1

IL RUOLO DEL GARANTE PER LA PROTEZIONE DEI DATI PERSONALI

ALLA LUCE DELL’EVOLUZIONE NORMATIVA COMUNITARIA ED

INTERNA

La materia della protezione dei dati personali è stata, in tempi recenti, soggetta a

profonde trasformazioni. La normativa interna è stata “ritoccata”, negli ultimi due

anni, con ben quattro interventi legislativi, ed è destinata ad essere nuovamente

modificata nel prossimo futuro. Infatti, il 25 gennaio del 2012, la Commissione

europea ha presentato ufficialmente le proposte relative a quello che sarà il nuovo

quadro giuridico europeo in materia di protezione dei dati personali, e cioè un

Regolamento, che sostituirà la direttiva 95/46/CE, ed una Direttiva, che dovrà

disciplinare i trattamenti per finalità di giustizia e di polizia. Il filo conduttore, sia

a livello interno sia a livello europeo, è da un lato quello di rafforzare i diritti delle

persone, a fronte degli incalzanti sviluppi tecnologici che consentono di utilizzare

dati personali come mai in precedenza, e dall’altro quello di promuovere

l’economia, riducendo gli oneri amministrativi per le imprese ed instaurando,

mediante la maggior tutela delle persone, un clima di fiducia negli ambienti on

line.

Passando alla disamina di quelle che sono le novità di maggior interesse, sembra

opportuno richiamare anzitutto le modifiche che hanno mutato il quadro

normativo interno, per poi procedere all’analisi di quelle che investiranno la

disciplina italiana in seguito all’entrata in vigore della normativa comunitaria.

Quattro sono gli interventi che hanno inciso sul nostro Codice: il D.L. 70/2011

con l’art. 6 c. 2, il D.L. 201/2011 con l’art. 40 c.1 e c.2 , il D.L. 5/2012 con l’art.

45 c.1 ed il D.lgs. 69/2012. In particolare, i primi tre, perseguendo l’obiettivo di

“semplificare” la materia, al fine di realizzare uno snellimento delle procedure e

degli oneri amministrativi gravanti sulle imprese, hanno inevitabilmente ridotto la

portata applicativa del nostro Codice, fino all’esclusione, quasi totale, delle

imprese dall’ambito di applicazione del Codice della privacy; l’ultimo, invece,

affronta principalmente il problema del marketing on line, e più segnatamente, il

problema dei cookies.

2

Il primo passo di riforma in materia di protezione dei dati personali si è avuto,

dunque, con il Decreto Legge 13 maggio 2011 n.70, più conosciuto come

“Decreto Sviluppo”, convertito nella legge 12 luglio 2011 n.106, che, con

l’introduzione all’art. 5 del Codice del comma 3 bis, successivamente abrogato,

conteneva una prima affermazione di principio verso la liberalizzazione dei dati

delle persone giuridiche, escludendo queste ultime dall’ambito di applicazione del

Codice per i trattamenti aventi finalità amministrativo-contabili. Le altre novità,

introdotte dal Decreto Sviluppo ed ancora in vigore, sono essenzialmente tre:

l’ipotesi di esonero dal consenso per le comunicazioni di dati personali comuni

all’interno di gruppi o di altre forme organizzate di esercizio dell’attività di

impresa (art. 24 c. 1 lett. i-ter); l’esclusione della previa informativa per il

trattamento di dati, anche sensibili, contenuti nei curricula spontaneamente

trasmessi dagli interessati, con possibilità di fornire l’idonea informativa anche

oralmente al momento del primo contatto successivo all’invio del curriculum (artt.

