Decreto legislativo - 10/08/2018 - n. 101 art. 21 - Autorizzazioni generali del Garante per la protezione dei dati personali (A)Autorizzazioni generali del Garante per la protezione dei dati personali (A)
1. Il Garante per la protezione dei dati personali, con provvedimento di carattere generale da porre in consultazione pubblica entro novanta giorni dalla data di entrata in vigore del presente decreto, individua le prescrizioni contenute nelle autorizzazioni generali già adottate, relative alle situazioni di trattamento di cui agli articoli 6, paragrafo 1, lettere c) ed e), 9, paragrafo 2, lettera b) e 4, nonché al Capo IX del regolamento (UE) 2016/679, che risultano compatibili con le disposizioni del medesimo regolamento e del presente decreto e, ove occorra, provvede al loro aggiornamento. Il provvedimento di cui al presente comma è adottato entro sessanta giorni dall'esito del procedimento di consultazione pubblica. 2. Le autorizzazioni generali sottoposte a verifica a norma del comma 1 che sono state ritenute incompatibili con le disposizioni del Regolamento (UE) 2016/679 cessano di produrre effetti dal momento della pubblicazione nella Gazzetta Ufficiale della Repubblica italiana del provvedimento di cui al comma 1. 3. Le autorizzazioni generali del Garante per la protezione dei dati personali adottate prima della data di entrata in vigore del presente decreto e relative a trattamenti diversi da quelli indicati al comma 1 cessano di produrre effetti alla predetta data. 4. Sino all'adozione delle regole deontologiche e delle misure di garanzia di cui agli articoli 2-quater e 2-septies del Codice in materia di protezione dei dati personali di cui al decreto legislativo 30 giugno 2003, n. 196 producono effetti, per la corrispondente categoria di dati e di trattamenti, le autorizzazioni generali di cui al comma 2 e le pertinenti prescrizioni individuate con il provvedimento di cui al comma 1. 5. Salvo che il fatto costituisca reato, le violazioni delle prescrizioni contenute nelle autorizzazioni generali di cui al presente articolo e nel provvedimento generale di cui al comma 1 sono soggette alla sanzione amministrativa di cui all'articolo 83, paragrafo 5, del Regolamento (UE) 2016/679. --------------------------------------- (A) In riferimento alle prescrizioni contenute nelle Autorizzazioni generali nn. 1/2016, 3/2016, 6/2016, 8/2016 e 9/2016 che risultano compatibili con il presente articolo, vedi: Parere Autorità Garante per la Protezione dei dati personali 13 dicembre 2018, n. 9068972. InquadramentoLe prescrizioni del Garante costituiscono una scrematura critica, e allineata al mutato contesto normativo, dei contenuti delle autorizzazioni generali, atti amministrativi emanati in epoca antecedente al Regolamento ai sensi dell'abrogato art. 40 cod. privacy. Nel vigore della disciplina previgente, le autorizzazioni generali hanno rappresentato una fonte rilevante di regole e garanzie che il legislatore nazionale ha ritenuto ragionevole non disperdere completamente, anche per preservare opportuna continuità operativa in diversi settori, nei quali le disposizioni avevano generato prassi applicative virtuose. L'art. 21 d.lgs. n. 101/2018 ha individuato un meccanismo per recuperarne, almeno parzialmente, i contenuti, attraverso l'assegnazione al Garante di poteri di riordino, selezione e aggiornamento. La fonte di tale potere può essere ravvisata nell'art. 58, par. 6 GDPR, che dispone: «Ogni Stato membro può prevedere per legge che la sua autorità di controllo abbia ulteriori poteri rispetto a quelli di cui ai paragrafi 1, 2 e 3. L'esercizio di tali poteri non pregiudica l'operatività effettiva del capo VII». Per la disamina degli specifici contenuti delle prescrizioni selezionate dal Garante si rinvia alla sezione dedicata in quest'opera. Giova avvertire che la vigenza di una parte sostanziale delle prescrizioni appare di natura puramente temporanea, essendo destinate a essere sostituite «per la corrispondente categoria di dati e di trattamenti» dalle regole di deontologia previste agli artt. 2-quater e dalle misure di garanzia di cui all'art. 2-septies cod. privacy, come espressamente disposto dal comma 4 dell'art. 21 d.lgs. n. 