Il 25 maggio 2022 il Regolamento (UE) 679/2016 (GDPR) festeggia quattro anni dal suo varo ufficiale.
Quello che viviamo oggi è un avvenimento di grande importanza, ma anche di grande riflessione: per capire cosa è stato fatto e cosa c’è ancora da fare con la gestione della privacy.
Il GDPR è stato, negli anni, un apripista per molti Stati: si pensi, ad esempio, al Californian Consumer Privacy Act (CCPA) in California, al Protection of Personal Information Act (POPI Act) in Sud-Africa e, ancora, al Lei Geral de Proteção de Dados (LGPD) in Brasile.
Il Garante Italiano ha evidenziato come molti Paesi dell’Europa dell’est, entrati a far parte dell’UE in momenti successivi, abbiano, grazie al GDPR, acquisito poteri di verifica e ispezione che il Garante italiano, invece, ha maturato nei suoi 25 anni di attività. Infatti, non tutti i paesi UE hanno nella loro normativa questo potere.
Il GDPR, all’art. 83, in forza del rinvio all’art. 58 par. 2, conferisce agli Stati Membri, per il tramite delle Autorità di controllo, la facoltà di lanciare moniti, di adottare provvedimenti correttivi e, nei casi più gravi, infliggere sanzioni laddove vi siano delle violazioni all’applicazione del regolamento. Su questo punto il Garante auspica un coordinamento europeo che consenta ai Paesi che si trovino all’interno dello Spazio Economico Europeo (SEE) l’acquisizione di meccanismi che mettano a disposizione parametri omogenei da utilizzare per le attività di controllo al fine di armonizzare il modus operandi delle Autorità.
In Italia il recepimento del GDPR si è collocato all’interno di una più ampia revisione del Codice Privacy che ha riguardato la ridefinizione degli spazi di deroga che il Regolamento ha lasciato agli stati membri, oltre alla naturale abrogazione delle disposizioni divenute incompatibili.
Criticità da risolvere
A distanza di quattro anni dall’adattamento della normativa interna con il D.lgs 101/2018, possiamo individuare alcuni settori in cui il legislatore italiano ha esercitato la deroga ampliando gli spazi che il legislatore europeo ha concesso e altri settori, che pure erano critici sotto la previgente disciplina, che sono rimasti drammaticamente irrisolti.
Tra gli ambiti di ampliamento della disciplina, troviamo la recente modifica dell’art. 2 ter Codice privacy per mezzo della legge di convalida del c.d. Decreto Capienze che, lo scorso dicembre, ha finito per allargare la base giuridica individuata dall’art. 6 par. 1 lett. e) GDPR, ovvero “l’esecuzione di un compito di interesse pubblico o connesso all’esercizio di pubblici poteri di cui è investito il titolare del trattamento”, oltre alla legge e, nei casi previsti dalla legge, al regolamento, anche all’atto amministrativo generale.
Tale ampliamento, con tutte le successive puntualizzazioni e precauzioni, come l’indicazione delle finalità del trattamento o le misure di garanzia per i diritti e le libertà degli interessati, offre una serie di valutazioni e di accorgimenti affinché la base giuridica del trattamento possa essere considerata legittimamente integrata.
Tra gli ambiti di applicazione che, invece, sono rimasti ancora da implementare, si deve menzionare la disciplina dei dati giudiziari. L’articolo 10 del GDPR, infatti, demanda agli stati membri la disciplina che, nel nostro ordinamento, trova il suo riferimento nell’articolo 2-octies del Codice Privacy; quest’ultimo, a sua volta, demanda a un regolamento del Ministero della Giustizia l’individuazione delle misure di garanzia a tutela dei diritti e delle libertà degli interessati. Orbene, l’iter di approvazione di tale regolamento è tuttora in corso tra il parere del Garante Privacy, le correzioni del ministero e il successivo parere del Consiglio di Stato con richiesta di ulteriori adeguamenti e correttivi.
Il problema dei dati biometrici
Non si può non menzionare anche il trattamento dei dati biometrici, tra le categorie particolari di dati personali disciplinate dall’articolo 9 GDPR. In particolare, la normativa nazionale, art. 2-septies del Codice Privacy, prevede che
“nel rispetto dei principi in materia di protezione dei dati personali, con riferimento agli obblighi di cui all’articolo 32 del GDPR, è ammesso l’utilizzo dei dati biometrici con riguardo alle procedure di accesso fisico e logico ai dati da parte dei soggetti autorizzati, nel rispetto delle misure di garanzia”.
La mancata adozione del provvedimento che prescrive le misure di garanzia per l’utilizzo dei dati biometrici risente del dibattito esistente sul riconoscimento facciale e sulla moratoria che è stata introdotta con il Decreto Capienze e che prevede la sospensione dall’utilizzo o dall’installazione di impianti di videosorveglianza che utilizzano sistemi di riconoscimento facciale che trattano dati biometrici.
Così come meritano un particolare focus di attenzione le incertezze legate al tema del trasferimento dei dati personali in Paesi extra UE e gli adempimenti richiesti ai titolari che vogliano effettuarli, anche alla luce dei recenti provvedimenti da parte di diverse Autorità Garanti (austriaca e francese) che si sono espresse nello specifico sull’implementazione di Google Analytics.