13 c. 5-bis, 24 c.1 lett. i-bis, 26 c.3 lett. b-bis); l’estensione del regime di opt-out,

mediante iscrizione nel registro delle opposizioni, al marketing effettuato

mediante posta cartacea (art. 130 c. 3-bis). Questo primo intervento è stato seguito

dal Decreto Legge 6 dicembre 2011 n. 201, convertito con legge 22 dicembre

2011 n. 214, noto al pubblico come Decreto Salva Italia, che ha introdotto

modifiche ancor più incisive. Infatti, mediante la ridefinizione dei concetti di

“dato personale” e di “interessato”, dai quali viene soppresso ogni riferimento a

persone giuridiche, enti ed associazioni, il Decreto ha escluso dall’ambito di

applicazione della normativa sulla privacy i trattamenti dei dati a questi riferibili,

realizzando l’eliminazione di quegli oneri amministrativi che le imprese ed il

mercato richiedevano da tempo. Come conseguenza, sono state abrogate tutte le

disposizioni che si riferivano espressamente a persone giuridiche, enti ed

associazioni, e cioè: il comma 3 bis dell’art. 5 del Codice, inserito dal Decreto

Sviluppo, che – come abbiamo visto - escludeva dall’applicazione del Codice i

trattamenti per finalità amministrativo-contabili; l’ultimo periodo dell’art. 9

comma 4, che si riferiva alle modalità di esercizio dei diritti nel caso in cui

l’interessato fosse una persona giuridica, un ente o un’associazione; la lett. h)

comma 1 art. 43 relativa all’esonero del consenso dell’interessato, qualora

3

l’interessato fosse una persona giuridica, un ente o un’associazione, per il

trasferimento dei dati personali verso un Paese non appartenente all’Unione

Europea.

Sebbene le modifiche introdotte dal Decreto apportino delle importanti novità, è

pur vero che, nel valutare la reale portata dell’impatto pratico di tali modifiche,

non può dirsi realizzata la completa esclusione delle persone giuridiche

dall’ambito di applicazione del Codice, e ciò per una duplice ragione: da un lato le

imprese saranno ugualmente soggette al rispetto della normativa vigente

ogniqualvolta dovranno effettuare un trattamento di dati riferibile a persone

fisiche; dall’altro restano ancora applicabili tutte le norme che prevedono delle

definizioni giuridiche diverse da quelle modificate. Nello specifico, il Decreto

Salva Italia non ha modificato la nozione di “abbonato di servizio di

comunicazione elettronica” (ora invece sostituita, per effetto dell’entrata in vigore

del D.Lgs. 28 maggio 2012 n. 69 art. 1 c.12, ovunque ricorra, da quella di

“contraente”), contemplata dall’art. 4 comma 2 lett. f) del Codice, che continua a

fare riferimento non solo alle persone fisiche, ma anche alle persone giuridiche,

agli enti e alle associazioni, con la conseguenza che restano applicabili tutte le

norme che hanno come presupposto il trattamento dei dati dell’“abbonato”

(“contraente”), e cioè quelle che riguardano gli obblighi in materia di servizi di

comunicazione elettronica (Parte II, Titolo X, artt. 121 e ss.). Da ciò discende che,

qualora il trattamento dovesse avvenire in violazione di queste norme, troveranno

applicazione le relative sanzioni amministrative e penali previste dal Codice,

come chiarito dal Garante nel “Provvedimento generale in ordine all'applicabilità

alle persone giuridiche del Codice in materia di protezione dei dati personali a

seguito delle modifiche apportate dal d.l. n. 201/2011” del 20 settembre 2012.

Il passo di riforma successivo si compie con il D.L. 9 febbraio 2012 n. 5, noto

come “Decreto Semplificazioni”, convertito con legge 4 aprile 2012 n. 35, col

quale si hanno ancora due importanti novità: l’abrogazione dell’adozione e

dell’aggiornamento del documento programmatico sulla sicurezza e

l’introduzione di una specifica ipotesi di autorizzazione al trattamento dei dati di

natura giudiziaria da parte di soggetti pubblici (enti territoriali, forze di polizia…)

e/o privati (associazioni d’imprese, sindacati…) (artt. 21 c. 1- bis e 27 c. 1-bis),

4

consentendo espressamente il trattamento dei dati, previo parere obbligatorio (ma

non vincolante) del Garante, in attuazione di protocolli stipulati con il Ministero

dell’Interno o con i suoi uffici periferici, al fine di rafforzare il contrasto alle

infiltrazioni mafiose nella società civile e nell’economia. In particolare, secondo

le stime del Ministro per la Pubblica Amministrazione, dall’abrogazione del DPS,

che rimuove un obbligo spesso rivelatosi di scarsa utilità, specie per le PMI,

deriverà un risparmio di spesa annuo di circa 313 milioni di euro.

