La privacy dopo il D.Lgs. 101/2018

Un approfondimento di Sebastiano Plutino, DPO AiFOS certificato ai sensi UNI 11697:2017, iscritto ai registri AiCQ-SICEV

Il 27 aprile 2016, dopo lunga attesa e svariate versioni intermedie, è stato approvato dal Parlamento e dal Consiglio europeo il Regolamento unico sulla protezione dati personali che prende il nome di Reg. EU 679/2016, meglio noto come GDPR (General Data Protection Regulation). Il Regolamento, attivo in tutti i paesi europei, è pubblicato il 4 maggio con entrata in vigore dal 24 maggio 2016. L’art. 99 del regolamento indica nel 25 maggio 2018 la data di applicazione per tutti i paesi. Di fatto viene concesso a tutti gli europei (Istituzioni, Enti Pubblici, Aziende, cittadini) un tempo di 24 mesi per procedere agli adeguamenti necessari.

In Italia prima del 25 maggio 2016 la normativa privacy era costituita dal D.Lgs. 196/2003 meglio conosciuto come Codice Privacy con, a corollario integrativo, vari provvedimenti dell’Autorità Garante e vari interventi legislativi che hanno più volte rimaneggiato, modificato e aggiornato il Codice Privacy stesso. Nel periodo fra il 25 maggio 2016 e il 25 maggio 2018 convivevano Regolamento e Codice, il che creava una situazione di estrema complessità.

Il 22 marzo 2018 una notizia di agenzia preannuncia l’adozione di un provvedimento del Consiglio dei Ministri che prevede l’abrogazione del Codice Privacy, affiancata da uno schema di decreto volto ad armonizzare l’ordinamento interno al nuovo quadro normativo dell’Unione Europea in tema di tutela della privacy. Questa decisone, all’epoca accolta favorevolmente da molti operatori del settore, in quanto avrebbe permesso di integrare con estrema semplicità le disposizioni al GDPR, è stata successivamente convertita nella presentazione di un provvedimento ampliamente discusso e revisionato che ha portato il 10 agosto 2018 alla approvazione del d.lgs. 101/2018 che “novellava” il Codice Privacy. Dopo 4 mesi di incertezze, dal 19 settembre 2018 è quindi vigente il d.lgs. 101/2018 che trasforma pesantemente il Codice Privacy (D.Lgs. 196/2003).

Le aziende hanno pagato il ritardo e le indecisioni governative con la necessità di rivedere alcune parti dei propri sistemi di gestione della protezione dati personali perché le novità indotte dal d.lgs. 101/2018 - che sembravano a priva vista minime - in realtà hanno introdotto una pesante revisione al corpo normativo sulla protezione dati personali.

Cerchiamo di capire cosa è successo.

Il D.Lgs. 101/2018 si compone di 27 articoli che, in estrema sintesi, possono essere cosi riassunti:

• gli articoli da 2 al 16 apportano sostanziose modifiche alle Parti I, II e III del d.lgs. 196/2003 (CODICE PRIVACY) e ne abrogano parti rilevanti, basti pensare che la sola Parte I ha visto l’introduzione di 16 nuovi articoli e l’abrogazione integrale dei vecchi articoli dal 3 al 45. Anche le parti II e III presentano molti articoli nuovi o rivisti e molti dei precedenti articoli sono stati abrogati. L’intervento ha di fatto riscritto il Codice Privacy obbligando a una sua rilettura integrale
• l’art. 17 apporta modifiche al d.lgs. 150/2011 «Codice di procedura civile in materia di riduzione e semplificazione dei procedimenti civili di cognizione …» e inserisce nuove modalità di regolamentazione delle controversie, dei reclami e dei contenziosi con l’Autorità Garante.
• l’art. 18 fornisce indicazioni per la definizione agevolata delle violazioni verificatesi prima del 25 maggio 2018 non ancora definite con l'adozione dell'ordinanza di ingiunzione;
• l’art. 19 è dedicato alla definizione dei termini per la gestione di affari pregressi (reclami e segnalazioni di cui non si sia già esaurito l'esame);
• l’art. 20 indica metodologia e tempistica di rivisitazione, da parte del Garante, dei Codici di deontologia e buona condotta vigenti (i Codici che come previsto dall’art. 16 del medesimo decreto diventano «Regole Deontologiche»);
• l’art. 21 indica metodologia e tempistica di rivisitazione, da parte del Garante, delle Autorizzazioni Generali, a proposito delle quali è annunciata, entro 90 giorni dalla pubblicazione del D.Lgs. 101/2018, l’emissione di uno specifico provvedimento che avvierà una consultazione pubblica che porterà al loro aggiornamento;
• l’art.22 è dedicato alle disposizioni transitorie finali (fra le quali «Per i primi otto mesi dalla data di entrata in vigore del presente decreto, il Garante per la protezione dei dati personali tiene conto, ai fini dell'applicazione delle sanzioni amministrative e nei limiti in cui risulti compatibile con le disposizioni del Regolamento (UE) 2016/679, della fase di prima applicazione delle disposizioni sanzionatorie») e alle modifiche alla legge di bilancio del dicembre 2017;
• l’art. 23 revisiona i collegamenti alla precedente versione del Codice Privacy contenuti nel d.lgs. 51/2018 “Attuazione della direttiva (UE) 2016/680 relativa alla protezione delle persone fisiche con riguardo al trattamento dei dati personali da parte delle autorità competenti a fini di prevenzione, indagine, accertamento e perseguimento di reati o esecuzione di sanzioni penali…” alla luce della nuova revisione del Codice Privacy;
• gli art. 24 e 25 definiscono le modalità di applicazione delle sanzioni pregresse e le modalità di trasferimento delle competenze dei procedimenti in atto;
• l’art. 26 introduce disposizioni finanziarie di copertura delle nuove spese dell’Autorità Garante della Protezione Dati Personali (n.d.r. che dal 29 ottobre ha spostato la sua sede in Piazza Venezia a Roma);
• l’art. 27 riporta l’elenco (Titoli, Capi, Articoli) delle parti del d.lgs. 196/2003 abrogate.

