I dati personali tra GDPR e regole nazionali. Meglio la convergenza?

I dati costituiscono l’unità elementare della nuova strategia digitale[1]: sono la rappresentazione digitale di atti, fatti e informazioni che, quando riguardano l’individuo, innescano l’applicazione della specifica disciplina sui dati personali. E così mentre il Regolamento 2018/1807 (‘NPDR’)[2] sancisce il principio della libera circolazione dei dati non personali, il Regolamento 2016/679 (‘GDPR’)[3] marca l’ambito ed il peso dei diritti fondamentali nello scambio degli stessi.

 

Per ogni trattamento devono essere rispettati e garantiti i principi del GDPR di liceità, correttezza, trasparenza, limitazione della finalità, minimizzazione, esattezza, limitazione della conservazione, integrità e riservatezza. Detti principi specificano ed eseguono, a livello secondario, le disposizioni di rango primario dell’Unione di cui all’articolo 16 del TFUE[4], all’articolo 39 del TUE[5] e dell’articolo 8 della CDFUE[6]. Quest’ultima disposizione, in particolare, prescrive che i dati personali debbano essere trattati ‘in base al consenso della persona interessata o a un altro fondamento legittimo previsto dalla legge’. Ed infatti la liceità di cui al Regolamento si sostanzia nel rispetto delle precondizioni di trattamento, che non deve necessariamente fondarsi sul consenso dell’interessato, ma che può trovare legittimità anche negli altri casi individuati dall’articolo 6 del GDPR. Di particolare interesse risultano le basi giuridiche del necessario adempimento a un obbligo legale, di cui all’articolo6, par. 1, lett. c), del GDPR, e dell’esecuzione di un compito di interesse pubblico o connesso all'esercizio di pubblici poteri ex articolo 6, par. 1, lett. e), del GDPR. In questi casi, il trattamento viene attuato in virtù di una fonte normativa europea o dello Stato membro a cui è soggetto il titolare del trattamento. La stessa fonte può dettagliare il quomodo del trattamento.

 

Pertanto, l’acquis communautaire in materia di trattamento di dati personali informa l’attività di produzione legislativa sin dalla fase embrionale, tanto dell’Unione, che deve rispettare il diritto dei trattati, quanto quello della nazione, che deve inoltre considerare il diritto derivato in materia. Per tale motivo la Commissione, nel seguire la procedura legislativa di cui all’articolo 294 del TFUE, quando rassegna la proposta al Parlamento europeo e al Consiglio, propone valutazioni sui diritti fondamentali, tra cui il diritto alla privacy.

In caso di disallineamento è infatti ipotizzabile l’esperimento del ricorso per annullamento dell’atto legislativo alla Corte di giustizia dell’Unione europea (‘CGUE’) ex articolo 263 e ss. del TFUE, facendo valere l’inosservanza della norma di diritto superiore gerarchicamente.

Spostando l’attenzione sulla produzione normativa nazionale, la legge può consentire e qualificare come lecito e legittimo ex ante un trattamento, potendo il diritto dello Stato calibrarne le priorità e ‘contenere disposizioni specifiche per adeguare’ l'applicazione delle norme del GDPR (condizioni, tipi di dati, soggetti, finalità, periodo di conservazione e le procedure da seguire).[7]

Il risultato è presto detto: in presenza di una base giuridica adeguata il trattamento è ammissibile ed anzi possibile e lecito, quando venga esercitato da soggetti pubblici (è il caso dei trattamenti da parte del Ministero della salute in relazione al certificato green pass)[8], o anche quando venga promosso da soggetti privati (è il caso delle terze parti che trattano i dati personali per consentire lo svolgimento di operazioni bancarie on-line)[9].

Deve rilevarsi come lo Stato membro, attraverso l’esercizio delle proprie funzioni normative, non soggiace a ‘riserve di legge’, non essendo necessaria l'adozione di un atto legislativo da parte di un parlamento, a patto che la fonte risulti chiara e precisa, la sua applicazione prevedibile per i destinatari, nonché conforme alla giurisprudenza della CGUE e della Corte EDU.[10] Come contrappeso, però, il GDPR prevede il coinvolgimento dell’Authority deputata durante l’elaborazione della misura che legittima il trattamento (articolo 36, par. 4, del GDPR).