L’obiettivo di questi tre interventi riformatori, e cioè – come già evidenziato -

quello della liberalizzazione dell’uso dei dati delle persone giuridiche, porterà

sicuramente come effetto positivo quello di una possibile facilitazione nel

trattamento dei dati effettuato a fini di attività di marketing o di comunicazione

promozionale diretta a società, enti, pubblica amministrazione e associazioni;

tuttavia, resta fermo che, aldilà di qualunque suggestionante e fuorviante formula

per la quale il Codice “non è più applicabile” alle persone giuridiche, queste

saranno soggette a tutti gli adempimenti quando dovranno trattare i dati di persone

fisiche (dipendenti, collaboratori, fornitori, clienti etc…), e conseguentemente

dovranno continuare a dotarsi di strutture organizzative idonee e di misure

minime di sicurezza a tutela delle informazioni, a rispettare le tutele nei confronti

dei soggetti interessati e a soggiacere alle prescrizioni del Garante, pena

l’applicazione delle sanzioni previste dal Codice.

L’ultimo step di riforma della normativa interna si è realizzato con l’entrata in

vigore, il 1° giugno del 2012, del D.lgs. 28 maggio 2012 n. 69, con il quale il

Governo ha dato attuazione alla direttiva 2009/136/CE in materia di trattamento

dei dati personali e tutela della vita privata nel settore delle comunicazioni

elettroniche (c.d. E-Privacy Directive) e alla direttiva 2009/140/CE in materia di

reti e servizi di comunicazione elettronica. Al centro della nuova disciplina i c.d.

cookies: piccoli programmi che registrano le informazioni sulla navigazione

effettuata dall’utente, spesso utilizzati dai providers, più o meno occultamente, per

parametrare l’offerta pubblicitaria ai gusti del consumatore. L’entrata in vigore

del decreto, ha inciso essenzialmente sull’art. 122 del Codice, il quale, nella sua

formulazione originaria, stabiliva un divieto assoluto dell’uso dei cookies (fatta

eccezione per i soli cookies tecnici, ossia quelli che sono utilizzati a fini di

5

trasmissione della comunicazione), mentre oggi recepisce il principio dell’ opt-in.

Già a livello comunitario vi era stato un acceso dibattito circa la scelta tra il

sistema del opt-in (consenso preventivo informato al trattamento) e quello

dell’opt-out( rifiuto o cessazione del trattamento) poiché, se il primo garantisce

una maggior tutela dell’utente, il secondo consente una maggior fluidità del

trattamento, rinviando la manifestazione di un eventuale dissenso al trattamento

solo al termine della navigazione. Non poche critiche sono state mosse al sistema

dell’opt-in, sia in ambito imprenditoriale che in ambito giuridico, e ciò in quanto,

sebbene il regime dell’opt-in sia certamente più garantista e realizzi una maggior

tutela dei dati dell’utente, il fatto che le pagine web non potranno essere “caricate”

prima che l’utente abbia letto l’informativa e manifestato il proprio consenso

potrebbe far sì che l’utente viva la salvaguardia della propria riservatezza come

un’immane seccatura e si appresti ad acconsentire distrattamente anche alla più

invasiva delle profilazioni pur di raggiungere tempestivamente il contenuto web

che gli interessa. Dunque, onde evitare il risvolto della medaglia, sarà di

fondamentale importanza individuare gli adeguati strumenti tecnici che verranno

adottati nella predisposizione delle informative, necessariamente costruite intorno

al concetto di “consenso semplificato”. Altro limite del sistema europeo è dato dal

fatto che nei paesi extra europei continui a valere il regime dell’opt-out, il che, in

una logica di mercato, risulta essere penalizzante per le aziende europee che

operano on line.

