare
dati personali come mai in precedenza, e dall’altro quello di promuovere
l’economia, riducendo gli oneri amministrativi per le imprese ed instaurando,
mediante la maggior tutela delle persone, un clima di fiducia negli ambienti on
line.
Passando alla disamina di quelle che sono le novità di maggior interesse, sembra
opportuno richiamare anzitutto le modifiche che hanno mutato il quadro
normativo interno, per poi procedere all’analisi di quelle che investiranno la
disciplina italiana in seguito all’entrata in vigore della normativa comunitaria.
Quattro sono gli interventi che hanno inciso sul nostro Codice: il D.L. 70/2011
con l’art. 6 c. 2, il D.L. 201/2011 con l’art. 40 c.1 e c.2 , il D.L. 5/2012 con l’art.
45 c.1 ed il D.lgs. 69/2012. In particolare, i primi tre, perseguendo l’obiettivo di
“semplificare” la materia, al fine di realizzare uno snellimento delle procedure e
degli oneri amministrativi gravanti sulle imprese, hanno inevitabilmente ridotto la
portata applicativa del nostro Codice, fino all’esclusione, quasi totale, delle
imprese dall’ambito di applicazione del Codice della privacy; l’ultimo, invece,
affronta principalmente il problema del marketing on line, e più segnatamente, il
problema dei cookies.
2
Il primo passo di riforma in materia di protezione dei dati personali si è avuto,
dunque, con il Decreto Legge 13 maggio 2011 n.70, più conosciuto come
“Decreto Sviluppo”, convertito nella legge 12 luglio 2011 n.106, che, con
l’introduzione all’art. 5 del Codice del comma 3 bis, successivamente abrogato,
conteneva una prima affermazione di principio verso la liberalizzazione dei dati
delle persone giuridiche, escludendo queste ultime dall’ambito di applicazione del
Codice per i trattamenti aventi finalità amministrativo-contabili. Le altre novità,
introdotte dal Decreto Sviluppo ed ancora in vigore, sono essenzialmente tre:
l’ipotesi di esonero dal consenso per le comunicazioni di dati personali comuni
all’interno di gruppi o di altre forme organizzate di esercizio dell’attività di
impresa (art. 24 c. 1 lett. i-ter); l’esclusione della previa informativa per il
trattamento di dati, anche sensibili, contenuti nei curricula spontaneamente
trasmessi dagli interessati, con possibilità di fornire l’idonea informativa anche
oralmente al momento del primo contatto successivo all’invio del curriculum (artt.
13 c. 5-bis, 24 c.1 lett. i-bis, 26 c.3 lett. b-bis); l’estensione del regime di opt-out,
mediante iscrizione nel registro delle opposizioni, al marketing effettuato
mediante posta cartacea (art. 130 c. 3-bis). Questo primo intervento è stato seguito
dal Decreto Legge 6 dicembre 2011 n. 201, convertito con legge 22 dicembre
2011 n. 214, noto al pubblico come Decreto Salva Italia, che ha introdotto
modifiche ancor più incisive. Infatti, mediante la ridefinizione dei concetti di
“dato personale” e di “interessato”, dai quali viene soppresso ogni riferimento a
persone giuridiche, enti ed associazioni, il Decreto ha escluso dall’ambito di
applicazione della normativa sulla privacy i trattamenti dei dati a questi riferibili,
realizzando l’eliminazione di quegli oneri amministrativi che le imprese ed il
mercato richiedevano da tempo. Come conseguenza, sono state abrogate tutte le
disposizioni che si riferivano espressamente a persone giuridiche, enti ed
associazioni, e cioè: il comma 3 bis dell’art. 5 del Codice, inserito dal Decreto
Sviluppo, che – come abbiamo visto - escludeva dall’applicazione del Codice i
trattamenti per finalità amministrativo-contabili; l’ultimo periodo dell’art. 9
comma 4, che si riferiva alle modalità di esercizio dei diritti nel caso in cui
l’interessato fosse una persona giuridica, un ente o un’associazione; la lett. h)
comma 1 art. 43 relativa all’esonero del consenso dell’interessato, qualora
3
l’interessato fosse una persona giuridica, un ente o un’associazione, per il
trasferimento dei dati personali verso un Paese non appartenente all’Unione
Europea.
