Intervento

On. Dott. Antonio Martusciello

 Commissario AGCom

 10 maggio 2018, ore 10.30

Sala Soprachiesa – Complesso di Vicolo Valdina

Vicolo Valdina 3/A

PREMESSA

«We live in a world of near-ubiquitous data collection» si leggeva già qualche anno fa in uno dei reports pubblicati dall’Executive Office del Presidente degli USA[1]. Un’affermazione che, affiancata a quell’espressione ormai già inflazionata di ‘data driven innovation’, sintetizza efficacemente il ruolo che svolgono nelle moderne economie i big data.

È in questo contesto che l’operatore del diritto si trova a combattere sfide ardue per arginare quella monetizzazione della privacy che rischia di ledere i diritti del singolo.

Al fine di riuscire in questo complesso obiettivo, il Legislatore europeo è sceso in campo per dotare gli Stati membri di un abile clìpeo, capace di superare i confini delle singole giurisdizioni nazionali e la rigida territorialità dei criteri di applicazione delle norme.

Muovendo anche dagli orientamenti giurisprudenziali, capaci spesso di anticipare l’intervento normativo, si è delineato un sistema – certo perfettibile – ma volto a garantire (superando i limiti, in termini di omogeneità applicativa, delle singole normative nazionali) l’effettivo riconoscimento ed esercizio di quel diritto fondamentale alla protezione dei dati.

La scelta del Regolamento è quindi ben ponderata e volta a elidere le asimmetrie ordinamentali, già in passato verificatesi a seguito del recepimento disomogeneo della direttiva 95/46/CE. Un’occasione, quella del Pacchetto privacy europeo, che pare non esser stata ancora sapientemente sfruttata a livello nazionale.

Lo Schema di decreto legislativo per l’adeguamento della normativa nazionale alle disposizioni del Regolamento non sembra infatti soddisfare le aspettative.

Al riguardo, anche il Garante europeo, Giovanni Buttarelli, non nascondendo una certa delusione sul testo, ha sottolineato l’esigenza di “un’attenzione al margine di manovra e a quello che oggi ha senso presentare come biglietto da visita di un paese che è stato per anni leader in questa materia”.[2]

Anche il prof. Guido Alpa ha invitato a non disperdere la preziosa esperienza nazionale accumulatasi nel tempo. Il regolamento infatti non abbassa – ma invece intende incrementare – i livelli di protezione della privacy e dei dati personali raggiunti nei vari Paesi, ivi compreso quello che il modello italiano aveva raggiunto.[3]

 

ASPETTI FORMALI

La paventata incostituzionalità: un decreto applicabile?

Ma quali sono le perplessità manifestate dagli addetti ai lavori?

Partirei inizialmente da un’analisi tecnica. Come noto lo Schema di Decreto legislativo è stato adottato in attuazione dell’art. 13 della Legge di delegazione europea 2016-2017 (legge 25 ottobre 2017, n. 163). A ben vedere tale norma dispone che la delega sia attuata solo per l’opportuno adeguamento alle disposizioni europee, indicando alcune specifiche attività. L’impegno del Governo si sarebbe dovuto limitare ad abrogare quelle disposizioni del Codice in materia di trattamento dei dati personali incompatibili con il Regolamento europeo, nonché a modificare il primo per dare attuazione a talune disposizioni non direttamente applicabili del secondo.[4]

Ciò, almeno nella fase iniziale, non è avvenuto. Infatti, lo Schema – ancora non definitivo – nella sua versione originaria (approvata in via preliminare dal Consiglio dei Ministri, lo scorso 21 marzo), è sembrato eccedere i limiti imposti dalla delega ricevuta, abrogando interamente il Codice in materia di protezione dei dati personali. Una circostanza che avrebbe potuto configurare la figura di eccesso di delega, in violazione dell’art. 76 Cost.

Certo, nella Relazione Illustrativa dello schema di decreto, nella sua versione originaria, è ben esplicitato che, a fronte di un testo il cui contenuto normativo è destinato a essere quasi del tutto direttamente soppiantato e sostituito dalle norme previste dal Regolamento, è parso privo di senso novellare la maggior parte delle disposizioni.

