Atto del Governo n.22. L’Osservatorio 679 presenta documento alle Commissioni congiunte di Camera-Senato


Decreto di adeguamento al GDPR. Le proposte presentate in audizione

Lo scorso giovedì 7 giugno, gli Uffici di Presidenza delle Commissioni speciali di Senato e Camera, in seduta congiunta, hanno svolto diverse audizioni in merito all’Atto del Governo n.22 – “Adeguamento alla normativa nazionale circa la protezione delle persone fisiche con riguardo al trattamento dei dati personali”.

All’audizione è intervenuto l’Osservatorio 679 GDPR – ETS (associazione culturale cui fanno capo diversi stakeholders incaricati di effettuare studi e ricerche scientifiche nell’ambito della protezione dei dati personali), rappresentato dal suo Presidente, dott. Riccardo Giannetti, insieme all’avv. Gianluca Di Ascenzo (Presidente del Codacons) e dall’avv. Rosario Imperiali d’Afflitto, conoscitore della materia ed entrambi vice Presidenti.

Temi sottoposti dall’Osservatorio 679 alle Commissioni di Camera e Senato

Appena presa la parola, il Presidente Giannetti ha ringraziato della possibilità concessagli poiché: «I temi che insieme ai miei colleghi portiamo all’attenzione, possono rappresentare anche dal punto di vista economico forti ambiguità per il sistema Italia».

• Certificazione Privacy

Primo aspetto sottoposto all’attenzione della Commissione ha riguardato “l’ambiguità” di un articolo molto piccolo all’interno del decreto di adeguamento della normativa nazionale al General Data Protection Regulation – GDPR.
Si tratta dell’articolo 2-quinquiesdecies, che individua l’Organismo di accreditamento nazionale. Si è parlato, nello specifico, dell’opzione consentita dal GDPR agli Stati di stabilire che l’accreditamento degli enti di certificazione ai fini della privacy avvenga ad opera dell’ente nazionale di accreditamento (per l’Italia “Accredia”) o dal Garante, in via alternativa o cumulativa.
L’aspetto delicato qual è? Il Regolamento all’articolo 43, paragrafo I, lascia una sorta di libertà decisionale agli Stati membri decidendo chi e come possa accreditare gli organismi di certificazione; senza entrare nel merito di questa questione, poiché tutto nasce da un principio di valutazione delle competenze – Regolamento europeo 765 del 2008 – richiamato all’interno dello stesso Regolamento GDPR, che ci ricorda che esistono Stati con una grande competenza ed altri, causa inesperienza, molto più impreparati. Quindi, lasciare alle autorità garanti questo potere di accreditamento, ancorché in conflitto di interessi di certificazione, potrebbe portare realmente ad una “pericolosa” differenza all’interno degli Stati stessi.
L’Osservatorio, dopo aver precisato che tale ampia opportunità di scelta discende dalla variegata situazione vigente negli Stati membri, sottolinea l’opportunità che il legislatore nazionale definisca chiaramente la distinzione dei ruoli tra l’ente nazionale di accreditamento (“Accredia”) e l’autorità di supervisione (Garante) anche per evitare possibili conflitti di interesse. Si propone di valutare, pertanto, la possibilità di riformulare il testo in modo da eliminare dubbi interpretativi, specificando che l’ente deputato all’accreditamento degli enti di certificazione in materia di protezione dei dati personali sia l’ente nazionale di accreditamento (Accredia), lasciando tale possibilità anche al Garante ma, solo per taluni specifici contesti chiaramente identificati, dove l’impatto sui diritti e le libertà degli individui giustifichi l’intervento diretto dell’autorità.
Secondo il Presidente dell’Osservatorio, dott. Riccardo Giannetti, questo aspetto è assai rilevante in quanto l’articolo in questione non chiarisce ancora una volta «l’ambiguità di chi fa che cosa».
L’Osservatorio 679 ha proposto di: «Definire meglio ed in m modo chiaro cosa deve fare il Garante per quanto riguarda l’accreditamento soprattutto per quelle categorie di trattamenti che, a nostro avviso – ha sottolineato Giannetti – è giusto che rimangano in capo al Garante, come ad esempio quelli concernenti dati genetici o biometrici».
Il rischio è pertanto che si crei un’ambiguità perenne per lo Stato italiano, di conseguenza per le strutture italiane. Una differenza competitiva nei confronti dell’Europa.

• Regole deontologiche

L’Osservatorio ha condiviso la scelta di aggiornare e adeguare gli attuali Codici di deontologia e buona condotta con la sottoscrizione di regole deontologiche sui medesimi argomenti insieme al rilievo dato alla consultazione pubblica, in quanto permette alle parti interessate di partecipare alla formazione della normativa ma, al contempo, l’Osservatorio suggerisce al legislatore di dare maggiori specifiche rispetto alla declinazione del “principio di rappresentatività”, «altrimenti suscettibile di incertezze applicative e potenziale motivo di contenzioso», afferma l’avvocato Gianluca Di Ascenzo.