Con il recepimento della c.d. E-Privacy Directive si conclude, almeno per il

momento, l’iter delle riforme che hanno investito il Codice italiano per la

protezione dei dati personali. Tuttavia, come anticipato all’inizio, vi è grande

fermento a livello europeo, e ciò in vista dell’approvazione, prevista per il 2014,

del Regolamento e della Direttiva che ridisegneranno il quadro normativo di

riferimento. La scelta dello strumento del Regolamento non è casuale; infatti,

essendo esso direttamente applicabile, per suo tramite si realizzerà

l’armonizzazione delle diverse legislazioni degli Stati Membri e si incentiverà la

cooperazione tra le diverse Autority. La Direttiva, che sostituirà la Decisione

Quadro 2008/977/GAI in materia di trattamenti per finalità di giustizia e polizia,

invece, non produrrà lo stesso effetto di armonizzazione, demandando agli Stati

6

Membri il potere di individuare le modalità per raggiungere gli obbiettivi da essa

fissati; proprio per questo motivo, cui si affianca la criticità, evidenziata dal

Gruppo Articolo 29, di una proposta formulata in modo eccessivamente generico,

la scelta della Direttiva non ha suscitato entusiasmo, temendosi che da essa

potrebbe derivare quella frammentazione giuridica che ha caratterizzato, ed

ancora caratterizza, il panorama europeo, e che proprio col Regolamento si è

voluta contrastare. Peraltro, anche rispetto a quest’ultimo, contro il pressoché

generalizzato atteggiamento di favore, non sono mancate alcune posizioni

divergenti. In particolare, la Germania ha manifestato un orientamento fortemente

contrario, lamentando in alcuni settori un eccesso di prescrizioni, ed in altri una

genericità delle disposizioni tale da impedirne l’immediata applicabilità.

L’opzione sostenuta dalla Germania, e appoggiata da altri Paesi, tra i quali il

Regno Unito, i paesi scandinavi e, con minor forza, la Spagna e i Paesi Bassi, si

basa su una disciplina differenziata per il settore privato, per il quale dovrebbe

essere adottato un Regolamento, e per il settore pubblico, che invece dovrebbe

essere disciplinato da una Direttiva; tuttavia, questa ipotesi non ha trovato

concreta espressione in una proposta testuale, sebbene la delegazione spagnola

abbia chiesto un parere al servizio giuridico del Consiglio UE in merito alla

possibilità di redigere uno strumento che abbia “corpo di Regolamento, ma anima

da Direttiva”.

Anche altre delegazioni, tra le quali spicca principalmente quella francese, cui si è

associata quella italiana, hanno sollevato alcuni dubbi, seppur con un

atteggiamento più moderato di quello tedesco, rispetto all’applicabilità integrale

del Regolamento ai soggetti pubblici, chiedendo, per questi ultimi, più ampi

margini di flessibilità.

Passando ora all’analisi della proposta normativa comunitaria, deve anzitutto

segnalarsi che questa si sviluppa in tre direzioni principali e cioè: maggior tutela

delle persone, mediante l’introduzione di nuovi diritti e nuovi strumenti di tutela;

promozione dell’economia e creazione di un mercato unico digitale;

rafforzamento del ruolo delle Autority nazionali ed incentivazione della

collaborazione tra queste e con la Commissione europea. Le più incisive novità

sono: l’applicazione del diritto UE ai trattamenti dei dati non svolti nell’UE ma

7

relativi all’offerta di beni e servizi ai suoi cittadini o al monitoraggio del loro

comportamento; la creazione di uno sportello unico (One stop Shop) in base al

quale, quando un trattamento venga effettuato da un responsabile od un incaricato

stanziato in più Stati Membri, la competenza sulle questioni dal quel trattamento

emergenti spetterà all’Autorità dello Stato nel quale è situato lo stabilimento

principale, designata come Autorità “capofila” (lead Autority); sostituzione della

notifica generale al Garante (che costa alle imprese 130 milioni di euro annui) con

l’obbligo di rendicontazione (principio di accountability) di chi tratta i dati, cioè

con l’obbligo, sotto la responsabilità di chi effettua il trattamento, di conservare

tutti i documenti ad esso relativi; obbligo per le imprese, gli enti e le associazioni

di notificare quanto prima all’Autorità (possibilmente entro 24 ore) i casi di grave

violazione dei dati (security data breach notifications), così estendendosi a tutte le

categorie di imprese un obbligo oggi previsto solo per le fornitrici di

comunicazione elettronica; istituzione della figura obbligatoria del responsabile

per la protezione dei dati personali (data protection officer) in tutte le strutture

