giovedì 14 giugno 2018

In attesa del decreto di adeguamento al GDPR


Da pochi giorni è divenuto attuativo il Regolamento UE 2016/679 per la tutela dei dati personali – meglio noto come General Data Protection Regulation o GDPR – e tante sono le problematiche già emerse.
Il GDPR era stato pubblicato nella Gazzetta Ufficiale europea il 4 maggio 2016 ed era entrato in vigore il ventesimo giorno successivo, ossia il 24 maggio 2016, ma concedeva un periodo di due anni – decorrenti dalla sua entrata in vigore – affinché gli Stati membri potessero allineare le rispettive normative interne alle disposizioni in esso contenute.
Ebbene, questo biennio di vacatio è terminato e, dal 25 maggio c.a., il Regolamento è definitivamente efficace e vincolante.
Allo stato attuale, solo quattro sono i Paesi che si sono adeguati – Austria, Germania, Slovacchia e Svezia – ma, trattandosi di Regolamento UE, alcuna complicazione dovrebbe evidenziarsi, non essendo necessario il recepimento da parte degli Stati dell’Unione e disapplicandosi, ex lege, la precedente normativa in tema di privacy – per l’Italia ci si riferisce al vecchio Codice della privacy (D.Lgs. 30 giugno 2003, n. 196).
In realtà, la questione non è così pacifica e lineare. Il problema, infatti, si pone proprio con riferimento a quelle norme del GDPR che, come vere e proprie “norme in bianco”, lasciano ampi margini di discrezionalità alle normative interne dei Paesi membri e richiedono, necessariamente, un coordinamento tra queste e il Regolamento, teso all’armonizzazione e alla coerenza complessiva dei singoli ordinamenti.
Per tale ragione, la L. 25 ottobre 2017, n. 163, delega al Governo l’adozione di un decreto legislativo recante disposizioni per l’adeguamento della normativa nazionale alle disposizioni del Regolamento, che l’Italia avrebbe dovuto adottare entro sei mesi dalla pubblicazione della suddetta.
L’art. 13 della legge delega rimanda, tuttavia, all’art. 31 della L. 24 dicembre 2012, n. 234, il quale prevede che, qualora gli schemi dei decreti legislativi siano inviati alle Commissioni parlamentari per il richiesto parere nei 30 giorni che precedono la scadenza dei termini di delega, questi ultimi siano prorogati di tre mesi. Ecco giustificata, allora, la proroga concessa al Governo italiano per l’adozione del decreto di adeguamento che, originariamente fissata al 21 maggio, è ora slittata al 21 agosto c.a.
Uno schema di decreto legislativo di adeguamento al GDPR è già stato sottoposto al vaglio del Garante che, lo scorso 22 maggio, ha manifestato parere favorevole, espresso, tuttavia, a maggioranza e non all’unanimità del Collegio.
Su svariati punti dello schema di decreto il Garante ha, infatti, dimostrato perplessità e riserve, suggerendo al legislatore delegato, per un verso, delle integrazioni e, per altro verso, delle modifiche più incisive, con l’obiettivo di rimuovere criticità e dubbi interpretativi, nonché bilanciare gli interessi coinvolti.
Alcune delle osservazioni formulate dal Garante riguardano:
  •    la CONSERVAZIONE dei DATI DI TRAFFICO TELEFONICO e TELEMATICO, poiché l’art. 11, comma 1, lett. i), nr. 3 dello schema di decreto conferma la deroga all’art. 132, commi 1 e 1bis del Codice della privacy, introdotta dall’art. 24 L. 167/2017, e prolunga a 72 mesi il termine di Data Retention di traffico telefonico e telematico, nonché dei dati relativi alle chiamate senza risposta. Questa scelta se, da un lato, risponde alla necessità di garantire mezzi di indagini efficaci a contrastare il terrorismo, dall’altro lato, come già sostenuto dal Garante nel parere datato 22 febbraio 2018, collide con il principio di proporzionalità tra esigenze investigative e limitazioni del diritto alla protezione dei dati dei cittadini (vedi sentenze CGUE: C-293/12, C-594/12, C-203/15, C- 698/15): maggiore, infatti, è il periodo in cui i dati vengono conservati nei server degli operatori di telecomunicazioni e maggiore è il rischio di una violazione dei dati personali stessi (c.d. data breach).
  •  il POTERE DI AGIRE e la RAPPRESENTANZA IN GIUDIZIO, nella misura in cui lo schema di decreto, modificando l’art. 154-ter del Codice, prevede che il Garante sia rappresentato in giudizio dall’Avvocatura dello Stato ai sensi dell’art. 1 R.D. n. 1611/1933 – patrocinio obbligatorio dell’Avvocatura per le Amministrazioni dello Stato – mentre il Garante suggerisce di applicare, più correttamente, l’art. 43 dello stesso R.D. n. 1611/1933, che prevede il patrocinio facoltativo per le Amministrazioni non statali autorizzate ad avvalersene;
  •  ILLECITI PENALI E AMMINISTRATIVI DERIVANTI DAL TRATTAMENTO ILLECITO DEI DATI, con riferimento ai quali si suggerisce di considerare, quale oggetto alternativo del dolo specifico anche il nocumento, in ragione dell’esigenza di presidiare con la sanzione penale condotte connotate da un simile disvalore, anche quando sorrette dal dolo di danno (danno d’immagine e reputazionale della vittima) e non solo da quello di profitto economico dell’autore dell’illecito.
  •   il CONSENSO DEL MINORE, poiché lo schema di decreto modifica l’art. 2-quinquies del Codice in maniera del tutto incoerente con altre disposizioni dell’ordinamento, consentendo, in relazione ai servizi della società d’informazione, “il trattamento dei dati personali del minore di età inferiore a sedici anni” quando, in altri settori del diritto, il limite d’età viene individuato nei quattordici anni (si pensi al cyberbullismo – art. 2, comma 1, L. 71/2017 – o al consenso all’adozione – art. 7, comma 2, L. 184/1983);
  • il RIUTILIZZO DI DATI A FINI DI RICERCA SCIENTIFICA O A FINI STATISTICI, poiché la mancata definizione, da parte del decreto, della nozione di “riutilizzo” determina incertezza interpretativa. Il Garante propone, perciò, ti sostituire il termine “riutilizzo” con quello “trattamento ulteriore da parte di terzi”, allargando le maglie di quella che è la definizione di riutilizzo delle informazioni del settore pubblico – applicabile solo a documenti contenenti dati pubblici nella disponibilità di pubbliche amministrazioni e di organismi di diritto pubblico – e inserendovi, in generale, i dati sensibili, giudiziari e quelli attinenti alla salute e alla vita sessuale (il cui trattamento è soggetto a particolari condizioni e limiti, imposti dal Regolamento).