Per assicurare il migliore bilanciamento tra piano europeo e nazionale, uno Stato membro, entro determinati limiti, può mantenere, derogare o introdurre norme nazionali per specificare ulteriormente l’applicazione del Regolamento[11]; questo sia in considerazione delle differenze tra ordinamenti nazionali, sia per lasciare margine conservativo alla normativa preesistente, risultato della tendenziale armonizzazione operata dalla Direttiva 95/46/CE.[12]

Il Codice privacy italiano, ad esempio, non replica esplicitamente le ipotesi di raccordo e coordinamento tra il piano europeo e quello nazionale. Il registro è rigido e unico per i trattamenti pubblici e per quelli privati: la base giuridica ex articolo 6, par. 3, lett. b), del GDPR deve essere costituita esclusivamente da una norma di legge o, nei casi previsti dalla legge stessa, da un regolamento.[13] Non così il Bundesdatenschutzgesetz tedesco (BDSG)[14] che, a certe condizioni, autorizza direttamente i trattamenti da parte degli enti pubblici per finalità ulteriori,  né la Ley Orgánica 3/2018 spagnola[15], per la quale la base giuridica legislativa deve determinare le condizioni generali del trattamento e le tipologie di dati oggetto dello stesso, nonché i trasferimenti che procedano in conseguenza dell'adempimento di un obbligo di legge, mentre l’interesse pubblico-pubblico deve essere attribuito da una norma avente forza di legge (Articulo 8). La Loi Informatique et Libertés francese opta invece per una soluzione ‘dimezzata’, prevedendo che i trattamenti posti in essere per conto dello Stato (nei casi individuati dall’Article 31) siano autorizzati con ordinanza del ministro competente (su parere motivato e pubblicato dall’Autorità francese, il CNIL), come pure il trattamento sempre da parte dello Stato di dati genetici o dati biometrici necessari per l'autenticazione o il controllo dell'identità delle persone (Article 32).[16]

Il diritto positivo, nazionale ed europeo, può essere determinante anche nella definizione di alcuni aspetti pragmatici del trattamento. Ne costituisce fondamento, ad esempio, l’articolo 23 del GDPR, che consente di limitare i principi (previsti dall’articolo 5 del GDPR), i diritti degli interessati (accesso, rettifica, cancellazione, portabilità e opposizione) e gli obblighi in capo al titolare, come la comunicazione di una violazione di dati personali all'interessato (data breach), se necessario e proporzionato alla salvaguardia della sicurezza pubblica (cfr. Considerando 73 del GDPR). Sul punto gli Stati membri prevedono disposizioni disarmoniche. L’Italia ha posto limitazioni ai diritti in caso di potenziale pregiudizio di alcuni interessi (articolo 2-undecies) o a questioni di giustizia (articolo 2-duodecies), mentre la Germania ha rimodulato il diritto dell’interessato ad ottenere informativa (artt. 14-15 del GDPR), escludendolo nei casi di cui alle Sections 32 e 33. In Francia, un decreto del Conseil d'Etat, adottato previo parere del CNIL, determina l'elenco dei trattamenti e delle categorie di trattamenti autorizzati a derogare alla comunicazione del data breach (Article 58).

Anche la disciplina sui dati particolari presenta delle peculiarità, in quanto ai sensi dell’articolo 9, par. 4, del GDPR consente margini integrativi, rafforzativi e derogatori di cui si sono avvalsi i legislatori di Italia, Germania, Francia e Spagna. Per altro, la disciplina del trattamento di tali dati presenta caratteristiche interessanti sul piano del rapporto con il diritto nazionale come condizione di legittimità del trattamento.  In questo caso l’attività di trattamento richiederà alla fonte interna di operare di concerto con l’articolo 9, par. 2, del GDPR, di talché la fonte legittimante deve risultare necessariamente più rigorosa dello standard richiesto del GDPR.[17]

Altri ambiti di deroga specifici, infine, sono indicati dagli artt. 85 e ss. del GDPR (Capo IX) e riguardano, inter alia, la libertà d’espressione e il diritto d’informazione, il diritto d’accesso alla documentazione amministrativa e i rapporti di lavoro, che spesso trovano disciplina divergente nelle varie leggi privacy nazionali. La questione non è di poco conto se si considera che discipline differenti incidono inevitabilmente sugli agenti che operano nei vari Stati membri e che devono attenzionare le varie divergenze e modulare il loro operato in base alla legge nazionale a cui sono soggetti, in qualità di titolari del trattamento.

