Audizione sull’Atto del Governo n. 22 (Adeguamento normativa nazionale circa la protezione delle persone fisiche con riguardo al trattamento dei dati personali)

Presso Commissioni speciali su atti urgenti del Governo congiunte Senato e Camera – Ufficio di Presidenza
(7 giugno 2018)

 

1. Il Regolamento, la delega legislativa, il decreto

Ringrazio la Commissione per questo confronto, che sono certo sarà utile a migliorare il testo del decreto che, unitamente a Regolamento e al d.lgs. 51/2018 per i settori di polizia e giustizia penale, costituirà la cornice normativa essenziale in cui inscrivere il rapporto tra persona e società digitale.

L’opportunità del confronto è tanto più preziosa rispetto a una materia, quale quella in esame, assolutamente trasversale, che incide su pressoché tutti i settori della vita privata e pubblica: dal lavoro alla sanità, dalla ricerca alla trasparenza amministrativa, dalle comunicazioni elettroniche al giornalismo, dalla giustizia alla tutela dei minori, dalla scuola all’intelligence.

E proprio quest’ultimo riferimento mi offre lo spunto per chiarire sin d’ora come anche le materie (quali appunto l’intelligence o le comunicazioni elettroniche) non strettamente ricomprese nel Regolamento siano invece disciplinate all’interno del decreto, in forma sostanzialmente invariata rispetto al Codice privacy, perché e in quanto non incompatibili con il nuovo quadro giuridico europeo.

La delega che il Governo era chiamato ad esercitare era infatti di carattere essenzialmente conservativo, consentendo l’abrogazione delle sole parti del Codice incompatibili con il Regolamento, la sua modificazione nella misura necessaria a dare attuazione alle disposizioni non direttamente applicabili del Gdpr e il generale coordinamento con esso. Questa scelta si spiega essenzialmente in ragione delle peculiarità del Codice, che essendo stato emanato in tempi relativamente recenti, contiene già una disciplina estremamente avanzata e per questo in molti punti assolutamente collimante con il Gdpr.

Cionondimeno, proprio la trasversalità della materia e l’esigenza di garantire certezza normativa hanno reso necessario un intervento ampio, informato al criterio direttivo del riassetto che l’art. 32 della legge 234 del 2012 ammette, in via generale, per le deleghe legislative previste dalla legge di delegazione europea.

Del resto, le numerose clausole di flessibilità contenute nel Regolamento rendono l’intervento del legislatore nazionale ancor più determinante, caricandolo di responsabilità rispetto al bilanciamento tra gli interessi giuridici coinvolti.

In questa prospettiva, allora, va letto lo schema di decreto, anche tenendo conto dell’ulteriore complessità determinata dal sovrapporsi della normativa in tale materia e, in particolare, del recente decreto di recepimento della direttiva 680, che ha espunto dal Codice la disciplina dei trattamenti per fini di polizia e di giustizia penale, laddove invece il trattamento di dati personali svolto nell’esercizio di funzioni giurisdizionali diverse resta disciplinato dal Regolamento e, quindi, dal decreto in esame.

Anche per queste ragioni, in molte sue parti il testo è suscettibile di un coordinamento ulteriore, che possa conferire maggiore certezza normativa alla materia complessivamente intesa. Il parere del Garante ha fornito anche su questo aspetto diverse indicazioni, alle quali mi limito ad accennare.

2. Il parere del Garante

In primo luogo, riprendendo quanto già osservato in sede di parere sul decreto legislativo di recepimento della direttiva 680/2016, abbiamo sottolineato l’incompatibilità della norma – la cui vigenza è confermata dall’AG 22  – sulla conservazione dei dati di traffico telefonico (anche delle chiamate senza risposta) e telematico per 72 mesi, introdotta in deroga alla disciplina del Codice dalla legge n. 167 del 2017. La  previsione della conservazione, per settantadue mesi indistintamente di tabulati telefonici e telematici, benché funzionale alla loro acquisizione solo in procedimenti per reati distrettuali, pare infatti contrastare con il principio di proporzionalità tra limitazione della privacy ed esigenze investigative. Sulla base di una lettura forte di tale principio, la  Corte di giustizia Ue, con le sentenze Digital Rights Ireland dell’8 aprile 2014 e Tele2- Watson del 21 dicembre 2016, ha annullato la direttiva 2006/24 e dichiarato incompatibile con il diritto europeo la disciplina svedese, pur a fronte della previsione di termini di conservazione dei dati assai più brevi di quello di cui alla l. 167. La Corte ha inoltre subordinato l’ammissibilità della conservazione dei dati alla sussistenza di requisiti individualizzanti, in modo cioè che la misura interessi i soli soggetti coinvolti, in qualche misura, in attività criminose di una certa gravità e  previa adeguata delimitazione temporale della durata della conservazione.