Sebbene le modifiche introdotte dal Decreto apportino delle importanti novità, è
pur vero che, nel valutare la reale portata dell’impatto pratico di tali modifiche,
non può dirsi realizzata la completa esclusione delle persone giuridiche
dall’ambito di applicazione del Codice, e ciò per una duplice ragione: da un lato le
imprese saranno ugualmente soggette al rispetto della normativa vigente
ogniqualvolta dovranno effettuare un trattamento di dati riferibile a persone
fisiche; dall’altro restano ancora applicabili tutte le norme che prevedono delle
definizioni giuridiche diverse da quelle modificate. Nello specifico, il Decreto
Salva Italia non ha modificato la nozione di “abbonato di servizio di
comunicazione elettronica” (ora invece sostituita, per effetto dell’entrata in vigore
del D.Lgs. 28 maggio 2012 n. 69 art. 1 c.12, ovunque ricorra, da quella di
“contraente”), contemplata dall’art. 4 comma 2 lett. f) del Codice, che continua a
fare riferimento non solo alle persone fisiche, ma anche alle persone giuridiche,
agli enti e alle associazioni, con la conseguenza che restano applicabili tutte le
norme che hanno come presupposto il trattamento dei dati dell’“abbonato”
(“contraente”), e cioè quelle che riguardano gli obblighi in materia di servizi di
comunicazione elettronica (Parte II, Titolo X, artt. 121 e ss.). Da ciò discende che,
qualora il trattamento dovesse avvenire in violazione di queste norme, troveranno
applicazione le relative sanzioni amministrative e penali previste dal Codice,
come chiarito dal Garante nel “Provvedimento generale in ordine all'applicabilità
alle persone giuridiche del Codice in materia di protezione dei dati personali a
seguito delle modifiche apportate dal d.l. n. 201/2011” del 20 settembre 2012.
Il passo di riforma successivo si compie con il D.L. 9 febbraio 2012 n. 5, noto
come “Decreto Semplificazioni”, convertito con legge 4 aprile 2012 n. 35, col
quale si hanno ancora due importanti novità: l’abrogazione dell’adozione e
dell’aggiornamento del documento programmatico sulla sicurezza e
l’introduzione di una specifica ipotesi di autorizzazione al trattamento dei dati di
natura giudiziaria da parte di soggetti pubblici (enti territoriali, forze di polizia…)
e/o privati (associazioni d’imprese, sindacati…) (artt. 21 c. 1- bis e 27 c. 1-bis),
4
consentendo espressamente il trattamento dei dati, previo parere obbligatorio (ma
non vincolante) del Garante, in attuazione di protocolli stipulati con il Ministero
dell’Interno o con i suoi uffici periferici, al fine di rafforzare il contrasto alle
infiltrazioni mafiose nella società civile e nell’economia. In particolare, secondo
le stime del Ministro per la Pubblica Amministrazione, dall’abrogazione del DPS,
che rimuove un obbligo spesso rivelatosi di scarsa utilità, specie per le PMI,
deriverà un risparmio di spesa annuo di circa 313 milioni di euro.
L’obiettivo di questi tre interventi riformatori, e cioè – come già evidenziato -
quello della liberalizzazione dell’uso dei dati delle persone giuridiche, porterà
sicuramente come effetto positivo quello di una possibile facilitazione nel
trattamento dei dati effettuato a fini di attività di marketing o di comunicazione
promozionale diretta a società, enti, pubblica amministrazione e associazioni;
tuttavia, resta fermo che, aldilà di qualunque suggestionante e fuorviante formula
per la quale il Codice “non è più applicabile” alle persone giuridiche, queste
saranno soggette a tutti gli adempimenti quando dovranno trattare i dati di persone
fisiche (dipendenti, collaboratori, fornitori, clienti etc…), e conseguentemente
dovranno continuare a dotarsi di strutture organizzative idonee e di misure
minime di sicurezza a tutela delle informazioni, a rispettare le tutele nei confronti
dei soggetti interessati e a soggiacere alle prescrizioni del Garante, pena
l’applicazione delle sanzioni previste dal Codice.