Il punto è che le diverse traiettorie nazionali rischiano di compromettere i tempi e i modi dell’attività di impulso e di indirizzo soprattutto pubblico. L’auspicio è quindi di un tempestivo riallineamento delle discipline nazionali, così da favorire una cultura della privacy unitaria e convergente a livello europeo che sappia meglio cogliere le sfide della strategia dei dati.

 

[1]Si veda la proposta di Regolamento del Parlamento europeo e del Consiglio relativo alla governance europea dei dati (Data Governance Act), del 25.11.2020, COM/2020/767 final. Cfr. la proposta di Regolamento del Parlamento europeo e del Consiglio, del 21.4.2021, COM/2021/206 final.

[2] Regolamento (UE) 2018/1807 del Parlamento europeo e del Consiglio del 14 novembre 2018 relativo a un quadro applicabile alla libera circolazione dei dati non personali nell'Unione europea, in GU L 303 del 28.11.2018, pp 59 e ss.

[3] Regolamento (UE) 2016/679 del Parlamento europeo e del Consiglio, del 27 aprile 2016, relativo alla protezione delle persone fisiche con riguardo al trattamento dei dati personali, nonché alla libera circolazione di tali dati e che abroga la direttiva 95/46/CE (regolamento generale sulla protezione dei dati), in GU L 119 del 4.5.2016, pp. 1 e ss.

[4] Trattato sul funzionamento dell'Unione europea, in GU C 326/01 del 26.10.2012, pp. 47 e ss.

[5] Trattato sull'Unione europea, in GU C 326/01 del 26.10.2012, pp. 13 e ss.

[6] Carta dei diritti fondamentali dell’Unione europea, in GU C 326/02 del 26.10.2012, pp. 391 e ss.

[7] Cfr. articolo 6, par. 3, del GDPR.

[8] Cfr. Regolamento (UE) 2021/953 del Parlamento europeo e del Consiglio del 14 giugno 2021 su un quadro per il rilascio, la verifica e l'accettazione di certificati interoperabili di vaccinazione, di test e di guarigione in relazione alla COVID-19, in GU L 211 del 15.6.2021, pp. 1 e ss.

[9] Cfr. EDPB, Linee guida 06/2020 sull'interazione tra la seconda direttiva sui servizi di pagamento e il GDPR (Versione 2.0) del 15.12.2020, p.13, che per i TPP specifica che ‘Poiché il GDPR specifica che il trattamento basato su un obbligo giuridico dovrebbe essere chiaramente stabilito dal diritto dell'Unione o degli Stati membri (cfr. l'articolo 6, paragrafo 3, del GDPR), l’obbligo per gli ASPSP di concedere l’accesso dovrebbe essere sancito dall'ordinamento nazionale che recepisce la PSD2’.

[10] Anche la Convenzione Europea dei Diritti dell’Uomo (‘CEDU’) tutela infatti all’articolo 8 il rispetto della vita privata e familiare.

[11] Sul punto si veda Pelino E., Diritto nazionale di parte speciale: tipologia di richiamo e determinazione della legge applicabile, in Bolognini-Pelino-Bistolfi, Il Regolamento privacy europeo. Commentario alla nuova disciplina sulla protezione dei dati personali, Milano 2016, pp.535 e ss.

[12] Direttiva 95/46/CE del Parlamento europeo e del Consiglio, del 24 ottobre 1995, relativa alla tutela delle persone fisiche con riguardo al trattamento dei dati personali, nonché alla libera circolazione di tali dati, in GU L 281 del 23.11.1995 pp. 31 e ss.

[13] Così l’articolo 2-ter del D.lgs. 30 giugno 2003, n. 196 recante il Codice in materia di protezione dei dati personali, in SO n. 123 alla GU 29.07.2003, n. 174.

[14] Bundesdatenschutzgesetz del 30 giugno 2017, in BGBI. I S., p. 2097.

[15] Ley Orgánica 3/2018, de 5 de diciembre, de Protección de Datos Personales y garantía de los derechos digitales, in BOE 294 del 6.12.2018, pp. 119788 e ss.

[16] LOI n° 78-17 du 6 janvier 1978 relative à l'informatique, aux fichiers et aux libertés, in JORF del 07.01.1978.

[17] Cfr. Article 29 WP, Parere 6/2014 sul concetto di interesse legittimo del responsabile del trattamento ai sensi dell’articolo 7 della direttiva 95/46/CE, del 9.4.2014, p. 17 e ss.