Abbiamo quindi richiesto al Governo di valutare l’opportunità di sopprimere la norma in questione, auspicabilmente anche rivedendo – come abbiamo sottolineato in sede di parere sul decreto di recepimento della direttiva 680 – la disciplina sancita dall’articolo 132 del Codice, al fine di garantire la piena conformità dell’ordinamento interno al nuovo quadro giuridico europeo.

Al fine di garantire la conformità dell’ordinamento ai principi del Regolamento, abbiamo richiesto una modifica della norma del Cad (inserita dal d.lgs. 217/2017) istitutiva della  Piattaforma Digitale Nazionale

Dati, che in quanto volta a favorire la condivisione delle banche dati dei soggetti pubblici, legittima una duplicazione di tali archivi (contenenti dati spesso anche sensibili) di dubbia compatibilità con i principi di minimizzazione, necessità, proporzionalità del trattamento. Abbiamo quindi suggerito di modificare la relativa disciplina in modo da sostituire alla condivisione delle banche dati la comunicazione delle informazioni, con espressa precisazione del divieto di duplicazione degli archivi di soggetti pubblici contenenti dati personali.

In ordine alle fattispecie penali, pur nella consapevolezza dell’esigenza di evitate ogni possibile violazione del ne bis in idem, abbiamo ritenuto rischiosa la soppressione delle ipotesi di trattamento illecito di dati personali sorrette da fini di danno e non di mero profitto (si pensi al caso di Tiziana Cantone, al revenge porn ecc.), in quanto espressive di un disvalore non minore (anzi generalmente maggiore) delle seconde. Abbiamo quindi chiesto al Governo di valutare l’opportunità di includere nell’elemento soggettivo sotteso alle fattispecie di cui agli artt. 167, 167-bis e 167-ter, il dolo di danno. Al fine di evitare ingiustificate disparità di trattamento e un’irragionevole limitazione dell’ambito soggettivo di applicazione del delitto di comunicazione e diffusione illecite, abbiamo suggerito di configurarla non come reato proprio ma quale reato comune al pari delle altre norme incriminatrici previste dal Codice e dal d.lgs. 51/2018. Fermo restando, ovviamente, che possibili soggetti attivi del reato potranno essere soltanto coloro i quali, in virtù del ruolo svolto rispetto al trattamento, siano tenuti al rispetto di specifiche disposizioni la cui violazione, qualificata dal dolo, integri gli estremi del reato.

Abbiamo infine invitato a considerare la dubbia ragionevolezza dell’abrogazione del delitto di inosservanza di provvedimenti del Garante, a fronte della contestuale introduzione di una figura di reato corrispondente nel d.lgs. 51/2018, limitatamente ai trattamenti svolti per fini di giustizia penale e polizia. Tale disparità di trattamento solleva perplessità in ordine al rispetto del principio di eguaglianza-ragionevolezza, dal momento che alla medesima condotta, lesiva dello stesso bene giuridico (la piena effettività delle funzioni del Garante), si applicherebbero due regimi sanzionatori estremamente diversi, solo in ragione della natura soggettiva del titolare e del contesto in cui sia realizzato il trattamento (attività di polizia o giustizia penale, ovvero ogni altro ambito). Elementi, questi, inidonei a giustificare, di per sé soli, tali differente regime sanzionatorio. Abbiamo quindi suggerito – ove si decida di confermare la vigenza dell’art. 170- di individuare gli specifici provvedimenti del Garante la cui inosservanza integri gli estremi del delitto, al fine di conferire alla fattispecie maggiore tassatività.