pubbliche ed in quelle private che abbiano almeno 250 dipendenti; obbligo di

valutare l’impatto privacy (privacy impact assessment) prima che il trattamento

abbia inizio quando il trattamento presenti dei particolari rischi; riconoscimento

delle regole vincolanti di impresa da parte delle Autorità così da consentire il

flusso di dati all’interno di uno stesso gruppo con sedi dislocate sul territorio UE;

il riconoscimento del diritto all’oblio, ossia del diritto alla cancellazione dei propri

dati quando, trascorso un determinato lasso di tempo, non sussistano più legittime

ragioni per la conservazione di quel dato; l’introduzione del diritto alla portabilità

dei dati, che consentirà di trasferire i propri dati da un sistema elettronico ad un

altro (ad es. da un social network ad un altro) senza che il responsabile del

trattamento possa opporre rifiuto, cosi da realizzare il duplice effetto della

maggior garanzia del titolare dei dati, che potrà vantare su di essi maggior potere

di controllo, e della promozione della concorrenza tra le imprese; l’obbligo del

privacy “by design” e del privacy “by default”1, cioè l’adozione di misure di

1 Il privacy by design, che letteralmente significa “protezione dei dati personali fin dalla progettazione” consiste, più specificamente, in un nuovo approccio concettuale alla privacy, che deve essere tutelata in via preventiva già al momento della progettazione di un software. Quest’ultimo dovrà, di default, e cioè in via predefinita, garantire la protezione delle informazioni

8

protezione dei dati che riducano di default il trattamento al minimo necessario,

anche riguardo al periodo massimo di conservazione e ai soggetti che possono

accedere ai dati, già al momento della progettazione di un software, con la

conseguenza che la riforma, oltre a dare nuovo impulso all’industria di

progettazione informatica, andrà a modificare l’assetto informatico delle imprese

e degli studi professionali; inversione dell’onere della prova, per cui sarà chi

effettua il trattamento a dover dimostrare la propria diligenza e non l’interessato a

dover dimostrare la violazione dei suoi diritti; istituzione, in luogo del Gruppo

Articolo 29, del Comitato europeo per la protezione dei dati, composto dai

responsabili delle Autorità di controllo nazionali e dal Garante europeo, ai cui

lavori potrà partecipare, per mezzo di un rappresentante, la Commissione, con

funzione di coordinazione delle DPA per i casi con effetti ultra-nazionali.

Rispetto al complessivo impianto della proposta di riforma, come si evince dai

pareri del Gruppo Articolo 292, gli Stati europei hanno accolto positivamente

l’inserimento di disposizioni che incentivano la protezione dei dati fin dall’inizio,

che promuovono un maggior senso di responsabilità in seno a chi effettui un

trattamento di dati, che rafforzano il principio del consenso esplicito e che

introducono specifici obblighi di notifica in caso violazione dei dati; tuttavia, sono

stati evidenziati anche alcuni punti di debolezza, soprattutto con riferimento alla

compatibilità costituzionale del principio del One stop Shop, visti gli effetti che

questo produrrebbe sulla legge applicabile e sulla giurisdizione, nonché con

riguardo ad un possibile rischio di allontanamento della protezione dei dati dei

cittadini dal livello nazionale a quello sovranazionale. Inoltre, altra questione

sollevata dal Gruppo Articolo 29, riguarda la mancata previsione espressa circa la

necessità di dotare le Autorità Garanti di risorse adeguate.

Volendo rivolgere l’attenzione a quelle che saranno le conseguenze della nuova

normativa sulla realtà economica europea, deve osservarsi che, se degne di nota

sono le misure volte alla riduzione degli oneri amministrativi per le imprese, che

avranno senz’altro effetti positivi in termini di costi (si prevede un risparmio di

2,3 miliardi di euro annui), d’altro canto la nuova disciplina presenta diversi punti

dell’utente per il loro intero ciclo vitale. Si tratta, sostanzialmente, di incorporare la privacy già nell’architettura del software. 2 WP 191 e WP 199