Una motivazione che però non è parsa sufficiente a superare la violazione costituzionale, non solo per gli addetti ai lavori, ma anche per lo stesso Governo, nuovamente intervenuto per dare esecuzione alla delega.

Una conclusione prevedibile se consideriamo che, lo scorso gennaio, in una Comunicazione della Commissione al Parlamento e al Consiglio è stato evidenziato come “il Regolamento non ha modificato in modo sostanziale i concetti e i principi fondamentali della legislazione in materia di protezione dei dati introdotta nel 1995. La grande maggioranza dei titolari del trattamento e dei responsabili del trattamento che rispettano già le attuali disposizioni dell’UE non dovrà quindi introdurre importanti modifiche nelle proprie operazioni di trattamento dei dati per conformarsi al regolamento”[5].

Mi trovo quindi a esprimere perplessità nei confronti di quelle posizioni che hanno visto nel Regolamento uno strumento volto a sconvolgere i quadri normativi degli Stati membri.[6] Diversamente credo che l’intervento adottato sia volto a un aggiornamento, sicuramente necessario di una normativa, sorta quando Internet funzionava nella sua versione più primordiale.

Principalmente poi questa conclusione era quantomeno scontata: la delega al Governo che non aveva previsto una soluzione totalmente abrogativa del Codice Privacy. Il diritto costituzionale ci insegna che la ratio dell’istituto giuridico è quella, sì di delegare l’esercizio della funzione legislativa, ma con lo scopo di salvaguardare l’attribuzione del potere legislativo nelle mani del Parlamento. Come noto, infatti, l’esercizio di una simile funzione può essere attribuito al Governo solo indicando: i principi e i criteri direttivi (si intende evitare la cd. delega in bianco), un termine entro cui esercitarla e un oggetto definito.

Ecco che quindi tale anomalia, oltre a non sfuggire agli operatori del settore[7], avrebbe potuto trovar d’accordo anche le Commissioni parlamentari, chiamate a esaminare il provvedimento. La conseguenza sarebbe stata quella di riscrivere in fretta il testo di concerto con i Ministri degli affari esteri e della cooperazione internazionale, dell’economia e delle finanze, dello sviluppo economico e per la semplificazione e la pubblica amministrazione.

Sono queste le ragioni che probabilmente hanno indotto il Governo a intervenire nuovamente sul testo. Quello inviato, qualche giorno fa, alla Ragioneria generale dello Stato, infatti, sembra sconfessare la linea abrogativa, finora aspramente criticata.

Il nuovo documento licenziato, in vista della paventata incostituzionalità, pare aver optato per una abrogazione selettiva, legata a singole norme e non all’intero Testo Unico.

Una soluzione, quella adottata – che sebbene auspicabile – non ha però impedito un ulteriore allungamento dei tempi, in un arco temporale già molto risicato e scandito dal termine per l’esercizio della delega (21 maggio) e l’entrata in vigore del Regolamento europeo (25 maggio). Non dimentichiamo che nel mezzo di queste date si collocano le imprese, chiamate ad adeguarsi alla nuova normativa. Del resto è la stessa Commissione che in una Comunicazione al Parlamento europeo e al Consiglio sullo “scambio e protezione dei dati personali in un mondo globalizzato”[8] ha sottolineato che “il rispetto della privacy è una condizione necessaria per flussi commerciali stabili, sicuri e competitivi a livello mondiale”.

 

ASPETTI DI MERITO

I minori

Anche analizzando gli aspetti più sostanziali, l’intervento del Governo appare poco ponderato. Ne sono prove le marce indietro che si sono verificate nell’ultimo mese e mezzo.