In ordine agli illeciti amministrativi, abbiamo suggerito di includere tra le condotte sanzionabili, anche: a) il mancato svolgimento della valutazione d’impatto e la mancata attivazione, ove necessario, della consultazione preventiva dell’Autorità, nel caso in cui il trattamento di dati sanitari a fini di ricerca medica, biomedica ed epidemiologica sia effettuato in assenza del consenso degli interessati; b) il trattamento ulteriore dei dati a fini di ricerca scientifica o a fini statistici, in assenza della previa autorizzazione del Garante o in violazione della stessa; c) l’omesso riscontro alla richiesta di informazioni o esibizione di documenti al Garante (peraltro oggi già sanzionato). Si tratta di adempimenti importanti, la cui omissione- idonea a pregiudicare i poteri di controllo dell’Autorità funzionali alla legittimità dei trattamenti – va sanzionata anche a fini deterrenti, conformemente del resto alla sistematica prevista dalla disciplina vigente.

Abbiamo anche richiesto di includere, tra le condotte da sanzionare (ed oggi sanzionate ma che altrimenti, per effetto di rinvii normativi a norme abrogate, non lo sarebbero più), la realizzazione di trattamenti diversi da quelli previsti nel progetto di ricerca statistica, l’indebita comunicazione a terzi, la conservazione oltre i termini di durata del progetto, la diffusione dei  dati stessi.

Per quanto riguarda le disposizioni di rango regolamentare – che ai sensi dell’art. 2-sexies rappresentano una delle possibili basi giuridiche per il trattamento di dati sensibili, genetici, biometrici, per motivi di interesse pubblico rilevante, abbiamo chiesto di prevedere, in conformità alla disciplina attuale e sfruttando i margini concessi dal Gdpr per il riconoscimento di garanzie ulteriori, il parere conforme del Garante sui relativi schemi di regolamento, nonché l’integrazione dell’oggetto di tali atti normativi con riferimento alle specifiche misure a tutela degli interessati, richieste dalla disciplina europea.

Al fine di consentire la ricerca scientifica su dati genetici pur con le garanzie necessarie per gli interessati, abbiamo richiesto di ammettere il trattamento ulteriore di tali dati, per finalità di ricerca, sulla base dell’autorizzazione (anche generale) del Garante.

Infine, abbiamo richiesto di estendere all’autorità giudiziaria nell’esercizio delle funzioni giurisdizionali  diverse da quelle penali l’obbligo di designazione del responsabile della protezione dati, coerentemente con la scelta compiuta in occasione del recepimento della direttiva 2016/680, relativamente ai trattamenti svolti dall’autorità giudiziaria in sede penale

3. Le criticità ravvisate in sede di esame parlamentare

Rispetto alle criticità del decreto, ravvisate nelle precedenti sedute della Commissione, vorrei sottolineare come alcune di esse coincidano con talune osservazioni contenute nel nostro parere.

Ad esempio il riferimento, non del tutto chiaro, alla data del 21 marzo quale dies ad quem per la definizione agevolata dei procedimenti sanzionatori (art. 18) va a nostro avviso individuato, più correttamente, nella data di effettiva applicazione del Regolamento (25 maggio 2018).

Abbiamo anche suggerito, nel parere, l’opportunità- condivisa da alcuni interventi- di sostituire la mera comunicazione con la notificazione della contestazione della violazione amministrativa (art. 166, c.6).

Quanto al dubbio che il comma 5 dell’art. 166 imponga un procedimento necessariamente unico per l’esercizio del potere prescrittivo e sanzionatorio, sicuramente si può fugare precisando che l’adozione dei relativi provvedimenti può essere congiunta o disgiunta. Tuttavia, la necessità di predisporre un procedimento che consenta l’applicazione anche disgiunta di prescrizioni e sanzioni è esplicitata e resa necessaria anche dalla disciplina di cui all’art. 83, par. 2, che nell’ammettere la possibile alternatività tra provvedimenti prescrittivi (o inibitori) e sanzionatori, include anche il rispetto dei primi tra i parametri per la valutazione dell’an (oltre che del quantum) della sanzione.

Quanto all’introduzione di condizioni ulteriori per il trattamento di dati biometrici, genetici, relativi alla salute, essa è espressamente consentita dall’art. 9.4 del Gdpr, che per tale sotto-categoria di dati “particolari” ammette una tutela ulteriormente rafforzata, di cui si è avvalsa la maggior parte dei Paesi membri.

Nel parere, abbiamo richiesto di chiarire che il consenso (quale ulteriore misura di garanzia dell’interessato (nell’accezione accolta dal Wp art. 29 nel parere sulla limitazione della finalità) può essere previsto- in ragione delle peculiarità del trattamento di volta in volta rilevante- solo per i dati genetici, in ragione delle particolari caratteristiche di tali informazioni (predittive, condivise per ramo familiare e rivelatrici di aspetti delicatissimi dell’esistenza, quali la paternità).

