Il legislatore italiano continua la sua corsa verso l’adeguamento dell’ordinamento legislativo nazionale al GDPR, introducendo con la Legge di Bilancio 2018 alcune novità in materia privacy.
Alcuni commi (dal 1020 e 1024) del primo ed unico articolo della Legge di Bilancio sembrano infatti prescrivere, tre le altre, un’autorizzazione amministrativa per il trattamento di dati personali che il titolare del trattamento intende basare sul legittimo interesse.
In forza del comma 1022 il titolare del trattamento che ritenga di potersi avvalere della base giuridica prevista dall’art. 6, comma 1, lett. f) del GDPR per effettuare un trattamento con l’utilizzo di nuove tecnologie o di strumenti automatizzati, è tenuto a trasmettere al Garante una richiesta preliminare. Tale richiesta è definita, forse impropriamente, con il termine di “informativa”. Trascorsi quindici giorni dall’invio della richiesta, in assenza di risposta da parte del Garante, il titolare può procedere al trattamento. La modifica normativa attribuisce al Garante abbia il potere di differire l’avvio del trattamento – per un periodo non superiore a 30 giorni – ed anche di disporre l’inibitoria all’utilizzo dei dati.
Il Legislatore italiano sembra così introdurre un vaglio preventivo dell’Autorità Garante che non è previsto dal GDPR. Pare legittimo chiedersi se tale vaglio sia legittimo o non si ponga in contrasto con il GDPR, visto l’art. 36 del GDPR prevede la consultazione preventiva al Garante solo in casi specifici. L’art. 36, comma 5 del GDPR attribuisce ai legislatori nazionali la possibilità di introdurre ulteriori casi di autorizzazione obbligatoria preliminare esclusivamente in relazione “… al trattamento da parte di un titolare del trattamento per l’esecuzione, da parte di questi, di un compito di interesse pubblico, tra cui il trattamento con riguardo alla protezione sociale e alla sanità pubblica”, in linea con il principio di accountability per il titolare.
Riportiamo qui il testo dei commi oggetto di commento.
Art. 1, Comma 1022, Legge 27 dicembre 2017, n.205: “Il titolare dei dati personali, individuato ai sensi dell’articolo 4, numero 7), del regolamento RGDP, ove effettui un trattamento fondato sull’interesse legittimo che prevede l’uso di nuove tecnologie o di strumenti automatizzati, deve darne tempestiva comunicazione al Garante per la protezione dei dati personali. A tale fine, prima di procedere al trattamento o, il titolare dei dati invia al Garante un’informativa relativa all’oggetto, alle finalità e al contesto del trattamento, utilizzando il modello di cui al comma 1021, lettera c). Trascorsi quindici giorni lavorativi dall’invio dell’informativa, in assenza di risposta da parte del Garante, il titolare può procedere al trattamento”.
Art.1, Comma 1023, Legge 27 dicembre 2017, n.205: “Il Garante per la protezione dei dati personali effettua un’istruttoria sulla base dell’informativa ricevuta dal titolare ai sensi del comma 1022 e, ove ravvisi il rischio che dal trattamento derivi una lesione dei diritti e delle libertà dei soggetti interessati, dispone la moratoria del trattamento per un periodo massimo di trenta giorni. In tale periodo, il Garante può chiedere al titolare ulteriori informazioni e integrazioni, da rendere tempestivamente, e qualora ritenga che dal trattamento derivi comunque una lesione dei diritti e delle libertà del soggetto interessato, dispone l’inibitoria all’utilizzo dei dati”