L’ultimo step di riforma della normativa interna si è realizzato con l’entrata in
vigore, il 1° giugno del 2012, del D.lgs. 28 maggio 2012 n. 69, con il quale il
Governo ha dato attuazione alla direttiva 2009/136/CE in materia di trattamento
dei dati personali e tutela della vita privata nel settore delle comunicazioni
elettroniche (c.d. E-Privacy Directive) e alla direttiva 2009/140/CE in materia di
reti e servizi di comunicazione elettronica. Al centro della nuova disciplina i c.d.
cookies: piccoli programmi che registrano le informazioni sulla navigazione
effettuata dall’utente, spesso utilizzati dai providers, più o meno occultamente, per
parametrare l’offerta pubblicitaria ai gusti del consumatore. L’entrata in vigore
del decreto, ha inciso essenzialmente sull’art. 122 del Codice, il quale, nella sua
formulazione originaria, stabiliva un divieto assoluto dell’uso dei cookies (fatta
eccezione per i soli cookies tecnici, ossia quelli che sono utilizzati a fini di
5
trasmissione della comunicazione), mentre oggi recepisce il principio dell’ opt-in.
Già a livello comunitario vi era stato un acceso dibattito circa la scelta tra il
sistema del opt-in (consenso preventivo informato al trattamento) e quello
dell’opt-out( rifiuto o cessazione del trattamento) poiché, se il primo garantisce
una maggior tutela dell’utente, il secondo consente una maggior fluidità del
trattamento, rinviando la manifestazione di un eventuale dissenso al trattamento
solo al termine della navigazione. Non poche critiche sono state mosse al sistema
dell’opt-in, sia in ambito imprenditoriale che in ambito giuridico, e ciò in quanto,
sebbene il regime dell’opt-in sia certamente più garantista e realizzi una maggior
tutela dei dati dell’utente, il fatto che le pagine web non potranno essere “caricate”
prima che l’utente abbia letto l’informativa e manifestato il proprio consenso
potrebbe far sì che l’utente viva la salvaguardia della propria riservatezza come
un’immane seccatura e si appresti ad acconsentire distrattamente anche alla più
invasiva delle profilazioni pur di raggiungere tempestivamente il contenuto web
che gli interessa. Dunque, onde evitare il risvolto della medaglia, sarà di
fondamentale importanza individuare gli adeguati strumenti tecnici che verranno
adottati nella predisposizione delle informative, necessariamente costruite intorno
al concetto di “consenso semplificato”. Altro limite del sistema europeo è dato dal
fatto che nei paesi extra europei continui a valere il regime dell’opt-out, il che, in
una logica di mercato, risulta essere penalizzante per le aziende europee che
operano on line.
Con il recepimento della c.d. E-Privacy Directive si conclude, almeno per il
momento, l’iter delle riforme che hanno investito il Codice italiano per la
protezione dei dati personali. Tuttavia, come anticipato all’inizio, vi è grande
fermento a livello europeo, e ciò in vista dell’approvazione, prevista per il 2014,
del Regolamento e della Direttiva che ridisegneranno il quadro normativo di
riferimento. La scelta dello strumento del Regolamento non è casuale; infatti,
essendo esso direttamente applicabile, per suo tramite si realizzerà
l’armonizzazione delle diverse legislazioni degli Stati Membri e si incentiverà la
cooperazione tra le diverse Autority. La Direttiva, che sostituirà la Decisione
Quadro 2008/977/GAI in materia di trattamenti per finalità di giustizia e polizia,
invece, non produrrà lo stesso effetto di armonizzazione, demandando agli Stati
6
Membri il potere di individuare le modalità per raggiungere gli obbiettivi da essa
fissati; proprio per questo motivo, cui si affianca la criticità, evidenziata dal
Gruppo Articolo 29, di una proposta formulata in modo eccessivamente generico,
la scelta della Direttiva non ha suscitato entusiasmo, temendosi che da essa
potrebbe derivare quella frammentazione giuridica che ha caratterizzato, ed
ancora caratterizza, il panorama europeo, e che proprio col Regolamento si è
voluta contrastare. Peraltro, anche rispetto a quest’ultimo, contro il pressoché
generalizzato atteggiamento di favore, non sono mancate alcune posizioni
divergenti. In particolare, la Germania ha manifestato un orientamento fortemente
contrario, lamentando in alcuni settori un eccesso di prescrizioni, ed in altri una
genericità delle disposizioni tale da impedirne l’immediata applicabilità.