Infine, si potrebbe valutare di includere espressamente, all’interno della categoria dei dati relativi a condanne penali e reati, dei dati relativi all’applicabilità delle misure di prevenzione, oggi ricompresi all’interno dei dati giudiziari e sicuramente meritevoli di una tutela rafforzata, pari a quella riconosciuta agli altri dati di cui all’art. 10, con un’interpretazione estensiva del suo ambito applicativo a misure che non tutti gli Stati membri conoscono.

Quanto alle obiezioni espresse da alcuni dei soggetti auditi, mi limito a segnalare alcuni tra gli aspetti più frequentemente discussi.

In ordine alle norme incriminatrici, al di là dei miglioramenti suggeriti nel nostro parere, mi soffermo sulle criticità espresse rispetto al requisito utilizzato in funzione selettiva, nelle fattispecie di cui al 167-bis e ter, del “rilevante numero di persone” i cui dati siano trattati.

Benché certamente perfezionabile sotto il profilo della determinatezza, esso ha comunque dei precedenti nell’ordinamento, non solo come circostanza aggravante (art. 80, c.2, t.u. stupefacenti, ingente quantità)  ma anche quale elemento costitutivo di fattispecie, nell’art. 501-bis c.p., relativamente alle “rilevanti quantità” di merci.

Si tratta del resto di un elemento utile – al pari di altri, quali ad esempio il dolo specifico o il nocumento quale evento del reato – a restringere l’ambito di applicazione della norma incriminatrice a condotte caratterizzate da un maggiore disvalore sociale. Questo, nel rispetto non solo dei principi di frammentarietà e sussidiarietà delle norme penali, ma anche del ne bis in idem, così da scongiurare il rischio di sovrapposizione con gli illeciti amministrativi.

In ordine al procedimento per l’irrogazione di sanzioni amministrative, è stata da parte di alcuni auditi eccepita l’assenza di contraddittorio, che tuttavia è espressamente prevista (come già oggi) con la possibilità di depositare memorie e chiedere audizioni, come dispone l’art. 166, c. 7. Analoga possibilità di presentazione di memorie difensive è prevista espressamente, dall’art. 18, c.4, nell’ambito della procedura da esperire, in fase transitoria, per la definizione agevolata delle violazioni contestate anteriormente alla data di entrata in vigore del decreto.

Quanto alla mancata previsione del minimo edittale (fermo restando che essa non è affatto nuova all’ordinamento, e al di là di ogni valutazione sulla compatibilità con il Gdpr della sua indicazione), nella sistematica del Regolamento si delinea un continuum tra provvedimenti inibitori, prescrittivi e monitori da un lato e sanzioni amministrative pecuniarie, dall’altro. Pertanto, la misura minima suscettibile di applicazione a fronte di un illecito è da identificarsi in quelle di cui all’articolo 58, par.2, secondo la gradazione lì indicata, mentre la concreta entità della sanzione amministrativa pecuniaria che si dovesse in concreto irrogare sarà fissata in ragione dei parametri specificamente indicati dall’art. 83, par. 2, Gdpr.

In tal senso non vi è alcuna illegittimità costituzionale in quanto la funzione garantista della comminatoria edittale (volta a circoscrivere la discrezionalità dell’organo chiamato ad irrogare la sanzione) resta comunque impregiudicata, dal momento che la scelta del Garante sull’an e sul quantum della sanzione (dunque anche sulla comminatoria infraedittale) è rigorosamente vincolata dai parametri stringenti di cui all’art. 83, c.2 del Regolamento.

Del resto, la previsione del minimo edittale a fronte di un massimo così elevato (e pensato proprio per applicarsi ai big tech) rischia di essere o eccessivamente alta (e dunque sproporzionata per illeciti caratterizzati da modesto disvalore ma per i quali comunque non siano sufficienti misure non pecuniarie) ovvero sufficientemente ridotta ma tale da ampliare eccessivamente la forbice della comminatoria edittale tra minimo e massimo.

In ogni caso, la mancata previsione del minimo edittale non determina l’assenza di misure premiali per chi intenda accedere al pagamento in misura ridotta, perché l’art.166, c.9, consente la definizione della controversia mediante adeguamento alle prescrizioni del Garante e pagamento della metà della sanzione irrogata. Pertanto, l’importo da pagare per estinguere il procedimento è fissato non già con riferimento alla astratta comminatoria edittale ma al quantum concretamente irrogato, consentendo così peraltro un migliore adeguamento della sanzione da applicare in via agevolata alle peculiarità della fattispecie concreta.