Con la revisione del Codice Privacy introdotta con il D.Lgs. 101/2018, l’assetto globale della normativa privacy nel nostro paese si presenta oggi come un corpo normativo estremamente articolato e complesso. Chi prima era abituato a parlare di Codice Privacy si dovrà adesso basare una piramide normativa che vede al vertice più alto il Regolamento EU 679/2016 e, a seguire;

• il d.lgs. 196/2003 come modificato (novellato in gergo) dal 19 settembre 2018;
• il d.lgs. 101/2018 per gli articoli dal 17 al 26 (l’art. 27 riepiloga le parti abrogate);
• il d.lgs. 51/2018 che ha recepito la direttiva EU 680/2016 relativa alla protezione delle persone fisiche con riguardo al trattamento dei dati personali da parte delle autorità competenti a fini di prevenzione, indagine, accertamento e perseguimento di reati o esecuzione di sanzioni penali;
• le linee guida emanate dall’European Data Protection Board che ha preso il posto del precedente Gruppo di Lavoro dell’articolo 29 (della Direttiva 46/1995);
• i provvedimenti dell’Autorità Garante emessi nel passato che non sono in conflitto con il nuovo contesto.

Sembrerebbe tutto qui, e già sarebbe molto, ma non è così; ad esempio, il Regolamento ha già introdotto le tematiche di analisi dei rischi e di sicurezza dei trattamenti che innescano il quadro delle disposizioni emesse dall’ Autorità per l’Italia Digitale (AgID) sulle modalità per garantire la sicurezza dei trattamenti e dei sistemi informatici di supporto ai trattamenti stessi. Regole che spesso riprendono quanto indicato in sede europea dall’ENISA (European Network and Information Security Agency - Agenzia europea per la sicurezza delle reti e dell'informazione).

Sulla sicurezza del trattamento non sfigurano, anzi devono essere tenute in considerazione, tutte le norme di settore sulla protezione dati personali che a partire dal Framework Privacy (ISO IEC 29100) sono state ulteriormente dettagliate con ulteriori linee guida sull’analisi di impatto e sulle tecniche di sicurezza e protezione. E poiché si parla di diritti fondamentali delle persone non si può mai dimenticare l’esistenza della normativa sul lavoro e sul rispetto dei diritti dei lavoratori.

Come si vede, lo scenario che prima appariva un monocolore con toni definiti fondamentalmente dal Codice Privacy, oggi è diventato un arcobaleno di colori e di provvedimenti normativi che devono essere armonizzati nel modo corretto.

Tutti questi elementi incidono fortemente sulla specializzazione dei consulenti che, per affiancare correttamente le imprese, hanno sempre più l’obbligo di essere preparati, informati e aggiornati; in merito a informazione e aggiornamento dei consulenti che si occupano di privacy, la normativa dell’Ente Italiano di Unificazione UNI 11697:2017 disciplina competenze, conoscenze e abilità dei profili professionali relativi al trattamento e alla protezione dei dati personali nonché le modalità di aggiornamento delle competenze raggiunte.

A parere dello scrivente, la disciplina della sopra citata norma UNI appare in linea con le iniziative prese dall’Autorità Garante Spagnola e dall’Autorità Garante Francese, che hanno definito le competenze necessarie per ricoprire il ruolo del Responsabile della Protezione Dati Personali meglio noto come DPO.

Ci auguriamo che le linee guida delle Autorità Garanti europee, oltre a quelle eventualmente emesse dall’Autorità Italiana, possano offrire un concreto supporto alle imprese nell’intraprendere un percorso di conformità semplificato e coerente all’impianto normativo europeo, fondamentale per la loro competitività e, quindi, per la ripresa economica del nostro paese.