• Data Retention

L’avvocato Rosario Imperiali, esperto della materia, ha posto l’attenzione sulla questione relativa alla conservazione dei dati di traffico ed ha messo in luce che oltre ai profili posti in essere nel corso dell’audizione (economico e dei diritti), sussiste anche un profilo politico, proprio perché una normativa di questo genere espone al forte rischio di una procedura d’infrazione dello Stato nei confronti delle norme europee.

• Tecnica redazionale e accountability

Pur apprezzando lo sforzo profuso nell’esplicitare i correttivi normativi resi necessari per rendere la previgente normativa nazionale compatibile con il GDPR, in aggiunta al mantenimento del Codice Privacy, l’Osservatorio, per bocca dell’avvocato Imperiali, evidenzia come l’attuale assetto redazionale esponga il destinatario della norma ad un’onerosa ricostruzione interpretativa.
Sul tema, infatti, cittadini ed imprese saranno inevitabilmente costretti a ricorrere ad almeno tre fonti normative e ad effettuare le necessarie correlazioni interpretative: il GDPR, il Codice Privacy emendato ed il decreto di cui si discute. Al fine di ridurre questo impatto, l’avv. Imperiali propone che tutte le disposizioni contenute nel decreto – incluse quelle transitorie, finali e finanziarie del Capo VI del decreto – siano concepite come nuovi articoli da inserire nell’attuale Titolo IV del Codice Privacy, rubricato Disposizioni modificative, abrogative, transitorie e finali”: consentirebbe di avere solo due fonti normative – GDPR e Codice Privacy – come in altri Paesi accade (Inghilterra e Germania per esempio) e questo porterebbe ad una maggiore chiarezza e semplicità interpretativa.
Nonostante, in questo ambito, il GDPR dia flessibilità alle leggi nazionali di decidere in autonomia, si ritiene che la soluzione individuata contrasti la generale filosofia della cosiddetta “accountability”, o responsabilizzazione del titolare del trattamento (secondo cui le valutazioni in materia di protezione dei dati personali sono rimesse al titolare e non più soggette ad autorizzazione del Garante), e carichi di ulteriori oneri l’attività operativa dell’autorità. In aggiunta, anche qualora si intendesse mantenere questa opzione, la formulazione dell’articolo richiederebbe una rivisitazione, in quanto dall’attuale testo non emerge che il caso prospettato sia soggetto all’obbligo della preventiva autorizzazione del Garante, mentre tale condizione pregiudiziale viene esplicitata solo nel corpo della relazione illustrativa.

A conclusione dell’audizione, altra considerazione del Presidente Riccardo Giannetti

La questione posta in evidenza dal dott. Giannetti riguarda l’impostazione «”vetero-codicistica” – come da lui stesso definita – del decreto in questione, ovvero di andare a chiedere di nuovo le autorizzazioni al Garante.
Il GDPR si basa su un principio fondamentale che noi italiani stentiamo ad accettare, vale a dire la responsabilizzazione del destinatario della norma secondo cui le valutazioni in materia di protezione dei dati personali sono rimesse al titolare e non più soggette ad autorizzazione del Garante. Ora, però, se il legislatore non riesce a tagliare questo cordone ombelicale”, noi avremo la promiscuità di un approccio che è insostenibile. Mi riferisco – prosegue il Presidente Giannetti – in modo specifico ai trattamenti per interessi pubblici dell’articolo 2 quinquendieces, che espongono le pubbliche amministrazioni e anche i soggetti che agiscono per la pubblica amministrazione a richiedere le autorizzazioni al Garante. Vi sono, però, anche altri elementi ma vorrei cogliere oggi solo aspetti a titolo esemplificativo; trovo pertanto che sia una raccomandazione cha sia giusto vada data al Governo».

Perché per l’Italia questo aspetto è fondamentale?

Il decreto non chiarisce ancora una volta l’ambiguità di chi fa che cosa o, meglio, attribuisce sì ad “Accredia” il compito di accreditare (anche in forza del già citato Regolamento 765), ma lascia invariata la facoltà al Garante – come recita lo stesso articolo – “Fatto salvo il potere del Garante di assumere direttamente l’esercizio di tutte le funzioni con riferimento ad una o più categorie di trattamenti”.
Ecco. Il punto delicato è proprio questo: quando, come e in che condizioni?
Siccome il 25 maggio è passato e l’Italia si trova ancora nel bel mezzo dell’indecisione nel sapere “chi fa che cosa”, e dato che l’Europa questa fase l’ha già superata, il problema diventa di mercato.

Che significa che il problema diventa di “mercato”?

Significa che i colleghi tedeschi (gli enti di accreditamento di certificazione), i francesi e, soprattutto, gli inglesi (Brexit o non Brexit), hanno comunque intrapreso una strada “in barba” a quelle che sono un po’ tutte le regole generali. Per cui, mentre noi italiani ci poniamo problemi filosofici sul “chi fa che cosa”, come deve essere gestito e come questo argomento va strutturato, c’è chi si è mosso in modo del tutto arbitrario e separato.
Questo lo si può affermare a ragion veduta, perché l’Osservatorio 679 ha preso parte a diversi gruppi tecnici di lavoro a Bruxelles ed ha anche condotto diversi studi con importanti università, incaricato dalla Commissione europea, per cui si può liberamente sostenere che ogni Stato si sta muovendo in modo “libero”.