L’opzione sostenuta dalla Germania, e appoggiata da altri Paesi, tra i quali il
Regno Unito, i paesi scandinavi e, con minor forza, la Spagna e i Paesi Bassi, si
basa su una disciplina differenziata per il settore privato, per il quale dovrebbe
essere adottato un Regolamento, e per il settore pubblico, che invece dovrebbe
essere disciplinato da una Direttiva; tuttavia, questa ipotesi non ha trovato
concreta espressione in una proposta testuale, sebbene la delegazione spagnola
abbia chiesto un parere al servizio giuridico del Consiglio UE in merito alla
possibilità di redigere uno strumento che abbia “corpo di Regolamento, ma anima
da Direttiva”.
Anche altre delegazioni, tra le quali spicca principalmente quella francese, cui si è
associata quella italiana, hanno sollevato alcuni dubbi, seppur con un
atteggiamento più moderato di quello tedesco, rispetto all’applicabilità integrale
del Regolamento ai soggetti pubblici, chiedendo, per questi ultimi, più ampi
margini di flessibilità.
Passando ora all’analisi della proposta normativa comunitaria, deve anzitutto
segnalarsi che questa si sviluppa in tre direzioni principali e cioè: maggior tutela
delle persone, mediante l’introduzione di nuovi diritti e nuovi strumenti di tutela;
promozione dell’economia e creazione di un mercato unico digitale;
rafforzamento del ruolo delle Autority nazionali ed incentivazione della
collaborazione tra queste e con la Commissione europea. Le più incisive novità
sono: l’applicazione del diritto UE ai trattamenti dei dati non svolti nell’UE ma
7
relativi all’offerta di beni e servizi ai suoi cittadini o al monitoraggio del loro
comportamento; la creazione di uno sportello unico (One stop Shop) in base al
quale, quando un trattamento venga effettuato da un responsabile od un incaricato
stanziato in più Stati Membri, la competenza sulle questioni dal quel trattamento
emergenti spetterà all’Autorità dello Stato nel quale è situato lo stabilimento
principale, designata come Autorità “capofila” (lead Autority); sostituzione della
notifica generale al Garante (che costa alle imprese 130 milioni di euro annui) con
l’obbligo di rendicontazione (principio di accountability) di chi tratta i dati, cioè
con l’obbligo, sotto la responsabilità di chi effettua il trattamento, di conservare
tutti i documenti ad esso relativi; obbligo per le imprese, gli enti e le associazioni
di notificare quanto prima all’Autorità (possibilmente entro 24 ore) i casi di grave
violazione dei dati (security data breach notifications), così estendendosi a tutte le
categorie di imprese un obbligo oggi previsto solo per le fornitrici di
comunicazione elettronica; istituzione della figura obbligatoria del responsabile
per la protezione dei dati personali (data protection officer) in tutte le strutture
pubbliche ed in quelle private che abbiano almeno 250 dipendenti; obbligo di
valutare l’impatto privacy (privacy impact assessment) prima che il trattamento
abbia inizio quando il trattamento presenti dei particolari rischi; riconoscimento
delle regole vincolanti di impresa da parte delle Autorità così da consentire il
flusso di dati all’interno di uno stesso gruppo con sedi dislocate sul territorio UE;
il riconoscimento del diritto all’oblio, ossia del diritto alla cancellazione dei propri
dati quando, trascorso un determinato lasso di tempo, non sussistano più legittime
ragioni per la conservazione di quel dato; l’introduzione del diritto alla portabilità
dei dati, che consentirà di trasferire i propri dati da un sistema elettronico ad un
altro (ad es. da un social network ad un altro) senza che il responsabile del
trattamento possa opporre rifiuto, cosi da realizzare il duplice effetto della
maggior garanzia del titolare dei dati, che potrà vantare su di essi maggior potere
di controllo, e della promozione della concorrenza tra le imprese; l’obbligo del
privacy “by design” e del privacy “by default”1, cioè l’adozione di misure di