101/2018. In proposito è utile ricordare che l'art. 2-quater disciplina la promozione da parte del Garante di regole deontologiche e l'art. 2-septies riguarda specificamente le misure di garanzia in materia di dati genetici, biometrici e relativi alla salute. Da un approccio autorizzativo a misure di garanziaNel sistema del codice privacy ante-riforma erano previste varie occasioni nelle quali erano affidati al Garante compiti di natura autorizzativa rispetto al trattamento di dati personali, delle quali le autorizzazioni generali costituivano l'esempio più cospicuo. Oggi questo approccio è superato alla radice, in favore di una generale attuazione del concetto, diametralmente opposto, di accountabilility, che colloca i principali momenti di assunzione di responsabilità direttamente in capo al titolare del trattamento (v. sul punto il commento all'art. 5, par. 2 GDPR in quest'opera), e in misura più limitata in capo al responsabile del trattamento (cfr. art. 32 GDPR). Le attuali prescrizioni in effetti non risultano più costruite secondo schemi modellati in senso autorizzativo ma sono declinate quali vere e proprie misure di garanzia per l'interessato. Fondamentale, per la concreta definizione dei precetti, il coinvolgimento dei pratici e di tutti coloro che sono attivi nei settori nei quali le prescrizioni sono destinate a trovare attuazione. Tale coinvolgimento è appunto assicurato da meccanismi di consultazione pubblica, che risultano previsti tanto per le prescrizioni dall'art. 21, comma 1 d.lgs. n. 101/2018 quanto per le regole deontologiche dall'art. 2-quater e per le misure di garanzia dall'art. 2-septies. Giova, ai fini di un quadro sintetico retrospettivo dei settori in passato coperti dalle autorizzazioni generali, richiamarne le materie: l'autorizzazione n. 1/2016 era relativa al trattamento dei dati sensibili nei rapporti di lavoro; la 2/2016 al trattamento dei dati idonei a rivelare lo stato di salute e la vita sessuale; la 3/2016 al trattamento dei dati sensibili da parte degli organismi di tipo associativo e delle fondazioni; la 4/2016 al trattamento dei dati sensibili da parte dei liberi professionisti; la 5/2016, al trattamento dei dati sensibili da parte di diverse categorie di titolari; la 6/2016 al trattamento dei dati sensibili da parte degli investigatori privati; la 7/2016 al trattamento dei dati a carattere giudiziario da parte di privati, di enti pubblici economici e di soggetti pubblici; la 8/2016, al trattamento dei dati genetici; la 9/2016 al trattamento dei dati personali effettuato per scopi di ricerca scientifica. A mero fine di ricostruzione del percorso storico, le nove autorizzazioni citate recavano la data di scadenza del 24 maggio 2018. Interveniva tuttavia il provvedimento del Garante datato 19 luglio 2018, n. 424 [9026901] a ripristinarne il vigore «fino all'adozione di eventuali misure che potranno essere previste nel decreto legislativo di adeguamento della disciplina in materia», poi d.lgs. n. 101/2018. Sostanzialmente, perciò, si è storicamente registrata una temporanea reviviscenza giuridica di questi strumenti. «Il dialogo con le parti, gli stakeholder e i settori direttamente interessati è essenziale al fine di elaborare regole condivisibili e stabilire modalità di attuazione che non risultino eccessivamente onerose ovvero inefficaci agli occhi degli operatori» (Relazione illustrativa, p. 9, in merito in particolare alla consultazione pubblica prevista nell'attuale art. 2-quater). La procedura prevista dall'art. 21 e la sua attuazione concretaLe prescrizioni ammesse all'esame di compatibilità che l'art. 21 d.lgs. n. 101/2018 ha demandato al Garante sono esclusivamente riconducibili a tre gruppi di disposizioni del Regolamento: 1) art. 6, par. 1, lett. c ) ed e ) GDPR, ossia rispettivamente base giuridica dell'obbligo di legge e base dell'esecuzione di un compito di interesse pubblico o connesso all'esercizio di pubblici poteri; 2) art. 9, par. 2, lett. b ) GDPR, ossia base giuridica supplementare per il trattamento dei dati sensibili in materia giuslavoristica, di sicurezza sociale e protezione sociale e art. 9, par. 4 GDPR, vale a dire le deroghe nazionali in materia di dati genetici, dati