A poco più di due anni dalla sua entrata in vigore, il Regolamento generale UE 2016/679 sulla protezione dei dati personali ha trovato applicazione in tutti gli Stati membri a far data dal 25 maggio scorso. Il Regolamento abroga la precedente disciplina contenuta nella Direttiva 95/46/CE intervenendo in maniera innovativa sotto molteplici profili. L’obiettivo dell’intervento di riforma è quello di dettare una normativa che sappia rispondere alle sfide poste dall’innovazione tecnologica e che possa realizzare, allo stesso tempo, una disciplina uniforme a livello europeo.
Inedita rispetto al passato è la volontà di estendere l’ambito di applicazione del Regolamento al di fuori dei confini dell’Unione. La nuova disciplina, infatti, risulta applicabile anche a quei soggetti che, pur non essendo stabiliti in uno degli Stati membri, svolgono attività di trattamento all’interno del contesto europeo. Ciò acquisisce rilievo poiché risulta possibile assoggettare alle disposizioni regolamentari società come Facebook o Google che, sino ad ora, potevano legittimamente operare senza essere sottoposte alle prescrizioni europee in tema di protezione dei dati personali.
Nel Regolamento, inoltre, vengono introdotti nuovi diritti a tutela della persona, con particolare riferimento al diritto all’oblio e al diritto alla portabilità dei dati. Nel primo caso, è riconosciuta la possibilità di richiedere ad un motore di ricerca la deindicizzazione dei risultati ottenuti partendo dal proprio nome e cognome, garantendo in tal modo una più limitata rintracciabilità dell’interessato. Il diritto alla portabilità dei dati, invece, consente di trasferire da un titolare del trattamento ad un altro i propri dati personali, assicurando in tal modo al soggetto una maggiore capacità di controllo del proprio patrimonio informativo.
Oltre a rafforzare i diritti dell’interessato, il Regolamento individua nel principio di accountability l’elemento centrale della nuova architettura normativa. La responsabilizzazione dei soggetti dediti al trattamento di dati personali è realizzata attraverso la formulazione di un sistema di obblighi e adempimenti posti in capo al titolare e al responsabile del trattamento e da calibrare in base alla specifica attività posta in essere. In tal modo, l’affermazione del principio di accountability tende a realizzare un rilevante mutamento nelle modalità di gestione dei dati, consentendo il passaggio da una concezione di adempimento formale, che rischia di concretizzarsi in meri procedimenti burocratici, ad un approccio sostanziale di protezione del dato, legato alla natura delle attività svolte in concreto, all’analisi dei rischi e alle misure di sicurezza che risultino adeguate alle singole fattispecie.
La logica di responsabilizzazione dei titolari e dei responsabili è ulteriormente rafforzata dalla previsione dei principi di privacy by default e privacy by design che devono essere tenuti in considerazione in qualsiasi ipotesi di trattamento di dati personali.
In particolare, il principio della privacy by default interessa la modalità tecnica e organizzativa con cui si procede all’utilizzo, all’archiviazione e alla protezione dei dati. Tale principio stabilisce come impostazione predefinita quella di trattare e di rendere disponibili i dati personali solamente nella misura necessaria per le finalità previste e per il periodo strettamente necessario a tali fini. Parallelamente, il principio di privacy by design contempla l’adozione di modalità organizzative che tengano conto in partenza dei rischi connessi all’attività svolta. In sostanza, tale principio richiede un’attenta riflessione in tema privacy sin dal momento della progettazione del processo di raccolta e di utilizzo dei dati, affinché il trattamento risulti sin da subito strutturato in modo tale da preservare al meglio l’autodeterminazione informativa della persona. Simile impostazione, dunque, anziché delineare un assetto reattivo basato su interventi ex post, mira a realizzare un approccio proattivo che attraverso interventi ex ante tuteli la privacy dell’individuo sin dalle fasi iniziali del trattamento.
Complessivamente possiamo rilevare che a seguito della diretta applicabilità del Regolamento la tutela assicurata alla persona possa intendersi fortemente implementata, sia in via diretta, attraverso il riconoscimento di ulteriori diritti, sia in via mediata, tramite una maggiore responsabilizzazione di chi tratta i dati personali e, inoltre, per mezzo di un più intenso coinvolgimento delle Autorità di controllo.
È opportuno osservare che nell’intervento di riforma anche la tipologia di atto normativo utilizzato assume rilevanza. La diretta applicabilità del Regolamento, infatti, assicura un’applicazione uniforme in tutti gli Stati membri, consente di delineare una disciplina omogenea all’interno dell’Unione e, laddove risultino necessarie previsioni interne per l’effettiva attuazione del dettato europeo, permette d’individuare gli ambiti in cui l’intervento degli Stati nazionali risulta obbligatorio.