1 Il privacy by design, che letteralmente significa “protezione dei dati personali fin dalla progettazione” consiste, più specificamente, in un nuovo approccio concettuale alla privacy, che deve essere tutelata in via preventiva già al momento della progettazione di un software. Quest’ultimo dovrà, di default, e cioè in via predefinita, garantire la protezione delle informazioni
8
protezione dei dati che riducano di default il trattamento al minimo necessario,
anche riguardo al periodo massimo di conservazione e ai soggetti che possono
accedere ai dati, già al momento della progettazione di un software, con la
conseguenza che la riforma, oltre a dare nuovo impulso all’industria di
progettazione informatica, andrà a modificare l’assetto informatico delle imprese
e degli studi professionali; inversione dell’onere della prova, per cui sarà chi
effettua il trattamento a dover dimostrare la propria diligenza e non l’interessato a
dover dimostrare la violazione dei suoi diritti; istituzione, in luogo del Gruppo
Articolo 29, del Comitato europeo per la protezione dei dati, composto dai
responsabili delle Autorità di controllo nazionali e dal Garante europeo, ai cui
lavori potrà partecipare, per mezzo di un rappresentante, la Commissione, con
funzione di coordinazione delle DPA per i casi con effetti ultra-nazionali.
Rispetto al complessivo impianto della proposta di riforma, come si evince dai
pareri del Gruppo Articolo 292, gli Stati europei hanno accolto positivamente
l’inserimento di disposizioni che incentivano la protezione dei dati fin dall’inizio,
che promuovono un maggior senso di responsabilità in seno a chi effettui un
trattamento di dati, che rafforzano il principio del consenso esplicito e che
introducono specifici obblighi di notifica in caso violazione dei dati; tuttavia, sono
stati evidenziati anche alcuni punti di debolezza, soprattutto con riferimento alla
compatibilità costituzionale del principio del One stop Shop, visti gli effetti che
questo produrrebbe sulla legge applicabile e sulla giurisdizione, nonché con
riguardo ad un possibile rischio di allontanamento della protezione dei dati dei
cittadini dal livello nazionale a quello sovranazionale. Inoltre, altra questione
sollevata dal Gruppo Articolo 29, riguarda la mancata previsione espressa circa la
necessità di dotare le Autorità Garanti di risorse adeguate.
Volendo rivolgere l’attenzione a quelle che saranno le conseguenze della nuova
normativa sulla realtà economica europea, deve osservarsi che, se degne di nota
sono le misure volte alla riduzione degli oneri amministrativi per le imprese, che
avranno senz’altro effetti positivi in termini di costi (si prevede un risparmio di
2,3 miliardi di euro annui), d’altro canto la nuova disciplina presenta diversi punti
dell’utente per il loro intero ciclo vitale. Si tratta, sostanzialmente, di incorporare la privacy già nell’architettura del software. 2 WP 191 e WP 199
9
di criticità. Infatti, legittimo è chiedersi se, soprattutto con riferimento alle PMI,
misure come l’obbligo del privacy by design, del privacy by default, del privacy
impact assessment e del data protection officer siano realmente sostenibili in
termini di costi e di risorse umane. Inoltre, l’obbligo del data protection officer, se
sotto un profilo socio economico genererà migliaia di opportunità di lavoro (solo
in Italia gli enti pubblici sono oltre 20.000 e le imprese con più di 250 dipendenti
sono 3.500), presenta, a ben vedere, dei profili di irrazionalità come conseguenza
dell’applicazione del criterio numerico. Osservando la realtà imprenditoriale
italiana, possiamo renderci conto di come esistano grandi imprese, con 400/500
dipendenti, la maggior parte dei quali svolge però lavoro manuale (ad esempio
nelle imprese agricole), mentre una parte del tutto minima lavora in ufficio e
gestisce i dati personali; come ancora vi sono imprese con meno di 250
dipendenti, che quindi sono esonerate dall’obbligo, nelle quali però la maggior
parte di essi effettua trattamenti di dati; o ancora imprese come Poste Italiane, con
più di 140.000 dipendenti, per le quali è obbligatoria la figura di un solo
responsabile, al pari di altra impresa con 250 dipendenti. La norma, cosi come è
stata elaborata, potrebbe quindi condurre, nella fase applicativa, a delle gravi
anomalie.