Sebbene il GDPR detti, al capo V, un quadro completo sul trasferimento dei dati extra UE, la sentenza del luglio 2020 della Corte di Giustizia europea, c.d. Schrems II, che ha invalidato il Privacy Shield (ovvero l’accordo USA-UE che disponeva le regole del trasferimento dei dati verso gli USA), ha sollevato dubbi in relazione alle misure di garanzia necessarie per effettuare il trasferimento di dati verso gli USA, in ragione delle caratteristiche dell’ordinamento.
Infatti, la Corte di Giustizia prima, e molte autorità europee dopo, hanno considerato l’uso delle Standard Contractual Clauses (SCCs) quali strumenti non idonei tout court a fondare il trasferimento proprio per il loro carattere esclusivamente contrattuale che non consente di vincolare le autorità pubbliche (nel caso di specie, le autorità di intelligence americane) al loro rispetto.
Omogeneità di trattamento nella CE
L’impatto e l’incidenza del GDPR nelle quotidiane attività svolte da imprese, pubbliche amministrazioni e professionisti è innegabile, tuttavia, oltre alle tante luci permane anche qualche ombra e molto ancora deve essere fatto per evitare asimmetrie nell’applicazione della normativa e garantire al contrario l’armonizzazione delle normative nazionali, l’uniformità e la coerenza.
Diversi sono gli elementi che potrebbero incidere e determinare il disallineamento da parte dei Paesi europei nell’applicazione del GDPR per citarne alcuni, ad esempio, la diversità dei sistemi giudiziari, la differente sensibilità legata alle tematiche privacy nonché il differente sviluppo tecnologico e le strategie adottate nei processi di digitalizzazione che variano e che, va da sé, sono elementi che si muovono su livelli diversi a seconda del singolo Paese europeo.
Altro aspetto oggetto di critica al GDPR attiene, ad esempio, al meccanismo di coordinamento tra Autorità indipendenti ai sensi dell’art. 60 che sancisce il principio dello sportello unico (il c.d. One Stop Shop) che consente di individuare l’Autorità “capofila” che avrà il compito di guidare le controversie plurigiurisdizionali che coinvolgano diversi Paesi europei. Infatti, quanto avvenuto in occasione della sanzione comminata dall’Autorità garante irlandese (Data Protection Commission, DPC) nei confronti di WhatsApp mostra e conferma i limiti del meccanismo One Stop Shop, pensato quale misura di semplificazione.
Nel caso di specie, l’Autorità irlandese in qualità di autorità di vigilanza “capofila” aveva inflitto una sanzione nei confronti della società californiana per violazione degli obblighi di trasparenza nei confronti degli interessati ai sensi del GDPR. La multa comminata dal Garante irlandese è però stata oggetto di forti contestazioni da parte del Garante tedesco tali da determinare l’intervento dell’EDPB che, ai sensi dell’articolo 65 del GDPR, ha adottato una decisione di risoluzione delle controversie. A tal fine, l’EDPB ha richiesto al Garante irlandese di modificare il suo progetto di decisione per quanto riguarda le violazioni della trasparenza riscontrate nonché di ridefinire il calcolo dell’importo della sanzione, reputando di dover tenere conto del fatturato consolidato della Società madre (Facebook Inc.).
Nonostante il GDPR sia stato oggetto di critica in più occasioni, si deve riconoscere il grande merito di essere considerato un framework normativo in grado di individuare gli strumenti e le misure necessarie al passo con il progresso tecnologico.
Infatti, i principi e gli adempimenti del GDPR si sono sempre mostrati attuali e aperti all’innovazione anche in relazione ai cambiamenti vissuti forzatamente con il periodo emergenziale.
La disciplina europea in materia di protezione dei dati personali rispetto al nuovo scenario scandito dal Digital Service Act, Digital Market Act, Digital Governance Act e Data Act rimane intatta ed impregiudicata.
Il Legislatore ha precisato che la nuova normativa deve essere letta in parallelo al Regolamento europeo sulla protezione dei dati. Non sappiamo se in futuro il GDPR riuscirà a resistere, senza alcuna modifica, alle evoluzioni normative volte al progresso tecnologico e come si interfaccerà con il futuro regolamento sull’intelligenza artificiale.
A oggi si può dire che la normativa implementata, grazie anche alla collaborazione tra le Autorità di controllo, è stata in grado di fornire una tutela dei diritti e delle libertà degli interessati, in un periodo storico che ci ricorda che non sempre la democrazia è la scelta più semplice da percorrere per gli ordinamenti, ma è indubbiamente quella più tutelante per le libertà dell’uomo.
Tuttavia, quello possiamo affermare oggi è che la normativa insieme alla collaborazione delle Autorità, in particolare del Garante Italiano, è stato in grado di fornire una piena tutela dei diritti e delle libertà degli interessati con il fine di tutelare il diritto alla privacy e alla protezione dei dati, diritto fondamentale per la democrazia e la libertà dell’uomo.