Il Codice è morto, lunga vita al Codice
Parte Prima
Il 25 maggio 2018 era giunto senza che il legislatore avesse emanato la norma nazionale di armonizzazione, e a giudizio di molti di noi operatori e professionisti del settore, era avvenuto quel fenomeno, tipico del diritto comunitario: la disapplicazione. Una norma così importante come il “Codice Privacy” era praticamente in coma senza grandi speranze di ritornare tra noi, non era morta, perché la presa completa di efficacia del RGPD non poteva certo “uccidere” una norma nazionale, tuttavia, prevalendo sempre e comunque l’impianto del legislatore comunitario rimanevano poche speranze alla norma nazionale.
Ma il lavoro della commissione nominata dalla legge delega (L. 163/2017) non è stato, per fortuna, buttato alle ortiche, dopo 835 giorni dalla norma comunitaria e dopo 77 giorni dalla sua piena efficacia, il legislatore ha annunciato il decreto legislativo, e dopo 25 giorni questo decreto legislativo è stato pubblicato in Gazzetta Ufficiale, con questa norma il Codice Privacy esce dal coma, riprende vita, e, sebbene appaia ancora in convalescenza, ci sono buoni indizi che entro maggio 2019, torni ad essere pienamente operativo e coordinato con la norma europea.
Qui di seguito in 12 punti (da 0 a 11) alcune considerazioni sparse.
0
Il Codice è cambiato, non è più lo stesso, il cambiamento riguarda praticamente il 93 per cento degli articoli: 109 sono stati abrogati, 28 sono stati scritti e prima non c’erano, e solo quindici sono rimasti così come erano; si tratta per lo più di quelli relativi alle comunicazioni elettroniche e ad alcuni settori specifici. In linea di massima non esiste più il Codice che conoscevamo e la parte più importante, quella che quotidianamente citeremo, sta negli articoli iniziali che sono 1, 2, e poi una sfilza di 2-bis, ter, quater, quinquies, sino al septiesdecies… Forse non è sbagliata l’idea di chi avrebbe gradito una norma nuova o anche, più semplicemente, una nuova numerazione.
1
È stato deciso che il Garante farà un provvedimento con cui definisce le norme di garanzia (leggi Misure di sicurezza) in caso di trattamento di dati relativi alla salute, genetici e biometrici (non pare esserci una automatica applicazione per le categorie particolari di dati personali) (riferimento art. 2-septies), un analogo provvedimento dovrà fare entro maggio 2019 il Ministro della Giustizia per i dati giudiziari.
2
L’età che il Regolamento pone a sedici anni il legislatore italiano la stabilisce a 14, sfiorando il limite di tredici anni posto dal Regolamento, per i minori la informativa deve essere chiara, completa, concisa e sintetica (praticamente impossibile da scrivere!). (riferimento art. 2-quinquies).
3
Finalmente abbiamo una norma che autorizza il trattamento dei certificati penali per partecipare alle gare d’appalto et cetera, è l’art. 2-octies, terzo comma, lettera c) e in parte lettera h). Sia chiaro tuttavia che questa norma non consente la raccolta dei certificati penali da parte del datore di lavoro, quella rimane una pratica difficile da rendere legittima quando non espressamente autorizzata dal CCLN.
4
C’è una norma nazionale per le persone decedute, il legislatore nazionale ha esercitato la possibilità espressamente prevista dal legislatore comunitario che invece aveva messo la morte tra le condizioni di perdita della tutela normativa del RGPD, il richiamo nel Regolamento è in particolare al considerando 27:
Il presente regolamento non si applica ai dati personali delle persone decedute. Gli Stati membri possono prevedere norme riguardanti il trattamento dei dati personali delle persone decedute
La norma nazionale è inserita nell’art. 2-terdecies che parla proprio di loro: i defunti, per i dati personali dei quali vengono consentiti dei diritti esercitabili dagli eredi (ma non solo). Insomma ci apriamo a tutti i problemi della c.d. morte digitale, l’articolo merita una lettura approfondita perché l’esercizio viene consentito in modo non banale:
1.I diritti di cui agli articoli da 15 a 22 del Regolamento riferiti ai dati personali concernenti persone decedute possono essere esercitati da chi ha un interesse proprio, o agisce a tutela dell’interessato, in qualità di suo mandatario, o per ragioni familiari meritevoli di protezione.
2. L’esercizio dei diritti di cui al comma 1 non è ammesso nei casi previsti dalla legge o quando, limitatamente all’offerta diretta di servizi della società dell’informazione, l’interessato lo ha espressamente vietato con dichiarazione scritta presentata al titolare del trattamento o a quest’ultimo comunicata.
3. La volontà dell’interessato di vietare l’esercizio dei diritti di cui al comma 1 deve risultare in modo non equivoco e deve essere specifica, libera e informata; il divieto può riguardare l’esercizio soltanto di alcuni dei diritti di cui al predetto comma.
4.L’interessato ha in ogni momento il diritto di revocare o modificare il divieto di cui ai commi 2 e 3.
5.In ogni caso, il divieto non può produrre effetti pregiudizievoli per l’esercizio da parte dei terzi dei diritti patrimoniali che derivano dalla morte dell’interessato nonché del diritto di difendere in giudizio i propri interessi.
5
Gli incaricati 2.0, (alcune Autorità di controllo chiamano il Regolamento la privacy 3.0!), insomma, se il RGPD ha cercato di eliminare gli adempimenti, il legislatore nazionale pare consentire ancora forme di autorizzazione formale, tramite una designazione specifica (riferimento art. 2-quaterdecies).
6
Il così detto “Registro delle Opposizioni” continuerà ad esistere, ma per quel folto sottobosco di operatori del tutto ostili alle norme in tema di protezione dei dati personali, è stato preparato un illecito che ha pure un valore penale (cfr. le sanzioni penali più oltre i punti 8 e 10).
7
Le sanzioni amministrative sono interamente riservate al testo del regolamento, tuttavia l’articolo 166 da delle indicazioni, si tratta di un articolo da leggere con pazienza, ricco di rimandi interni ed esterni, e non è banale cercare di trasformare questo articolo in uno specchietto che specifichi meglio i criteri molto semplici del RGPD.
8
I reati ora sono cinque, ma il primo, che è il “Trattamento illecito di dati” è diventato molto più corpulento perché prevede specifiche indicazioni sulla fattispecie criminosa, e anche indicazioni di metodo.
Il comma cinque delll’art. 167 pare predisporre un percorso che facilita il lavoro delle procure rendendo forse realmente perseguibile questo reato:
Il Garante trasmette al pubblico ministero, con una relazione motivata, la documentazione raccolta nello svolgimento dell’attività di accertamento nel caso in cui emergano elementi che facciano presumere la esistenza di un reato. La trasmissione degli atti al pubblico ministero avviene al più tardi al termine dell’attività di accertamento delle violazioni delle disposizioni di cui al presente decreto.
Le pene edittali sono variate al variare del tipo di illecito commesso: per spam e comportamenti analoghi, da sei mesi a un anno e mezzo di reclusione; mentre, per chi non rispetta le norme di garanzia sui dati di salute, biometrici e genetici, abbiamo la reclusione da uno a tre anni; infine la stessa pena edittale vale per chi trasferisce i dati in posti dove non possono/devono andare.
9
Non basta il trattamento illecito, poi l’altro reato è “la comunicazione” (che, ricordiamo, a casa del RGPD non ha valore tecnico) e diffusione illecita di dati personali oggetto di trattamento su larga scala” in questo caso la pena è da uno a sei anni. E sei anni sono proprio tanti perché superano la soglia di sospensione condizionale che l’incensurato può chiedere. (riferimento art. 167-bis).
10
Per completare abbiamo il reato di ricettazione di archivi automatizzati… Il reato pare colpire sia chi vende che chi compra, e in questo caso la reclusione è da 1 a 4 anni (riferimento normativo art. 167-ter).
11
Seguono poi delle ipotesi delittuose minori che riguardano le falsità al Garante (sei mesi o tre anni), e chi intenzionalmente interrompe il Garante (sino ad un anno di reclusione, riferimento art. 168).
**
Bisognerà studiare ancora un poco per capire come potrebbe funzionare la nuova normativa ma più ancora un lavoro febbrile aspetta il Garante per il prossimo anno e mezzo (il Codice alza il numero di componenti massimo dell’ufficio, era ora!).