Altro elemento, visto con sfavore da alcuni Stati, come l’Italia, la Spagna e per
certi versi anche la Germania, è la possibilità della Commissione, prevista in
diversi punti del Regolamento, di introdurre nuove norme mediante atti delegati
ed atti esecutivi, dalla quale potrebbe derivare il rischio di un accentramento di
potere a livello europeo e la riduzione delle Autorità nazionali ad uffici periferici
di un sistema unico europeo, così contraddicendo lo spirito stesso della riforma,
che dovrebbe essere quello di rafforzare il ruolo delle Autorità nazionali, anche
mediante l’attribuzione di più incisivi poteri di intervento e/o sanzionatori.
Sotto quest’ultimo profilo, in base al vigente Codice, al Garante italiano sono
attribuiti poteri e funzioni anche più pregnanti rispetto a quelle contemplate nel
Regolamento; infatti, nell’esercizio del suo potere di controllo, il Garante può
effettuare richieste di informazioni (anche dette controlli “da remoto” quando il
Garante esercita i suoi poteri in sede, e cioè quando il destinatario della richiesta
debba fornire riscontro all’Ufficio, senza che questo si rechi in loco) e compiere
10
ispezioni sul campo, avvalendosi del suo personale o della collaborazione di altri
organi dello Stato, ed in particolare, del nucleo speciale privacy della Guardia di
finanza, col quale fu stipulato un protocollo di intesa già nel 2002, rinnovato nel
2005. L’esercizio di questi poteri, e del relativo potere sanzionatorio qualora il
Garante dovesse riscontrare delle violazioni, può attivarsi o a seguito di verifiche
sul registro generale dei trattamenti, o sulla base di notizie di cui si è avuta
conoscenza per tramite degli organi di informazione, o a seguito di segnalazioni,
reclami o ricorsi. Con il Regolamento, la novità più importante che investirà il
settore dei poteri di controllo sarà la già menzionata espansione della competenza
aldilà dei confini nazionali, non solo quando il Garante italiano sarà individuato
come Autorità “capofila” rispetto a trattamenti effettuati da responsabili e/o
incaricati stabiliti in più di uno Stato Membro, ma anche aldilà dei confini
europei, quando il trattamento svolto all’estero consisterà nell’offerta di beni o
servizi ai cittadini UE o al monitoraggio dei loro comportamenti; inoltre, si
assisterà ad un inasprimento delle sanzioni amministrative (si potrà arrivare a
colpire le imprese con sanzioni pari al 2% del volume d’affari annuo). Tuttavia,
seppure il potere dell’Autorità nazionale subisce un’espansione rispetto alla
competenza transfrontaliera, è pur vero che il Regolamento, nell’enucleare quelle
che dovranno essere le funzioni e le attribuzioni del Garante sul territorio
nazionale, sembra non ricomprendere tutte quelle che gli sono attualmente
riconosciute dalla legislazione nazionale. Per questo motivo, forte diviene
l’esigenza di salvaguardare le proprie conquiste e di non subire una riforma “verso
il basso” , senza sottovalutare i vantaggi di una ragionevole armonizzazione.