Questi sono solo alcuni dei punti salienti affrontati nel parere ma, per una conoscenza approfondita di tutte le specifiche osservazioni, si rimanda al sito ufficiale del Garante per la protezione dei dati personali [https://www.garanteprivacy.it/web/guest/home/docweb/-/docweb-display/docweb/8948011 ].
Il decreto ora è nelle mani delle Commissioni parlamentari, che lo stanno esaminando, e successivamente tornerà a Palazzo Chigi per il via libero definitivo del Consiglio dei Ministri.
Nulla esclude, pertanto, che l’attuale testo normativo possa subire degli interventi e delle modifiche, accogliendo magari quelli che sono stati i suggerimenti formulati dal Garante.

Ad oggi, perciò, ogni valutazione sul prossimo decreto legislativo è inevitabilmente sospesa. L’unica cosa certa è che il Regolamento UE 2016/679 è efficace e vincolante nei confronti di tutti i cittadini dell’Unione europea e che l’Italia, come gli altri Paesi che ancora non si sono uniformati, necessita di una normativa di coordinamento, che faccia da tramite tra il GDPR e la legislazione nazionale, eliminando l’attuale incertezza, non solo normativa ma anche pratica.

martedì 21 febbraio 2017

Mercato Unico Digitale: nuove regole dall'Europa entro il 2018

Lo scorso gennaio la Commissione Europea ha pubblicato la proposta di un nuovo Regolamento (“Rispetto della vita privata e la protezione dei dati personali nell’ambito delle comunicazioni elettroniche”) finalizzato ad introdurre ulteriori misure per la tutela della riservatezza nelle comunicazioni elettroniche, destinate ad incidere -tra l’altro- su aspetti di grande attualità come la disciplina dei cookie e dello spam.