In primo luogo, partirei da una categoria molto cara all’Agcom in considerazione del compito istituzionale a essa affidato. Mi riferisco ai minori. Come noto, l’art. 8 del Regolamento, con specifico riguardo ai servizi della società dell’informazione stabilisce che l’offerta diretta di questi servizi non sia rivolta a soggetti minori di 16 anni, salvo il consenso dei genitori. Si tratta di un limite d’età che trova analogo riscontro anche a livello nazionale: il Codice civile riconosce al sedicenne una capacità giuridica attenuata, tale da consentirgli la sottoscrizione di un contratto, e quindi anche l’iscrizione a un social.

Lo stesso Regolamento però fa salva la possibilità a livello nazionale di regolare diversamente tale aspetto, purché l’offerta di servizi non avvenga al di sotto dei 13 anni.[9] Ebbene, lo Schema di decreto, utilizzando la deroga prevista, ha originariamente previsto che “il minore che ha compiuto i quattordici anni può esprimere il consenso al trattamento di propri dati personali” (art. 6).

Una scelta forse poco tutelante nei confronti di questi soggetti, se pensiamo che attribuisce a un individuo poco più che adolescente di valutare i rischi di un trattamento dei dati conseguente all’iscrizione a social network o a servizi di messaggistica. Se poi consideriamo che anche Facebook, per adeguardsi al GDPR, ha aggiornato i termini di servizio, fissando il limite di accesso a 16 anni, quanto previsto a livello nazionale è apparso ancora più inappropriato.

Ecco che allora, anche la Presidenza del Consiglio dei Ministri sembra aver condiviso queste valutazioni, modificando il testo che, rispetto a quello originario, ha innalzato l’età valida per fornire il proprio consenso a 16 anni.

Un’ulteriore modifica, quella operata dal Governo italiano, che ha poi richiesto un ripensamento, a riprova di come non sia chiara la linea d’azione da seguire nella fase di adeguamento della normativa europea.

 

Le sanzioni

Altro aspetto che ha suscitato perplessità sullo Schema concerne la depenalizzazione e conseguente sostituzione tra sanzioni penali, contenute nel Codice privacy, in favore esclusivamente di quelle amministrative.

Sul tema, dobbiamo precisare che il Regolamento non contiene disposizioni volte a disciplinare direttamente la responsabilità penale che deriva dall’illecito trattamento dei dati personali, ma che tuttavia non risulta preclusa agli Stati membri la possibilità di prevedere sanzioni di tale natura. Si tratta di un orientamento che intende demandare la scelta del regime relativo alla responsabilità penale ai singoli Paesi.

Guardando poi alla normativa nazionale, gli illeciti penali sono disciplinati agli artt. 167 e ss. del Codice Privacy. Dubbi ha quindi suscitato la depenalizzazione operata nella prima versione del documento di adeguamento.

Nel testo approvato a marzo, infatti, è emersa l’eliminazione della fattispecie relativa al trattamento illecito di dati personali prevista dall’art. 167 del Codice Privacy e la mancata adozione delle misure di sicurezza prevista dall’art. 169 dal medesimo Codice. Una scelta che era stata giustificata da una – non convincente – limitata operatività e una scarsa aderenza a ipotesi di trattamento illecito realmente significative. In virtù del doveroso principio del ne bis in idem (imposto dal considerando n. 149 del Regolamento), era stata ritenuta maggiormente deterrente l’efficacia di sanzioni amministrative, considerando che molte disposizioni penali del Codice Privacy (artt. 167 ss.) reprimono comportamenti i quali, in attuazione dell’art. 83 del Regolamento, vanno puniti con sanzioni amministrative (fa eccezione soltanto il reato di false comunicazioni al Garante).

Questa iniziale posizione era stata duramente giudicata. Del resto, in piena bufera Facebook-Cambridge Analytica, è chiaro che eliminare tali previsioni per gravi violazioni dei dati personali compiuti, ad esempio, da multinazionali o anche istituzioni estere, possa aver sollevato le perplessità di molti esperti del settore. Il Garante Europeo, in tal senso, ha invitato a un ripensamento, dichiarando – senza mezzi termini – che “abolire il 167 (del Codice) e non perfezionarlo merita un ripensamento”.

