La bozza del decreto attuativo del GDPR, tra profili di incostituzionalità e contrasto con il principio europeo di accountability

di Maura Mialich

Il 21 marzo scorso è stato approvato in via preliminare lo schema di decreto che adegua la normativa italiana in materia di protezione dei dati personali alle disposizioni del Regolamento UE 2016/679 (GDPR).
Con la Legge 25 ottobre 2017, n. 163, infatti, il Parlamento ha incaricato il Governo di:
a) abrogare espressamente le disposizioni del D. Lgs. 196/2003 (Codice Privacy) incompatibili con il GDPR;
b) modificare il suddetto Codice in attuazione del GDPR;
c) coordinare la normativa italiana in ambito di protezione dei dati personali con quanto previsto dal GDPR;
d) adottare, ove necessario, provvedimenti specifici, nel rispetto degli interventi del Garante in materia;
e) adeguare l’apparato sanzionatorio previsto dalla normativa italiana al GDPR, prevedendo sanzioni penali e amministrative adeguate alle violazioni.

Vediamo di seguito le principali novità apportate dallo schema di decreto.
E’ stata abbassata da sedici a quattordici anni la soglia prevista dal GDPR per i minori che possono autonomamente prestare il consenso al trattamento dei propri dati personali.
In merito al trattamento dei dati personali effettuato nei rapporti di lavoro, si prevede che il Garante possa adottare misure e garanzie specifiche, mentre il consenso non è richiesto laddove la finalità del trattamento rientrino, ad esempio, nell’ambito della medicina preventiva e del lavoro, della diagnosi o della terapia.
In relazione ai dati sanitari, è stato eliminato ogni riferimento al consenso al trattamento di dati sanitari necessario per garantire l’incolumità fisica dell’interessato o di terzi o la salute pubblica.
Per quanto concerne i dati genetici e biometrici, il trattamento può avvenire sulla base del consenso espresso dall’interessato o nel rispetto delle condizioni previste dall’art. 9 par. 2 GDPR e secondo le indicazioni del Garante.
Infine, il titolare e il responsabile del trattamento dei dati personali possono designare una persona fisica cui delegare specifici compiti relativamente alla gestione dei dati.

Diverse sono le critiche mosse in questi giorni allo schema di decreto, a cominciare dalla permanenza in vigore del discusso art. 110-bis Codice Privacy, introdotto con legge n. 167/2017, che limita fortemente il riutilizzo di dati per fini di ricerca o statistici e che si contrappone alla ratio del GDPR.
E’ stato poi eliminato il consenso al trattamento dei dati dalla sanità, riconoscendo come sempre lecito il trattamento dei dati da parte degli operatori sanitari a prescindere dalle finalità dei trattamenti.
Sono stati modificati diversi articoli e-privacy ai sensi della direttiva 2002/58/CE, del tutto estranei al GDPR e completamente fuori delega.
Un dato sorprendente, infine, è la scomparsa delle sanzioni penali, un vulnus normativo di non poco conto, se si pensa che le stesse sono state espressamente previste dal legislatore europeo.

Le principali associazioni nazionali rappresentative in materia (Andip, Associazione Privacy Italia, Istituto Italiano per la Privacy, Angif, Andig, Federprivacy) si sono dichiarate deluse dal provvedimento attuativo del Governo e hanno manifestato in una lettera congiunta l’intenzione di intraprendere un’azione interassociativa volta a “sollevare dubbi in merito sia alla metodologia adottata per l’approvazione dello Schema di Decreto, con un iter svolto a porte chiuse, senza il doveroso coinvolgimento delle associazioni di categoria rappresentative della materia, sia alla correttezza della previsione di un’abrogazione dell’intero Codice per la protezione dei dati personali (e delle sanzioni penali ivi previste), verosimilmente incostituzionale”.

L’allarme, dunque, concerne da un lato i profili di incostituzionalità dello schema di decreto per eccesso di delega, stante il carattere esorbitante delle relative norme, dall’altro il frequente contrasto con il diritto dell’UE e la ratio del GDPR, improntato al principio della responsabilità (accountability) e quindi alla flessibilità. La conseguenza preoccupante è il rischio di una forte compressione per i diritti dei cittadini.

Anche il Garante europeo della protezione dei dati, Giovanni Buttarelli, in occasione di un convegno Assonime, si è dichiarato profondamente deluso per “il tipo di approccio tecnico, per sostanza e per alcune scelte di fondo è […] non conformi né alla legge delega né al Regolamento comunitario”.

La bozza del decreto è ora al vaglio delle Commissioni Parlamentari competenti e dovrà ottenere il parere favorevole del Garante, poi si potrà passare all’approvazione del testo definitivo da parte del Governo.


Autore