biometrici o dati relativi alla salute; 3) Capo IX GDPR, che reca un eterogeneo gruppo di norme di parte speciale in materia di giornalismo e manifestazione del pensiero, accesso a documenti amministrativi, numero di identificazione nazionale, trattamenti giuslavoristici, archiviazione nel pubblico interesse, ricerca storica, scientifica o per finalità statistiche, segreto professionale e segretezza in generale, trattamenti svolti da associazioni e comunità religiose. L'attività di riordino delle autorizzazioni generali è concretamente avvenuta con provvedimento GPDP 13 dicembre 2018 [9068972]. Il Garante ha in quella sede ritenuto che: i. soddisfacessero le tre condizioni sopra menzionate le sole autorizzazioni generali numero 1/2016, 3/2016, 6/2016, 8/2016 e 9/2016, al cui interno il Garante ha operato la scrematura delle prescrizioni cui dare continuità; ii. l'intero corpo delle autorizzazioni generali nn. 2/2016, 4/2016 e 5/2016 risultasse invece privo di specifiche prescrizioni e, pertanto, esulasse dall'ambito delle disposizioni di cui all'art. 21, comma 1, d.lgs. n. 101/2018; iii. infine l'autorizzazione n. 7/2016 relativa ai dati giudiziari «non rientra[sse] tra quelle richiamate dall'art. 21, comma 1, d.lgs. n. 101/2018», e che avesse, «pertanto, cessato di produrre effetti giuridici alla data del 19 settembre u.s., ai sensi del comma 3 della citata disposizione». Si noti la diversa formulazione dei commi secondo e terzo dell'art. 21 in commento. Il comma secondo fa riferimento alle autorizzazioni generali che sono state «sottoposte a verifica a norma del comma 1», ma che «sono state ritenute incompatibili» con il GDPR (in proposito, si tenga conto dell'ultrattività riconosciuta ai sensi del comma 4, ma v. infra per osservazioni). Il terzo comma fa invece riferimento l'Autorità ad autorizzazioni «relative a trattamenti diversi da quelli indicati al comma 1». Seconda fase: la consultazione pubblicaNe è seguita consultazione pubblica, con avviso in Gazzetta Ufficiale n. 9 dell'11 gennaio 2019. Il coinvolgimento degli operatori e stakeholder ha avuto come obiettivo «quello di acquisire osservazioni e proposte rispetto alle prescrizioni individuate con il predetto provvedimento [GPDP, provv. 13 dicembre 2018, n.d.a.], con specifico riguardo ai risvolti applicativi dei principi ivi enunciati nonché agli eventuali profili di criticità riscontrabili o anche già sperimentati nel settore di riferimento, a cura di tutti i soggetti interessati, anche eventualmente attraverso le associazioni di categoria e le organizzazioni rappresentative dei settori di riferimento quali ad esempio quelle del mondo del lavoro e della ricerca scientifica, nonché delle chiese e comunità religiose», cfr. GPDP, avviso pubblico, 11 gennaio 2019 [9068965]. Con provvedimento datato 5 giugno 2019 [9124510], alla luce degli esiti della consultazione pubblica, il Garante ha definitivamente pubblicato le prescrizioni relative al trattamento di categorie particolari di dati, ai sensi dell'art. 21, comma 1, del d.lgs. 10 agosto 2018. Le prescrizioni sono normativa secondaria. Producono effetti, come chiarito dal quarto comma dell'articolo in commento, fino all'adozione delle regole deontologiche e delle misure di garanzia di cui agli articoli 2-quater e 2-septies, per la corrispondente categoria di dati e di trattamenti. Tale regola riguarda con effetto ultrattivo, come si è detto, anche le autorizzazioni sottoposte a verifica a norma del comma 1, ma ritenute incompatibili con il GDPR. La previsione in commento rileva tuttavia palesi profili di inammissibilità: è infatti appena il caso di notare che il principio del primato del diritto dell'Unione impone la disapplicazione delle disposizioni nazionali in contrasto con lo stesso. SanzioniVa ricordato che ai sensi del quinto comma della disposizione in commento, la violazione delle prescrizioni contenute nelle autorizzazioni generali e nel citato provvedimento generale del Garante del 13 dicembre 2018 è soggetta alla sanzione amministrativa di cui all'art. 83.5 GDPR, ossia alla fascia edittale più elevata. BibliografiaPelino, in Bolognini-Pelino, Codice privacy: tutte le novità del d.lgs. n. 101/18, Milano, 2018, 62 e ss. |