Ecco che allora, seppur si apprezzi la nuova ponderazione operata nel testo recentemente trasmesso alla Ragioneria generale dello Stato, si rileva comunque, nella fase di adeguamento alla disciplina europea da parte del Governo, un ulteriore elemento a riprova dell’assenza di una policy operativa.

Nel nuovo testo, vengono salvate le fattispecie oggetto di abrogazione, ma anche aggiunte di nuove. Infatti, da un lato viene salvato l’art. 167 che prevede il trattamento illecito dei dati; dall’altro sono aggiunti l’art. 167 bis rubricato “Comunicazione e diffusione illecita di dati personali riferibili a un ingente rilevante numero di persone” e l’art. 167 ter “Acquisizione fraudolenta di dati personali”.

Si tratta di un’operazione poco chiara, in quanto i nuovi articoli sembrano introdurre più delle aggravanti del trattamento illecito (art. 167 Codice Privacy) che delle fattispecie autonome.

In questo caso, introducendo fatti e violazioni specifiche, sembrerebbe operarsi una implicita depenalizzazione della fattispecie generica sul trattamento illecito, invece, prima fondata su una violazione generale legata a un trattamento di dati e all’eventuale danno derivato.

Nella normativa domestica era proprio la ponderazione del danno che giustificava l’applicazione di sanzioni penali. Infatti, le condotte contestate, già di per sé soggette a sanzioni amministrative, erano sottoposte a responsabilità di natura penale una volta riscontrata la finalità di ottenere profitto o di cagionare danno e provato il nocumento al danneggiato.

Sul fronte delle sanzioni amministrative – disciplinate dagli artt. 161 e ss. del Codice – si rilevano ulteriori perplessità: ciò per le modalità con cui sono state trasposte nel nostro ordinamento e sulla compatibilità con la disciplina italiana in materia. Una certa difficoltà di coordinamento pare allo stato sussistere tra quanto previsto dal Regolamento, il quale stabilisce due fasce di sanzioni per cui è individuato solo il massimo edittale (ossia 10 e 20 milioni di euro)[10] e la normativa italiana di cui alla legge 689/1981. Questa viene meramente richiamata nello Schema di decreto ove applicabile. Circostanza sicuramente più favorevole, considerando che nella prima stesura del testo non era neanche previsto tale inserimento. Ciononostante restano perplessità, in quanto il sistema sembra iniquo, accomunando sul piano edittale sia sanzioni lievi che gravi, sia sanzioni formali che sanzioni lesive di interessi sostanziali. In tal caso infatti manca una graduazione legislativa di diversi livelli massimi in corrispondenza di livelli di gravità differenti.[11] Ecco che allora il perfezionamento auspicato dal Garante Buttarelli sembra ancora lontano.

 

Conclusioni

Il Regolamento europeo, già nella scelta dello strumento normativo (il regolamento appunto e non la direttiva) risponde, non solo a un’esigenza di aggiornamento, divenuta essenziale nel mondo ormai “datacentrico”, ma anche a quella di uniformità normativa, prevedendo un’unica e ampia tutela attuabile in ciascun Stato membro dell’Unione. Tutto ciò non trascurando, per taluni aspetti, la possibilità di introdurre regole nazionali.

La possibilità di regolare la tutela, secondo singole specificità locali può costituire, se sapientemente sfruttata, sicuramente un elemento positivo. Al momento, il decreto di adeguamento risulta però ancora incerto: si è prima disposta l’abrogazione del Codice privacy per poi riesumarlo con modifiche, maggiormente in linea con quanto previsto dai poteri in deroga; molte previsioni sono state oggetto di modifica per poi essere stravolte nuovamente.

Inoltre, i tempi sono davvero molto ristretti se pensiamo che mancano due settimane per l’entrata in vigore del Regolamento e che lo Schema di decreto deve ottenere ancora il parere delle Commissioni parlamentari e del Garante Privacy. All’esito di queste attività, poi, prima del via libera definitivo da parte del Consiglio dei Ministri, si dovrà procedere all’acquisizione del parere dei ministeri competenti.[12]

Certo, se guardiamo indietro, il testo definitivo del Regolamento europeo è stato licenziato nel 2016 e la sua entrata in vigore, prevista per il 25 maggio 2018, avrebbe consentito di adeguare la normativa nazionale con maggior prudenza rispetto a quanto appare fatto sinora.