Nonostante ciò, il Regolamento si presenta in talune parti quale “regolamento di principi” che riconosce ai singoli Stati la facoltà di predisporre una normativa di dettaglio. In primo luogo, agli Stati membri è accordata la facoltà d’intervento in settori specifici laddove sussista l’interesse di mantenere o introdurre disposizioni ulteriori rispetto a quelle contenute nel Regolamento. Simili interventi hanno natura eventuale e rimangono nella piena discrezionalità dello singolo Stato, senza che l’inattività interna ostacoli la piena attuazione della nuova disciplina. Ulteriore margine di elasticità a favore dei singoli Stati è costituito dall’attività di coordinamento generale da porre in essere affinché la normativa nazionale si adegui al meglio al disciplina sovranazionale. In questo senso, se da un lato la diretta applicabilità del Regolamento non esige di per sé l’adozione di atti interni di recepimento, dall’altro lato è indispensabile un ruolo attivo del legislatore nazionale affinché il Regolamento possa risultare pienamente operativo.
L’adeguamento alla nuova disciplina è stato avviato in Italia avvalendosi della Legge di delegazione europea 2017 (articolo 13 della L. 163/2017) attraverso cui il Parlamento ha conferito al Governo un’apposita delega semestrale. La delega riconosce la possibilità di abrogare le disposizioni del Codice per la protezione dei dati personali (D.lgs. 196/2003) che risultino incompatibili con il Regolamento, consente la modifica del Codice limitatamente a quanto necessario per l’attuazione delle disposizioni regolamentari non direttamente applicabili e, inoltre, autorizzata una più ampia attività di coordinamento alla nuova disciplina.
Il legislatore delegato, in virtù della complessità della materia affrontata, ha affidato l’elaborazione del decreto di adeguamento ad una Commissione di esperti che in data 21 marzo ha presentato al Governo un primo schema di decreto il quale ha accolto un approccio volto all’abrogazione totale del Codice italiano e ha escluso l’introduzione di sanzioni penali in caso di violazione del Regolamento. Simile impostazione, tuttavia, ha suscitato rilevanti critiche riguardanti un possibile eccesso di delega da parte dell’Esecutivo, essendo stato riconosciuto a quest’ultimo unicamente il potere di abrogare le disposizioni incompatibili al Regolamento e non anche di operare attraverso un intervento radicale.
Per tale ragione il Governo ha elaborato un secondo schema di decreto che, diversamente dalla bozza iniziale, prevede un intervento di novellazione del Codice attraverso congiunti interventi modificativi, integrativi e di abrogazione parziale ed individua specifiche fattispecie penali in caso di violazione del Regolamento. Lo schema di decreto è stato poi trasmesso in data 10 maggio dal Governo al Parlamento e al Garante per la protezione dei dati personali al fine di acquisire i relativi pareri, per poter procedere successivamente alla definitiva approvazione del decreto delegato.
A seguito del parere favorevole, sebbene piuttosto articolato, trasmesso dal Garante il 22 maggio ed in attesa di ricevere le valutazioni delle Commissioni speciali della Camera e del Senato, si rileva come non si sia riusciti a concludere l’intervento di adeguamento entro la data di diretta applicabilità della normativa europea e che, in ragione della proroga di novanta giorni concessa all’Esecutivo ai sensi dell’articolo 31, comma 3, della Legge Moavero (L. 234/2012), vi sarà tempo fino al 21 agosto per esercitare la delega parlamentare ed approvare in via definitiva il decreto di adeguamento.
Giungere al 25 maggio 2018 con una situazione attuativa chiara e determinata, tuttavia, sarebbe stato opportuno per assicurare sin da subito un quadro definito entro cui operare, garantendo quella certezza giuridica essenziale affinché i titolari del trattamento possano conformarsi agli obblighi introdotti della normativa europea. Non solo, arrivare puntuali alla diretta applicabilità del Regolamento sarebbe stata un’ottima opportunità per diffondere tra i cittadini una maggiore consapevolezza sulla gestione dei propri dati all’interno del mondo digitale e soprattutto per promuovere sin da subito una nuova “cultura della privacy”.
Il processo di adeguamento interno, che poteva essere un momento particolarmente significativo per affermare il cambiamento culturale imposto dal Regolamento, si è risolto in un’occasione colta non per intero. Bisognerà dunque attendere ancora qualche settimana per definire la cornice normativa entro cui si svilupperà nei prossimi anni la tutela dell’autodeterminazione informativa dell’individuo all’interno del mondo digitale, e attraverso la quale si darà formalmente avvio alla rivoluzione culturale promessa dal Regolamento.