La destinazione al fondo per il funzionamento dell’Autorità della metà dei proventi derivanti dall’applicazione delle sanzioni pecuniarie, in assenza del vincolo di destinazione oggi previsto (in particolare in favore delle attività ispettive), si è resa necessaria in ragione dell’esigenza dell’auto-finanziamento del Garante (peraltro pacificamente riconosciuta alle altre Autorità), le cui funzioni sempre più numerose sono state previste ad invarianza di oneri, dunque in assenza dei necessari finanziamenti. Naturalmente, ove si individuassero risorse alternative da destinare al Garante non vi sarebbe alcuna contrarietà a reintrodurre il vincolo di utilizzazione delle somme derivante dalla riscossione di sanzioni, sebbene comunque l’ampliamento delle possibilità di utilizzazione dei proventi sanzionatori consenta all’Autorità di valorizzare anche funzioni diverse da quelle ispettive, anche adottando linee guida o provvedimenti prescrittivi idonei ad agevolare l’adeguamento dei trattamenti al Gdpr.

Non si può però ipotizzare una possibile distorsione dell’esercizio del potere sanzionatorio per fini strumentali e di mero interesse finanziario, non solo per la rilevanza penale di simili condotte, ma soprattutto per il rigore e il senso di responsabilità con cui questa Autorità ha sempre esercitato il proprio potere sanzionatorio.

In ordine all’assenza di difesa tecnica nel procedimento amministrativo volto alla definizione dei reclami, vorrei precisare che essa, pur non essendo obbligatoria, è sempre possibile, dunque non comporta alcuna limitazione del diritto di difesa esattamente come non la comporta oggi rispetto ai ricorsi, parimenti alternativi alla tutela giurisdizionali.
Al contrario, la previsione della necessaria difesa tecnica costituirebbe una limitazione delle possibilità di esercizio dei diritti incompatibile con il regime di ampia accessibilità ai mezzi di tutela, sancito dall’art. 77 Gdpr, oltre che un onere ulteriore per cittadini e imprese.

In ordine alla richiesta abrogazione dei commi 1022 e 1023 della legge di bilancio, proponiamo nel parere invece di restringerne l’applicazione, con le modalità di cui all’art. 36 del Gdpr ai soli trattamenti funzionali all’autorizzazione al mutamento delle generalità del minore, meritevoli di garanzie ulteriori, rendendo così tali norme pienamente conformi al Regolamento.

L’invocato periodo di astensione dall’esercizio del potere sanzionatorio comporterebbe una sorta di legittimazione di violazioni anche assai gravi che è certamente incompatibile con le garanzie previste dal Regolamento e, più in generale, con il principio di legalità.

Tuttavia, valorizzeremo certamente i criteri di gradualità e proporzionalità sanciti sul punto dal Regolamento al fine di orientare l’attività ispettiva e sanzionatoria sulle violazioni maggiormente meritevoli di attenzione, sotto il profilo della concentrazione e della natura dei dati.

Quanto, infine, alle norme applicabili alle micro-piccole o medie imprese, nell’ambito del Wp art. 29 (organo di coordinamento delle Autorità di protezione dati degli Stati membri, oggi sostituito dall’European Data Protection Board) avevamo proposto un’interpretazione estensiva delle deroghe alla norma sul registro delle attività di trattamento, che però non è stata accolta.

E’ stata ammessa  la possibilità di indicazione, da parte delle Dpa, di misure di semplificazione in favore di queste categorie, che il Garante intende valorizzare, negli spazi concessi dalla norma, ai sensi dell’art. 22, c.10, del decreto.

Ma, come suggerito anche da alcuni auditi, una strada da seguire potrebbe essere quella di individuare, con i codici di condotta, modalità specifiche di applicazione degli adempimenti nell’ambito della categoria di riferimento, valorizzando il contributo fornito dalle associazioni di categoria e così agevolando l’osservanza degli obblighi da parte di queste realtà imprenditoriali.

Il testo può, dunque, certamente migliorare, ma è importante che sia approvato quanto prima, al fine di conferire alla disciplina di protezione dati la necessaria completezza e certezza normativa, la cui mancanza rischia altrimenti di disorientare aziende, amministrazioni, gli stessi cittadini.

PRIVACY POLICY