Un ritardo che accentua le fratture con altri Stati europei più solerti. In Germania, ad esempio, lo scorso 27 aprile, il Parlamento tedesco ha approvato una nuova legge federale sulla protezione dei dati personali (Bundesdatenschutzgesetz – BDSG), con la quale è stata adeguata la vecchia legge tedesca in materia di protezione dei dati personali al Regolamento europeo.[13]

In Austria addirittura la prima proposta di aggiornamento della normativa privacy è stata pensata con un anno di anticipo, a maggio 2017[14], Altrettanto solerte, almeno per la fase di discussione, è stata la Finlandia che ha presentato una proposta di legge a fine dello scorso anno. In Lituania, il progetto di legge per l’adeguamento risale allo scorso giugno.

Certo non ci sono solo modelli positivi. Oltralpe, ad esempio, la legge francese sembra arenata: è stata votata dal Senato, tuttavia, il progetto è stato rallentato da alcune discrepanze tra quest’ultimo e l’Assemblea nazionale; la proposta poi è stata respinta da una commissione mista incaricata di trovare una versione congiunta. Forse in questo senso va letta anche l’istituzione, da parte della Commission Nationale de l’Informatique et des Libertés (CNIL), di un vero e proprio grace period, ossia un periodo transitorio durante il quale non saranno sanzionate le aziende che, a seguito di ispezioni, risultino inadempienti rispetto ai nuovi obblighi introdotti dal Regolamento[15]. Una flessibilità nei controlli consentita a coloro che abbiano avviato un processo di compliance, dimostrato spirito collaborativo con l’Autorità e il cui ritardo accumulato sia giustificabile in buona fede. Una “disponibilità”, quella del CNIL, che i più maliziosi hanno letto come un atto di clemenza dovuto anche al ritardo con cui si sta procedendo all’adeguamento alla normativa europea.

Le difficoltà incontrate da altri Stati membri non possono certo tentare di giustificare l’apatia nazionale. Già a inizio dell’anno la Commissaria Ue alla giustizia ammoniva l’Italia, in quanto “indietro nell’applicazione del nuovo regolamento Ue”. Vera Jurova, infatti, dichiarava di essere “in contatto con le autorità italiane perché (…) ci potrebbero essere dei ritardi”.

Una lentezza riconosciuta anche dalla Presidente della Commissione incaricata di adeguare la normativa italiana: la prof.ssa Finocchiaro ha infatti rilevato come “l’Italia (abbia) ritenuto con notevole ritardo che fosse opportuno adeguare il quadro normativo”[16].

Sebbene il regolamento, in quanto atto direttamente applicabile, entrerà in vigore automaticamente il prossimo 25 maggio, cittadini e aziende si trovano in serie difficoltà in considerazione dell’incertezza che allo stato si riscontra.

Infatti, seppur i tempi si rivelassero sufficienti – ma non lo sono – per l’adozione del testo di adeguamento, resterebbe comunque un mare magnum normativo che rende tutt’altro che agevole realizzare la compliance a livello aziendale.

Accanto al Regolamento, al decreto di adeguamento e al Codice (riesumato e modificato, secondo l’ultimo intervento), sono fatti salvi – per un periodo transitorio – i provvedimenti del Garante e le autorizzazioni, oggetto di successivo riesame. Sono stati mantenuti poi i codici deontologici vigenti. Uno scenario in cui colui che dovrà operare sarà chiamato a un’opera ardua di verifica delle fonti.

Insomma, il Governo sembra aver fatto proprio quel vecchio trucco politico di Harry Truman: “Se non riesci a convincerli, confondili”.