9

di criticità. Infatti, legittimo è chiedersi se, soprattutto con riferimento alle PMI,

misure come l’obbligo del privacy by design, del privacy by default, del privacy

impact assessment e del data protection officer siano realmente sostenibili in

termini di costi e di risorse umane. Inoltre, l’obbligo del data protection officer, se

sotto un profilo socio economico genererà migliaia di opportunità di lavoro (solo

in Italia gli enti pubblici sono oltre 20.000 e le imprese con più di 250 dipendenti

sono 3.500), presenta, a ben vedere, dei profili di irrazionalità come conseguenza

dell’applicazione del criterio numerico. Osservando la realtà imprenditoriale

italiana, possiamo renderci conto di come esistano grandi imprese, con 400/500

dipendenti, la maggior parte dei quali svolge però lavoro manuale (ad esempio

nelle imprese agricole), mentre una parte del tutto minima lavora in ufficio e

gestisce i dati personali; come ancora vi sono imprese con meno di 250

dipendenti, che quindi sono esonerate dall’obbligo, nelle quali però la maggior

parte di essi effettua trattamenti di dati; o ancora imprese come Poste Italiane, con

più di 140.000 dipendenti, per le quali è obbligatoria la figura di un solo

responsabile, al pari di altra impresa con 250 dipendenti. La norma, cosi come è

stata elaborata, potrebbe quindi condurre, nella fase applicativa, a delle gravi

anomalie.

Altro elemento, visto con sfavore da alcuni Stati, come l’Italia, la Spagna e per

certi versi anche la Germania, è la possibilità della Commissione, prevista in

diversi punti del Regolamento, di introdurre nuove norme mediante atti delegati

ed atti esecutivi, dalla quale potrebbe derivare il rischio di un accentramento di

potere a livello europeo e la riduzione delle Autorità nazionali ad uffici periferici

di un sistema unico europeo, così contraddicendo lo spirito stesso della riforma,

che dovrebbe essere quello di rafforzare il ruolo delle Autorità nazionali, anche

mediante l’attribuzione di più incisivi poteri di intervento e/o sanzionatori.

Sotto quest’ultimo profilo, in base al vigente Codice, al Garante italiano sono

attribuiti poteri e funzioni anche più pregnanti rispetto a quelle contemplate nel

Regolamento; infatti, nell’esercizio del suo potere di controllo, il Garante può

effettuare richieste di informazioni (anche dette controlli “da remoto” quando il

Garante esercita i suoi poteri in sede, e cioè quando il destinatario della richiesta

debba fornire riscontro all’Ufficio, senza che questo si rechi in loco) e compiere

10

ispezioni sul campo, avvalendosi del suo personale o della collaborazione di altri

organi dello Stato, ed in particolare, del nucleo speciale privacy della Guardia di

finanza, col quale fu stipulato un protocollo di intesa già nel 2002, rinnovato nel

2005. L’esercizio di questi poteri, e del relativo potere sanzionatorio qualora il

Garante dovesse riscontrare delle violazioni, può attivarsi o a seguito di verifiche

sul registro generale dei trattamenti, o sulla base di notizie di cui si è avuta

conoscenza per tramite degli organi di informazione, o a seguito di segnalazioni,

reclami o ricorsi. Con il Regolamento, la novità più importante che investirà il

settore dei poteri di controllo sarà la già menzionata espansione della competenza

aldilà dei confini nazionali, non solo quando il Garante italiano sarà individuato

come Autorità “capofila” rispetto a trattamenti effettuati da responsabili e/o

incaricati stabiliti in più di uno Stato Membro, ma anche aldilà dei confini

europei, quando il trattamento svolto all’estero consisterà nell’offerta di beni o

servizi ai cittadini UE o al monitoraggio dei loro comportamenti; inoltre, si

assisterà ad un inasprimento delle sanzioni amministrative (si potrà arrivare a

colpire le imprese con sanzioni pari al 2% del volume d’affari annuo). Tuttavia,

seppure il potere dell’Autorità nazionale subisce un’espansione rispetto alla

competenza transfrontaliera, è pur vero che il Regolamento, nell’enucleare quelle

che dovranno essere le funzioni e le attribuzioni del Garante sul territorio

nazionale, sembra non ricomprendere tutte quelle che gli sono attualmente

riconosciute dalla legislazione nazionale. Per questo motivo, forte diviene

l’esigenza di salvaguardare le proprie conquiste e di non subire una riforma “verso

il basso” , senza sottovalutare i vantaggi di una ragionevole armonizzazione.