Prima di entrare nel merito del nuovo Regolamento appare opportuno chiarire l’impatto che lo stesso avrà nell’attuale sistema normativo comunitario.

In primo luogo, si osserva come il Regolamento abrogherà la direttiva 2002/58/2002 (la c.d. direttiva e-privacy), introdotta nel nostro ordinamento con l’inserimento nel Codice della Privacy (TU 196/2003) del Titolo X (artt. 121-134) dedicato alle comunicazioni elettroniche.
Lo scopo del Regolamento è quello di giungere all’effettiva creazione del mercato unico digitale, ovvero di un contesto in cui si arrivi:
a) ad una maggior diffusione degli scambi on line (quindi dell’e-commerce);
b) a maggiori garanzie tecnologiche (quindi aumento della sicurezza on line)
c) ad una diffuso sviluppo del mercato digitale (quindi delle competenza digitali)

In una simile ottica va essere inserito anche altro provvedimento recente e di cui si è parlato molto, ovvero il Regolamento Generale sulla protezione dei dati (Regolamento UE n. 2016/679), entrato in vigore il 24.05.2016, e che diverrà definitivamente applicabile in ogni Stato membro a far data dal 25.05.2018.
Proprio per favorire la piena integrazione con il Regolamento 2016/679 è previsto che anche le disposizioni del nuovo Regolamento saranno applicabili dal 25.05.2018

Dopo aver chiarito il contesto normativo in cui si inserirà il nuovo Regolamento, se ne segnalano i principali contenuti.

Ambito di applicazione: il Regolamento si applicherà al trattamento di dati relativo alla fornitura e all’utilizzo di comunicazioni elettroniche.
Riservatezza delle comunicazioni elettroniche: come già anticipati centrale sarà il tema della tutela della riservatezza dei dati nelle comunicazioni elettroniche; saranno vietate, salvo eccezioni, interferenze da parte di terzi; più nello specifico, dovrà essere garantita più riservatezza, sia per i contenuti che per i metadati (ora della chiamata e luogo). Poiché entrambi hanno una spiccata connotazione sensibile dovranno essere anonimizzati o addirittura eliminati in caso di mancato consenso degli utenti.
Consenso degli utenti finali: anche questo rappresenta senza dubbio un aspetto cruciale e quindi il Regolamento ribadisce la necessità del consenso del soggetto interessato per poter trattare i dati dello stesso; consenso sempre revocabile e che potrà essere espresso anche tramite specifiche impostazioni del software utilizzato.
Cookie e impostazioni privacy: viene razionalizzata la disciplina dei cookie; da un lato infatti questi potranno essere controllati con maggior effettività da parte degli utenti, e ciò con la messa a disposizione di software che impediscano la memorizzazione delle informazioni sul pc dell’utente finale; nel contempo, dovrebbe essere semplificata la normativa sui cookie nel suo complesso, atteso che il consenso non sarà più necessario per i cookie che migliorano l’esperienza degli utenti (quelli che permettono di non perdere la cronologia del carrello degli acquisti); inoltre, sempre in ottica di semplificazione, non sarà più necessario richiedere il consenso per i cookie contatori di visite.
Comunicazioni elettroniche indesiderate: in tema di spam, il Regolamento ribadisce il fondamentale principio per cui l’invio di comunicazioni per finalità commerciali deve essere preceduto dalla raccolta del consenso del destinatario; più nello specifico, saranno vietate le comunicazioni elettroniche indesiderate, qualunque sia il mezzo utilizzato, per es. mail, sms, o chat come whatsapp; inoltre, ai consumatori sarà riconosciuto un diritto di opporsi alla ricezione di telefonate a scopo commerciale, anche tramite l’inserimento in un elenco di nominativi da non contattare.
Tutela dei diritti: agli utenti è riconosciuto un diritto al risarcimento per ogni danno derivante dall’utilizzo di servizi di comunicazioni elettroniche, con la previsione di sanzioni pecuniarie (amministrative) fino ad € 20.000,00 e, per le imprese, fino al 4% del fatturato totale annuo dell’esercizio precedente (in analogia con quanto già previsto dal Reg. 2016/679).

In definitiva, anche la proposta di Regolamento che si è commentata conferma la volontà di creare regole comuni per un mercato digitale in cui l’utente giochi un ruolo sempre più consapevole nella fruizione delle risorse e dei servizi offerti.