Fonti:

[1] Executive Office of the President, Big Data: Seizing Opportunities, Preserving Values, report, 2014, 4.

[2] https://www.agenzianova.com/a/0/1871346/2018-03-30/ict-privacy-per-garante-ue-schema-decreto-su-gdpt-e-deludente

[3] Si veda l’articolo apparso su Il Sole 24 Ore, 8 maggio 2018, sul tema Privacy. Protezione da estendere alle persone giuridiche, a firma del prof. Alpa.

[4] L’art. 13 della Legge di delegazione europea 2016-2017 (legge 25 ottobre 2017, n. 163) affidava al Governo il compito di:

– abrogare espressamente le disposizioni del codice in materia di trattamento dei dati personali, di cui al decreto legislativo 30 giugno 2003, n. 196, incompatibili con le disposizioni contenute nel regolamento (UE) 2016/679;

-modificare il codice 196/2003 limitatamente a quanto necessario per dare attuazione alle disposizioni non direttamente applicabili contenute nel regolamento (UE) 2016/679;

-coordinare le disposizioni vigenti in materia di protezione dei dati personali con le disposizioni recate dal regolamento (UE) 2016/679;

– adeguare, nell’ambito delle modifiche al codice di cui al decreto legislativo 30 giugno 2003, n. 196, il sistema sanzionatorio penale e amministrativo vigente alle disposizioni del regolamento (UE) 2016/679 con previsione di sanzioni penali e amministrative efficaci, dissuasive e proporzionate alla gravità della violazione delle disposizioni stesse.

[5] Comunicazione della Commissione al Parlamento Europeo e al Consiglio – Bruxelles, 24.1.2018 COM(2018) – Maggiore protezione, nuove opportunità – Orientamenti della Commissione per l’applicazione diretta del regolamento generale sulla protezione dei dati a partire dal 25 maggio 2018.

[6] Questa è la posizione espressa dalla prof.ssa Finocchiaro nel suo blog (http://www.blogstudiolegalefinocchiaro.it/privacy-e-protezione-dei-dati-personali/lo-schema-di-decreto-legislativo-sulla-privacy/). L’Accademica è presidente della Commissione incaricata di adeguare la normativa italiana in materia di dati personali al Regolamento Ue.

[7] Di tale avviso è ad esempio la prof.ssa Elena Bassoli, docente di diritto dell’Informatica presso l’Università di Genova

[8] COM 2017 n.7 final, del 10.1.2017

[9] Limite quest’ultimo che riscontriamo Oltreoceano, nel Childrens Online Privacy Protection Act (COPPA).

[10] Si veda l’art. 83 del Regolamento. Gli importi richiamati possono ulteriormente incrementarsi per le imprese, se si applica la sanzione in misura percentuale, pari rispettivamente al 2% o al 4% del fatturato mondiale globale annuo

[11] In questo senso si è espresso su alcune testate nazionali anche l’avv. Antonio Ciccia Messina, il quale ha rilevato con preoccupazione che a tale situazione di iniquità non possa sopperire il prudente uso del potere di graduazione nella quantificazione delle sanzioni.

[12] I ministeri sono quelli di Giustizia, Affari esteri, Economia, Sviluppo economico e PA

[13] http://www.diritto24.ilsole24ore.com/art/avvocatoAffari/mercatiImpresa/2017-05-09/adeguamento-gdpr-germania-emana-nuova-legge-privacy-155006.php?preview=true

[14] Si tratta della Datenschutz-Anpassungsgesetz 2018 che propone l’aggiornamento dell’attuale normativa sulla privacy (la c.d. “DSG 2000” o “Bundesgesetz über den Schutz personenbezogener Daten Datenschutzgesetz 2000”).

[15] https://www.cnil.fr/fr/rgpd-comment-la-cnil-vous-accompagne-dans-cette-periode-transitoire

[16] La dichiarazione è riportata in un articolo, a firma della prof.ssa Finocchiaro, de Il Sole 24 Ore del 1 aprile 2018 (“Anche l’Italia passa dalle autorizzazioni all’accountability”).