Lo schema di decreto che attua il regolamento europeo 2016/679 in vigore dal 25 maggio
di Antonio Ciccia Messina
Privacy Ue a tinte tricolori. Il decreto legislativo di armonizzazione dell’ordinamento italiano al Regolamento Ue 2016/679 (operativo dal 25 maggio 2018) ripesca nella sostanza gran parte del Codice della Privacy (dlgs 196/2003), che formalmente è abrogato per intero. Passano il guado, tra gli altri, i regolamenti privacy per i dati sensibili del settore della pubblica amministrazione, le norme di tutela delle società e persone giuridiche contro le telefonate indesiderate; previsti, infine, sconti sulle sanzioni amministrative per le violazioni amministrative del vecchio codice.
Questo a considerare il testo provvisorio dello schema di provvedimento approvato in via preliminare dal consiglio dei ministri del 21 marzo 2018. Testo che ha importanti novità in materia di legittimo interesse (trattamenti senza bisogno di consenso), anche se proprio questo tema denuncia un andamento altalenante e confuso del legislatore: che dice e si contraddice nel giro di pochi mesi.
Ma vediamo di dare una panoramica di un testo che comunque dovrà ancora percorrere un lungo iter prima di vedere alla luce definitivamente. Non troppo a ridosso del 25 maggio 2018, si spera. Peraltro su molti settori, la nuova privacy può attendere. Lo schema di decreto rinvia al Garante della privacy, guidato da Antonello Soro, il compito di fare la cernita delle sue autorizzazioni generali, selezionando quelle che sopravvivranno e quelle che avranno cessato la loro efficacia.
RESPONSABILE INTERNO DEL TRATTAMENTO
Lo schema di decreto salva i delegati interni, anche se si guarda bene dal chiamarli «responsabili del trattamento» e questo per non creare confusione con il Regolamento Ue, che si limita a prevedere i responsabili esterni del trattamento. Quindi, compiti e funzioni possono essere attribuiti a persone fisiche espressamente designate.
Rimane, in caso di outsourcing, la possibilità di designare enti e persone giuridiche, quali responsabili esterni del trattamento ai sensi dell’articolo 28 del regolamento Ue 2016/679.
LEGITTIMO INTERESSE
Il legittimo interesse è un istituto che abilita a trattare dati senza consenso. La legge 205/2017 (commi 1022 e 1023) ha stabilito una procedura di informativa preventiva al Garante nel caso di uso di nuove tecnologie o di trattamenti automatizzati. Si tratta di una procedura che va in direzione opposta alla autodichiarazione delle aziende del proprio interesse prevalente. A rischio di violazione del Regolamento Ue, la procedura, nello schema di decreto legislativo in commento, è destinata ad essere cancellata salvo che per i trattamenti di minori on line ed è ricondotta all’istituto della consultazione preventiva (articolo 36 del Regolamento Ue). Uno stop and go, dunque. A prescindere dal merito delle questioni, aziende ed enti meritano regole certe e non altalene sconcertanti.
DATA RETENTION
Salvo ripensamenti, il testo prevede 24 mesi di conservazione del traffico telefonico e 12 mesi del traffico telematico per scopo di repressione reati. Rimane il problema di coordinare le norme sulla privacy con la legge 167/2017, articolo 24, che ha stabilito una retention molto più lunga (72 mesi).
SANZIONI AMMINISTRATIVE
Oblazione in vista per gli illeciti amministrativi anteriori al 25 maggio 2018. Non c’è un colpo di spugna, ma un forte sconto: si potrà definire la posizione pagando i due quinti del minimo entro 90 giorni dal 25 maggio 2018. Sempre in materia di sanzioni amministrative, il testo dello schema, ad oggi noto, non stabilisce i minimi edittali delle sanzioni amministrative e neppure tratta delle violazioni penali: sono due argomenti cui evidentemente è dedicato un diverso schema di decreto legislativo, considerato che sono due aspetti cruciali dell’armonizzazione della legge italiana al regolamento Ue.
MINORI
Si stabilisce a 14 anni l’età per poter dare il consenso al trattamento dei dati da parte dei social e comunque da parte dei gestori dei servizi della cosiddetta società dell’informazione.
TELEMARKETING
Il testo noto dello schema di decreto richiama la normativa sul registro delle opposizioni. Con questo viene confermato l’impianto dell’opt out per il marketing telefonico e viene confermato che la tutela riguarda tutti i contraenti, comprese le persone giuridiche. In materia si è anche in attesa del regolamento attuativo della legge 5/2018.
REGOLAMENTI DATI SENSIBILI
Nel settore della pubblica amministrazione si va verso la conferma dell’impianto dei regolamenti sul trattamento dei dati sensibili e dei dati genetici e biometrici («particolari categorie di dato personale», nel linguaggio europeo). In materia si conferma esplicitamente che le p.a. trattano dati senza il consenso dell’interessato e, quindi, esclusivamente sulla base di una legge o di un regolamento.
Fonte: