(A cura dell’Avv. Riccardo Perona. N.B.: Le opinioni espresse sono presentate a titolo personale dall’Autore e non riflettono necessariamente la posizione di IgiTo sul tema esposto. Le informazioni presentate hanno carattere generale e divulgativo e non sostituiscono in alcun modo l’assistenza di un professionista. Per informazioni: info@igito.it)
Com’è noto, il 25 maggio 2018 è entrato in vigore il Regolamento UE n. 2016/679 (relativo alla protezione delle persone fisiche con riguardo al trattamento dei dati personali, nonché alla libera circolazione di tali dati e che abroga la direttiva 95/46/CE – Regolamento generale sulla protezione dei dati).
Tale testo normativo, a partire dalla data indicata, è direttamente efficace – al pari di una legge nazionale – in tutti gli Stati membri dell’Unione Europea, compresa quindi l’Italia, costituendo così il punto di riferimento della disciplina sulla protezione dei dati personali, che è stata riformata in profondità tanto nella regolamentazione di dettaglio quanto, a monte, nei principi informatori.
Invero, l’ottica di base, alla quale si ispirano tutte le norme del testo, è oggi quella della accountability o, in italiano, “responsabilizzazione”, ossia l’attribuzione in capo al titolare del trattamento della responsabilità di adottare – e, laddove gli fosse richiesto, di dimostrare di aver adottato – le misure più appropriate ed efficaci, in riferimento alle diverse circostanze di fatto, per realizzare i principi di tutela dei dati.
Ciò è del resto testimoniato dai diversi istituti previsti dal GDPR, come la figura del DPO (Data Protection Officer), la cui nomina è anche obbligatoria in alcuni casi (in particolare, “ogniqualvolta: a) il trattamento è effettuato da un’autorità pubblica o da un organismo pubblico, eccettuate le autorità giurisdizionali quando esercitano le loro funzioni giurisdizionali; b) le attività principali del titolare del trattamento o del responsabile del trattamento consistono in trattamenti che, per loro natura, ambito di applicazione e/o finalità, richiedono il monitoraggio regolare e sistematico degli interessati su larga scala; oppure c) le attività principali del titolare del trattamento o del responsabile del trattamento consistono nel trattamento, su larga scala, di categorie particolari di dati personali di cui all’articolo 9 o di dati relativi a condanne penali e a reati di cui all’articolo 10“, art. 37).
Inoltre, in attuazione del Regolamento citato – che pure ha, come già menzionato, efficacia diretta nel nostro ordinamento – il legislatore italiano ha adottato il D.Lgs. 10 agosto 2018, n. 101, pubblicato in Gazzetta Ufficiale il 4 settembre e vigente dal 19 settembre 2018.
Più nel dettaglio, il Decreto ha deciso di operare le necessarie riforme alla normativa nazionale non già abrogando il precedente D.Lgs. n. 196 del 30 giugno 2003 n. 196, c.d. codice della privacy, ma intervenendo direttamente sullo stesso e riformandolo in profondità, con rimandi chiari alla normativa europea.
Così, ai sensi del novellato art. 1 del codice, “Il trattamento dei dati personali avviene secondo le norme del regolamento (UE) 2016/679 del Parlamento europeo e del Consiglio, del 27 aprile 2016, di seguito ‘Regolamento’, e del presente codice, nel rispetto della dignità umana, dei diritti e delle libertà fondamentali della persona”.
Ad oggi, dunque, la disciplina in materia di protezione dei dati personali si presenta come particolarmente articolata, esistendo al riguardo almeno due fondamentali testi normativi che si integrano a vicenda, e dovendosi altresì considerare gli interventi del Garante.
Al riguardo, si ritiene rilevante richiamare l’attenzione su alcuni passaggi della Relazione illustrativa che, nel corso dei lavori preparatori, ha accompagnato lo Schema di decreto (cfr. Atto del Governo sottoposto a parere parlamentare, trasmesso alla Presidenza della Camera dei Deputati il 10 maggio 2018, n. 22, reperibile sul sito della stessa Camera) e che ben riassume gli intenti del legislatore, anche in ordine ai rapporti fra normativa italiana e normativa europea:
“Passando dall’illustrazione della tecnica normativa al merito delle scelte effettuate, si è ritenuto, perseguendo l’obiettivo della chiarezza e della semplificazione, di evitare di duplicare alcune disposizioni, molto simili ma non coincidenti, presenti e nel regolamento e nel codice, operando così una scelta chiara.
Conseguentemente dovevano essere abrogate le corrispondenti disposizioni del codice ove la materia fosse già disciplinata da disposizioni del regolamento europeo. Ancora, disposizioni apparentemente non dissimili, rispettivamente, della normativa italiana vigente e del regolamento europeo, risultano calate in contesti completamente diversi.
Infatti, codice e regolamento sono informati a due filosofie diverse. Il Regolamento, come è noto, è basato sulla cosiddetta accountability, termine tradotto in italiano con ‘responsabilizzazione’. Questa consiste nell’obbligo per il titolare del trattamento di adottare misure appropriate ed efficaci per attuare i principi di protezione dei dati, nonché nella necessità di dimostrare, su richiesta, che sono state adottate misure appropriate ed efficaci.
Dunque il regolamento non effettua la scelta in molti casi specifici, ma la rimette al titolare del trattamento che è chiamato ad effettuare una valutazione, ad assumere una decisione e a provare di avere adottato misure proporzionate ed efficaci.
Infine, si è voluto dare un segnale del cambiamento intervenuto: del passaggio dalla direttiva 95/46/CE al regolamento (UE) 679/2016. Dopo oltre 20 anni, la disciplina della protezione dei dati personali è stata oggetto di una riformulazione non formale ma sostanziale, essendo cambiato l’approccio stesso alla materia che oggi è dominata dal principio dell’accountllbility”.
Si ricorda infine come la materia della privacy mostri diversi profili di contiguità con diversi altri rami dell’orinamento: è il caso, ad esempio, della responsabilità amministrativa da reato delle società e degli enti (D.Lgs. n. 231/2001 s.m.i.) e quella dell’antiriciclaggio (D.Lgs. n. 231/2007), in relazione ai quali non si potrà d’ora in poi non tener conto delle intervenute riforme in tema di protezione dei dati personali.