La seconda vita delle Autorizzazioni del Garante dopo l’entrata in vigore del GDPR
di Manuela Bianchi
L’abrogato art. 26 D. Lgs. n. 196/2003 (Codice Privacy) richiedeva il consenso scritto e la preventiva autorizzazione del Garante per il trattamento dei dati sensibili. Tale tipologia di trattamento trovava la base giuridica nel consenso espresso dell’interessato e nell’autorizzazione preventiva una sorta di certificazione della bontà del trattamento che il titolare si accingeva a fare. L’ugualmente abrogato art. 40 prevedeva la facoltà per il Garante di emanare le cd. Autorizzazioni generali, ovvero atti amministrativi contenenti un insieme di regole applicabili a specifiche e omogenee categorie di titolari e di trattamenti. Negli anni, il Garante ha quindi emesso una serie di Autorizzazioni generali per i trattamenti più comuni che dovevano ritenersi degli di approvazione.
Alla data del 2018 le Autorizzazioni generali erano nove:
- 1/2016, relativa al trattamento dei dati sensibili nei rapporti di lavoro;
- 2/2016, relativa al trattamento dei dati idonei a rivelare lo stato di salute e la vita sessuale;
- 3/2016, relativa al trattamento dei dati sensibili da parte degli organismi di tipo associativo e delle fondazioni;
- 4/2016, relativa al trattamento dei dati sensibili da parte dei liberi professionisti;
- 5/2016, relativa al trattamento dei dati sensibili da parte di diverse categorie di titolari;
- 6/2016, relativa al trattamento dei dati sensibili da parte degli investigatori privati;
- 7/2016, relativa al trattamento dei dati a carattere giudiziario da parte di privati, enti pubblici economici e di soggetti pubblici;
- 8/2016, relativa al trattamento dei dati genetici;
- 9/2016, relativa al trattamento dei dati personali effettuato per scopi di ricerca scientifica.
Simili atti trovavano la loro ratio in vigenza dell’assetto normativo anteriore all’entrata in vigore del GDPR (o Regolamento), ovvero quando la normativa non basava la sua architettura sul principio della responsabilizzazione dei titolari del trattamento, ma, al contrario, su un controllo preventivo del Garante che aveva quindi la facoltà di “indirizzare” alcune categorie di titolari evitando loro di chiedere di volta in volta permessi specifici per le modalità di trattamento di categorie peculiari di dati. Così, nel tempo, le Autorizzazioni generali sono diventate riferimenti prescrittivi e concettuali.
Senonché il GDPR ha fatto crollare l’assetto normativo previgente, introducendo i principi di accountability del titolare, di privacy by design e privacy by default, tutti principi che, in re ipsa, non possono convivere con la facoltà autorizzativa generale e preventiva dell’autorità di controllo come vista sopra. Al contempo, il GDPR non contempla il “doppio controllo” per il trattamento di categorie particolari di dati personali, ritenendo sufficiente l’individuazione di una delle basi giuridiche descritte nell’art. 9. Ne consegue che da un lato l’autorità di controllo non è più legittimata a emettere autorizzazioni preventive, dall’altro esse non sarebbero nemmeno più necessarie proprio perché il titolare del trattamento deve assumersi la responsabilità ab origine delle sue scelte in punto trattamento dei dati.
Il legislatore, che aveva il compito di traghettare e conciliare, ove possibile, le disposizioni del Codice Privacy con quelle del Regolamento, si è trovato di fronte a un corpus di Autorizzazioni generali divenute punti di riferimento che non aveva senso perdere e al diverso dettato del GDPR. La scelta di compromesso è rappresentata dall’art. 21 del D. Lgs. n. 101/2018 (Disposizioni per l’adeguamento della normativa nazionale alle disposizioni del Regolamento UE 2016/679): sfruttando gli spazi di intervento nazionale consentiti dal Regolamento, il legislatore ha demandato al Garante il compito di individuare, con proprio provvedimento di carattere generale, le prescrizioni contenute nelle Autorizzazioni generali già adottate relative alle situazioni di trattamento ex art. 6, par. 1, lett. c) e)[1]; artt. 9.2, lett. b) e 9.4[2]; capo IX[3] del Regolamento, che risultano compatibili con e disposizioni comunitarie. Le Autorizzazioni generali che non rientrano in queste tipologie hanno cessato di produrre automaticamente il loro effetto a partire dal 19 settembre 2018, data di entrata in vigore del D. Lgs. n. 101/2018.
L’Autorità di controllo con Provvedimento n. 497 del 13 dicembre 2018 ha indetto la procedura di consultazione pubblica richiesta per gli atti regolatori, finalizzata all’acquisizione di osservazioni e proposte che dovevano pervenire entro 60 giorni e al cui esito è stato adottato il Provvedimento n. 146 del 5 giugno 2019, il cui Allegato 1 riporta le cinque delle nove Autorizzazioni generali sopra elencate che hanno trovato il diritto di essere traghettate dal vecchio al nuovo regime. Si tratta delle Autorizzazioni generali n. 1/2016, 3/2016, 6/2016, 8/2016 e 9/2016, che per le materie ivi trattate rappresentano oggi una bussola per l’interprete e il titolare al fine di definire al meglio la propria strategia di modalità e sicurezza del trattamento di quelle specifiche categorie di dati.
[1] L’art. 6.1, lett. c) e) richiamano le basi giuridiche dell’obbligo di legge e dell’esecuzione di un compito di interesse pubblico o connesso all’esercizio di pubblici poteri.
[2] Gli artt. 9.2, lett. b) e 9.4 richiamano le basi giuridiche supplementari per il trattamento dei dati sensibili, in particolare in materia giuslavoristica, di sicurezza sociale e le deroghe nazionali in materia di dati genetici, biometrici o relativi alla salute.
[3] Il Capo IX contiene un eterogeneo gruppo di norme di parte speciale, in materia di giornalismo e manifestazione del pensiero, di accesso a documenti amministrativi, di numero di identificazione nazionale, di trattamenti giuslavoristici, di archiviazione nel pubblico interesse, di ricerca storica, scientifica o per finalità statistiche, di segreto professionale e segretezza in generale, di trattamenti svolti da associazioni e comunità religiose.
Autore:
