Tra le disposizioni contenute nella legge di bilancio 2018 figurano nuovi adempimenti in capo al titolare del trattamento, che, tuttavia, potrebbero sembrare in contrasto con la ratio della normativa privacy europea.
L’entrata in vigore del regolamento privacy europeo (reg. UE 2016/679) è alle porte ed il legislatore italiano, con la legge di bilancio 2018 (legge n. 205/2017), ha introdotto alcune disposizioni volte ad adeguare l’ordinamento interno all’arrivo della GDPR (i.e. general data protection regulation).
Tra le misure adottate dal legislatore, assume rilievo l’introduzione di una procedura di notifica preventiva al Garante per i trattamenti fondati sull’interesse legittimo del titolare ed effettuati tramite l’impiego di nuove tecnologie o di strumenti automatizzati.
L’attuale sistema normativo contenuto all’interno del codice privacy (D.Lgs. 675/96) prevede infatti la possibilità, nei casi individuati dal Garante e sulla base dei principi sanciti dalla legge, di effettuare il trattamento senza il consenso dell’interessato purché fondato sul legittimo interesse del titolare o di un terzo destinatario dei dati, e ciò a condizione che non prevalgano i diritti e le libertà fondamentali, la dignità o un legittimo interesse del soggetto cui i dati si riferiscono.
Il regolamento privacy europeo che, si ricorda, entrerà in vigore il prossimo 25 maggio, ha mantenuto la possibilità di effettuare trattamenti basati sul legittimo interesse del titolare. Tale scelta risulta peraltro coerente con il principio della responsabilizzazione, fulcro della normativa GDPR, per cui il titolare del trattamento è chiamato ad attenersi alle prescrizioni di legge effettuando adeguate valutazioni basate sul rischio.
In altre parole, di fronte ad un legittimo interesse del titolare, il regolamento europeo ammette, seppur entro certi limiti, la possibilità di effettuare il trattamento lasciando in capo al titolare medesimo la scelta e la responsabilità di valutare se, ed in che misura, il proprio interesse possa considerarsi legittimo e, al contempo, il trattamento non leda i diritti e le libertà fondamentali dell’interessato.
Con la legge di bilancio, in apparente controtendenza rispetto allo spirito della normativa europea, il legislatore nazionale ha voluto limitare il potere decisionale del titolare nel caso in cui il trattamento si basi sul legittimo interesse di quest’ultimo, prevedendo dunque l’obbligo di invio di un’informativa al Garante relativa all’oggetto, alle finalità e al contesto del trattamento.
Suddetta procedura si andrà dunque ad aggiungere ai già numerosi adempimenti che i titolari dei trattamenti sono chiamati a porre in essere in vista dell’entrata in vigore della normativa europea, tuttavia, è opportuno evidenziare il carattere limitato dei casi in cui l’adempimento è richiesto.
L’obbligo di invio dell’informativa al Garante è infatti prescritto unicamente per i titolari che effettuino trattamenti fondati sull’interesse legittimo e che prevedano l’uso di nuove tecnologie o di strumenti automatizzati. Non solo, trascorsi quindici giorni lavorativi dall’invio dell’informativa, in assenza di risposta da parte del Garante, il titolare potrà procedere al trattamento.
Il nuovo adempimento potrebbe quindi avere l’effetto di fornire maggiori sicurezze posto che, in mancanza di un tempestivo diniego da parte del Garante, i titolari potranno effettuare il trattamento dei dati sulla base del proprio legittimo interesse.
Le misure introdotte dalla legge di bilancio si collocano peraltro in un momento di attesa dell’intervento correttivo ed integrativo del Governo (di cui alla delega contenuta nella Legge n. 163 del 25 ottobre 2017) ai fini del pieno adeguamento dell’ordinamento interno alla GDPR e confermano la costante evoluzione della normativa italiana in materia di privacy.
(a cura dell’ufficio di Bologna – Avv. Valentina Saviotti e Dott.ssa Marta Tonioni – 0512750020)