È iniziato il processo di cambiamento del Codice privacy.
Solo pochi giorni fa il Parlamento delegava il Governo a emanare atti normativi per modificare il nostro Codice privacy, al fine di allinearlo alle disposizioni del GDPR che, come ben sappiamo o dovremmo sapere, è già in vigore e diventerà applicabile tra meno di sei mesi.
Nel frattempo, lo stesso Parlamento si è dato da fare per apportare le prime modifiche attraverso una legge: lunedì 27 novembre, infatti, è stata pubblicata sulla Gazzetta Ufficiale la Legge n° 167, del 20 novembre u.s, recante disposizioni per l’adempimento degli obblighi derivanti dall’appartenenza dell’Italia all’Unione europea – Legge europea 2017 (GU Serie Generale n° 277 del 27/11/2017). La legge entrerà in vigore il prossimo 12 dicembre.
Tralasciando il fatto che mi sembra incomprensibile delegare il Governo e poi agire direttamente (cfr. L 163/2017, art. 13, in particolare il co. 3, lett. b)), andiamo a vedere cosa è effettivamente cambiato e proviamo a determinarne gli effetti concreti.
Al codice in materia di protezione dei dati personali sono state apportate due importanti modifiche.
All’articolo 29 (Responsabile del trattamento), dopo il comma 4 è stato inserito il 4-bis:
“Fermo restando quanto previsto ai commi 1, 2, 3 e 4, il titolare può avvalersi, per il trattamento di dati, anche sensibili, di soggetti pubblici o privati che, in qualità di responsabili del trattamento, forniscano le garanzie di cui al comma 2. I titolari stipulano con i predetti responsabili atti giuridici in forma scritta, che specificano la finalità perseguita, la tipologia dei dati, la durata del trattamento, gli obblighi e i diritti del responsabile del trattamento e le modalità di trattamento; i predetti atti sono adottati in conformità a schemi tipo predisposti dal Garante”.
Sempre all’art. 29, il comma 5 è stato sostituito dal seguente:
“Il responsabile effettua il trattamento attenendosi alle condizioni stabilite ai sensi del comma 4-bis e alle istruzioni impartite dal titolare, il quale, anche tramite verifiche periodiche, vigila sulla puntuale osservanza delle disposizioni di cui al comma 2, delle proprie istruzioni e di quanto stabilito negli atti di cui al comma 4-bis”.
Infine, dopo l’articolo 110 è stato aggiunto il 110-bis. (Riutilizzo dei dati per finalità di ricerca scientifica o per scopi statistici), che recita:
“1. Nell’ambito delle finalità di ricerca scientifica ovvero per scopi statistici può essere autorizzato dal Garante il riutilizzo dei dati, anche sensibili, ad esclusione di quelli genetici, a condizione che siano adottate forme preventive di minimizzazione e di anonimizzazione dei dati ritenute idonee a tutela degli interessati.
2. Il Garante comunica la decisione adottata sulla richiesta di autorizzazione entro quarantacinque giorni, decorsi i quali la mancata pronuncia equivale a rigetto. Con il provvedimento di autorizzazione o anche successivamente, sulla base di eventuali verifiche, il Garante stabilisce le condizioni e le misure necessarie ad assicurare adeguate garanzie a tutela degli interessati nell’ambito del riutilizzo dei dati, anche sotto il profilo della loro sicurezza”.
Dunque, quali sono gli effetti di queste prime modifiche al Codice? Vediamoli insieme.
Innanzi tutto possiamo dire che, soprattutto quando il responsabile del trattamento è esterno, il titolare deve stipulare con lui un contratto scritto, il cui contenuto è solo in parte vincolato dal nuovo Codice: al di là di quello che sarà la volontà delle parti, che si accorderanno come meglio riterranno, questo contratto deve contente almeno la finalità perseguita, la tipologia dei dati, la durata del trattamento, gli obblighi e i diritti del responsabile del trattamento e le modalità di trattamento. A ben vedere, è molto diverso dal testo del GDPR, che prevede che nel contratto siano indicati la materia disciplinata e la durata del trattamento, la natura e la finalità del trattamento, il tipo di dati personali e le categorie di interessati, gli obblighi e i diritti del titolare del trattamento, oltre a tutti quegli elementi indicati dalle lettere da a) a h) del par. 3 dell’art. 28 del GDPR e dai paragrafi successivi.
Già qui ci sarebbe da criticare fortemente chi ha scritto il testo delle Legge. A parte che è inutile averlo fatto, avrebbe almeno potuto copiare bene.
Nella seguente tabella evidenzio le differenze.
| Caratteristiche del contratto | Nuovo Codice privacy modificato | GDPR |
| Forma scritta | Sì | Sì |
| Materia disciplinata | No | Sì |
| Natura del trattamento | No | Sì |
| Finalità perseguita | No | Sì |
| Tipologia di dati | Sì | Sì |
| Categorie di interessati | No | Sì |
| Durata del trattamento | Sì | Sì |
| Obblighi e diritti del titolare del trattamento | No | Sì |
| Obblighi e diritti del responsabile del trattamento | Sì | Sì |
| Modalità del trattamento | Sì | Sì |
| Altre specifiche | No | Sì |
| Obbligo di conformarsi agli schemi proposti dal Garante | Sì | Sì |
L’ultimo periodo dell’nuovo comma 4-bis obbliga implicitamente il Garante a predisporre degli “schemi tipo”, cosa che il GDPR gli riconosce come facoltativa.
Sostanzialmente, il nuovo comma 5 non apporta variazioni o innovazioni nel modo in cui i titolari devono vigilare sui propri responsabili.
Il nuovo art. 110-bis, invece, offre una nuova opportunità per i titolari, ovvero quella di trattare ulteriormente i dati già in loro possesso per finalità di ricerca scientifica o statistiche. In linea con il par. 4 dell’art. 9 del GDPR, il Parlamento ha posto due importanti vincoli: il primo è che deve essere ottenuta un’autorizzazione da parte del Garante (magari ci sarà spazio per delle autorizzazioni generali?), mentre il secondo è che, comunque, a prescindere dall’aver ottenuto l’autorizzazione o dalle misure di sicurezza adottate, non sarà lecito trattare per finalità di ricerca scientifica o statistiche i dati genetici. Mi viene da chiedermi come ci si dovrà comportare quando questo divieto contrasterà con finalità d’interesse pubblico rilevante, come la salvaguardia della vita o dell’incolumità fisica dell’interessato o di terzi (cfr. Dlgs 196/2003, art. 26, co. 4, lett. b) e GDPR, art. 6, per. 1, lett. d) e art. 9), con particolare riferimento ai casi in cui qualcuno si sottopone a terapie mediche sperimentali che, per loro stessa natura servono a salvaguardare la vita di qualcuno e sono ancora in fase di studio e, quindi, fortemente legate alla ricerca.
Ritengo che soprattutto su quest’ultimo punto si apriranno dibattiti interessanti nel prossimo periodo.