Un Codice novellato e tre paradossi apparenti

Un Codice novellato e tre paradossi apparenti

di

Giuseppe Busia

 Segretario generale del Garante per la protezione dei dati personali e Professore di “Diritto e Gestione dei Dati Personali e delle Biotecnologie” presso l’Università Europea di Roma - InnoLawLab

 

Chi volesse, potrebbe forse scorgere tre paradossi nel processo di adeguamento del Codice in materia di protezione dei dati personali al Regolamento generale sulla protezione dei dati personali, portato a compimento con l’adozione del D.lgs. 10 agosto 2018, n. 101.

Innanzitutto, i mesi che hanno preceduto la conclusione di tale percorso – invero segnati soprattutto dalla prima applicazione del Regolamento ‑ sono stati caratterizzati da una grande attenzione rivolta alla nuova normativa, certamente ben superiore a quella che, poco più di vent’anni fa, aveva accompagnato l’introduzione ex novo di una disciplina organica sui dati personali nel nostro Paese, attraverso la L. 31 dicembre 1996, n. 675. Ciò, nonostante un esame del suo contenuto evidenzi, invece, che gli elementi di continuità con la normativa previgente prevalgono rispetto a quelli di rottura, e quindi il tasso di novità sia certamente molto inferire a quello del 1996.

In secondo luogo, quando si guarda ad una novella normativa, è naturale rivolgere la propria attenzione alle disposizioni “nuove”, dalle quali si dovrebbe cogliere il vero nucleo di novità rispetto al passato. In questo caso, però, il testo del Codice novellato segna le maggiori innovazioni forse più negli articoli che sono stati espunti dal suo corpo, che per quelli rimasti o per le disposizioni aggiuntive.

In terzo luogo, l’impostazione della nuova normativa sulla protezione dei dati - che pone al centro del sistema di tutela la responsabilizzazione (c.d. accountability) e quindi le scelte autonome dei titolari del trattamento rispetto alle decisioni da assumere per adeguarsi alla nuova normativa - avrebbe potuto comportare, sotto tale profilo, un ridimensionamento del ruolo del Garante per la protezione dei dati personali (di seguito, “Garante”), non più chiamato ad intervenire in modo puntuale per autorizzare o regolare ex ante le diverse tipologie di trattamenti. Ed invece, ovunque si sono profilati utili spazi di intervento, la novella ha allargato il campo di azione del Garante in tale direzione, facendo rivivere istituti e compiti tutt’altro che scontati alla luce della nuova impostazione scelta dagli estensori del Regolamento.

Come spesso capita, si tratta di paradossi solo apparenti. Scioglierli e capirne la reale portata serve tuttavia a comprendere il senso profondo delle disposizioni che in questo volume trovano dettagliata esegesi ad opera di studiosi e di coloro che quotidianamente ne applicano le disposizioni, sia sul versante istituzionale che su quello di chi impersona o affianca, nel nuovo cammino di protezione dati disegnato a livello europeo, titolari del trattamento e interessati.

Il faro sulle nuove disposizioni, spia di cambiamenti più profondi

Capita raramente che un provvedimento normativo susciti tanta attenzione e così vivo interesse, non solo da parte degli addetti ai lavori ma anche, più in generale, da parte dell’opinione pubblica. Ciò è ancora più raro in un’epoca segnata dall’inflazione normativa, quale quella in cui siamo immersi.

Eppure questo è indubbiamente accaduto con riferimento al Regolamento e poi al D.lgs. 101/2018, che ha adeguato il nostro Codice alle novità introdotte dallo stesso Regolamento.

Durante il faticoso iter che ha condotto all’approvazione del Regolamento e poi nel corso del lungo periodo di vacatio che ha separato la sua pubblicazione nella Gazzetta Ufficiale dell’Unione europea dall’inizio della sua applicazione nel maggio 2018, fino all’entrata in vigore delle disposizioni novellate del nostro Codice, si è infatti assistito ad un crescendo di riflessioni, dibattiti, interventi pubblici sul tema.

Sarebbe però sbagliato cercare unicamente nelle nuove disposizioni la ragione di tanto interesse: sarebbe come fermare la propria attenzione sulla punta del dito, quando questo indica la luna. È certamente vero che le nuove norme hanno costituito una novità sotto tanti profili, a partire dall’ambito di applicazione, che ha finalmente decretato la sua applicabilità a qualunque soggetto che tratti i dati delle persone che si trovano nel territorio dell’Unione europea, anche se sia stabilito al di fuori dai suoi confini. E tuttavia, esse si pongono in una innegabile continuità con le disposizioni figlie della direttiva 95/46/CE oggi abrogata, dalla quale era nata prima la L. 675/1996 e poi lo stesso Codice con il D.lgs. 196/2003. Continuità, che appare ancora più evidente alla luce del D.lgs. 101/2018 che, ovunque ha potuto, ha sostanzialmente cercato di conservare la normativa previgente.

La vera ragione di tanta attenzione va allora cercata nell’oggetto della regolazione: i dati personali. Sono questi ad essere cambiati negli ultimi anni prima e più delle regole che li riguardano, e sono sempre questi ad avere acquisito una centralità impensabile ancora pochi anni fa.

È sotto gli occhi di tutti il fatto che i nostri dati personali siano oggi raccolti in modo sostanzialmente continuativo, e spesso anche subdolo, soprattutto dai tanti apparecchi connessi che ci circondano: non più solo computer e telefoni mobili, ma – nell’epoca dell’Internet delle cose - anche orologi, automobili, televisori e altri elettrodomestici, ecc.: tutti dotati di sensori sempre più sofisticati e per questo sempre più “intelligenti”.

Non solo: ogni volta che più o meno consapevolmente interagiamo con uno di questi oggetti, i nostri dati vengono raccolti da un numero crescente di soggetti, non sempre conosciuti, e poi utilizzati per le finalità più diverse. Così, mentre guardiamo la schermata del telefonino, spesso a scrutarci non è solo il gestore della pagina web alla quale siamo connessi, ma magari anche le diverse “terze parti” che hanno attivato un cookie durante le nostre navigazioni precedenti o in virtù di un accordo col gestore dello stesso sito. Ed inoltre, il nostro gestore telefonico, il produttore dell’apparecchio, quello del sistema operativo, il fornitore dell’ultima app che abbiamo scaricato al quale, in cambio della torcia o di un innocente giochino, abbiamo consentito di “accedere” al microfono o alla telecamera del nostro portatile e magari così, più o meno inconsapevolmente, di registrare i nostri comportamenti anche quando il telefono è apparentemente dormiente. E tutti questi oggetti continueranno a scambiarsi reciprocamente le informazioni raccolte per fornirci servizi via via più personalizzati, avvolgendoci in una confortevole bolla costruita intorno alle nostre abitudini.

 

Per scarica il testo integrale clicca qui

Il presente articolo costituisce la prefazione all’opera “Il codice della privacy - Commento al D. Lgs. 30 giugno 2018, n. 101 alla luce del Regolamento (UE) 2016/679 (GDPR)”, a cura di Riccardo Sciaudone, Eleonora Caravà, Pacini Editore