Le nuove regole privacy – I° parte

Più precisamente, il Governo, con i previsti decreti delegati avrebbe dovuto abrogare espressamente le disposizioni del codice privacy (D.Lgs. 196/2003) incompatibili con il Regolamento UE, coordinando le norme vigenti e adeguando il sistema sanzionatorio penale e amministrativo.

Il 21 marzo sorso, tuttavia, il Consiglio dei Ministri ha approvato, in esame preliminare, un decreto legislativo che addirittura prevede la totale abrogazione del codice privacy: scelta questa, che, se effettivamente operata, sarebbe quantomeno criticabile, se non da ritenersi addirittura incostituzionale per eccesso di delega, e che cancella venti anni della nostra storia.

Tutto quanto premesso, analizziamo quindi le disposizioni previste dal nuovo Regolamento privacy, concentrandoci, con questo primo contributo, sugli aspetti generali.

L’articolo 1 del Regolamento, rubricato “Oggetto e finalità” precisa che ad essere protetti sono solo i diritti e le libertà fondamentali delle persone fisiche; il Regolamento non trova quindi applicazione quando i dati si riferiscono ad una persona giuridica.

Il Regolamento trova inoltre applicazione esclusivamente nell’ambito delle attività commerciali e professionali; al contrario, non è necessario rispettare le disposizioni che andremo ad analizzare quando il trattamento dei dati è effettuato da una persona fisica in ambito personale o domestico, oppure quando  il trattamento dei dati è effettuato dalle autorità competenti a fini di prevenzione, indagine, accertamento o perseguimento di reati o esecuzione di sanzioni penali (articolo 2 Regolamento 2016/679).

Definiti quindi l’oggetto e l’ambito di applicazione, il Regolamento si occupa, all’articolo 4, degli aspetti definitori, chiarendo che “dato personale” è “qualsiasi informazione riguardante una persona fisica identificata o identificabile (“interessato”); si considera identificabile la persona fisica che può essere identificata, direttamente o indirettamente, con particolare riferimento a un identificativo come il nome, un numero di identificazione, dati relativi all’ubicazione, un identificativo online o a uno o più elementi caratteristici della sua identità fisica, fisiologica, genetica, psichica, economica, culturale o sociale”.

Tutto quanto premesso, quindi, l’articolo 5 Regolamento 2016/679 (rubricato “Principi applicabili al trattamento di dati personali”) stabilisce che i dati personali devono essere:

1. trattati in modo lecito, corretto e trasparente nei confronti dell’interessato;
2. raccolti per finalità determinate, esplicite e legittime, e successivamente trattati in modo che non sia incompatibile con tali finalità;
3. adeguati, pertinenti e limitati a quanto necessario rispetto alle finalità per le quali sono trattati;
4. esatti e, se necessario, aggiornati; devono quindi essere adottate tutte le misure ragionevoli per cancellare o rettificare tempestivamente i dati inesatti rispetto alle finalità per le quali sono trattati;
5. conservati in una forma che consenta l’identificazione degli interessati per un arco di tempo non superiore al conseguimento delle finalità per le quali sono trattati;
6. trattati in maniera da garantire un’adeguata sicurezza dei dati personali, compresa la protezione, mediante misure tecniche e organizzative adeguate, da trattamenti non autorizzati o illeciti e dalla perdita, dalla distruzione o dal danno accidentali.

Si precisa che, ai sensi del successivo articolo 6 Regolamento 679/2016, il trattamento è lecito – e rispetta quindi le condizioni di cui al precedente punto sub a) – solo se l’interessato ha espresso il consenso al trattamento dei propri dati personali per una o più specifiche finalità oppure:

1. il trattamento è necessario all’esecuzione di un contratto di cui l’interessato è parte o all’esecuzione di misure precontrattuali adottate su richiesta dello stesso;
2. il trattamento è necessario per adempiere un obbligo legale al quale è soggetto il titolare del trattamento;
3. il trattamento è necessario per la salvaguardia degli interessi vitali dell’interessato o di un’altra persona fisica;
4. il trattamento è necessario per l’esecuzione di un compito di interesse pubblico o connesso all’esercizio di pubblici poteri di cui è investito il titolare del trattamento;
5. il trattamento è necessario per il perseguimento del legittimo interesse del titolare del trattamento o di terzi. A differenza del passato il bilanciamento fra legittimo interesse del titolare o del terzo e diritti e libertà dell’interessato non spetta all’Autorità ma è compito dello stesso titolare. Trova così espressione il nuovo principio di “responsabilizzazione”.

Tranne qualche piccola differenza, già segnalata, possiamo ritenere che vi sia una sostanziale continuità tra le ipotesi di liceità del trattamento previste dal codice privacy e quelle richiamate dal Regolamento.

E’ tuttavia da precisare che nel caso in cui il trattamento riguardi dati sensibili, l’articolo 9 Regolamento richiede che l’interessato presti il suo consenso “esplicito”. Parimenti, l’articolo 22 Regolamento precisa che uno dei presupposti legittimanti le decisioni basate unicamente sul trattamento automatizzato, compresa la profilazione, è il consenso “esplicito” dell’interessato.

Come pare evidente il consenso non deve essere fornito per iscritto, sebbene la forma scritta sia l’unica a garantirne l’inequivocabilità.

Inoltre, come chiarisce l’articolo 7 Regolamento 679/2016 “se il consenso dell’interessato è prestato nel contesto di una dichiarazione scritta che riguarda anche altre questioni, la richiesta di consenso è presentata in modo chiaramente distinguibile dalle altre materie, in forma comprensibile e facilmente accessibile, utilizzando un linguaggio semplice e chiaro”.

Con specifico riferimento agli intermediari fiscali, i dati sensibili con i quali questi ultimi più frequentemente si confrontano sono, ad esempio, le scelte per la destinazione dell’8 del 5 e del 2 per mille.

Si ricorda, a tal proposito, che il frontespizio della dichiarazione Redditi PF riporta l’informativa sul trattamento dei dati personali ai sensi dell’articolo 13 D.Lgs. 196/2003, prevendo che gli intermediari, “per la sola attività di trasmissione, secondo quanto previsto dal d.lgs. n. 196/2003, assumono la qualifica di “titolare del trattamento dei dati personali” quando i dati entrano nella loro disponibilità e sotto il loro diretto controllo”.

Inoltre, per quanto riguarda i dati sensibili “il consenso per il trattamento da parte degli intermediari viene acquisito attraverso la sottoscrizione della dichiarazione e con la firma apposta per la scelta dell’otto per mille dell’Irpef, del cinque per mille e del due per mille dell’Irpef”.

Avuto riguardo, invece, alle altre fattispecie, giova precisare che il consenso raccolto precedentemente al 25 maggio 2018 resta valido se ha tutte le caratteristiche appena richiamate; “In caso contrario, è opportuno adoperarsi prima di tale data per raccogliere nuovamente il consenso degli interessati secondo quanto prescrive il regolamento, se si vuole continuare a fare ricorso a tale base giuridica.

In particolare, occorre verificare che la richiesta di consenso sia chiaramente distinguibile da altre richieste o dichiarazioni rivolte all’interessato (art. 7.2), per esempio all’interno di modulistica. Prestare attenzione alla formula utilizzata per chiedere il consenso: deve essere comprensibile, semplice, chiara (art. 7.2)” (Garante Privacy, Guida all’applicazione del Regolamento Europeo in materia di protezione dei dati personali, febbraio 2018).

Per approfondire questioni attinenti all’articolo vi raccomandiamo il seguente corso: