Entra in vigore oggi la legge con cui lo Stato Italiano adegua determinati settori alla normativa comunitaria.
Tra questi anche la materia della protezione dei dati personali e in particolare il cd. Codice Privacy.
Agli artt. 28 e 29 della suddetta legge vengono previste modificazioni e aggiunte alla L.196/2003, in particolare:
– all’articolo 29 del Codice Privacy dopo il comma 4 e’ inserito il seguente:
«4-bis. Fermo restando quanto previsto ai commi 1, 2, 3 e 4, il titolare puo’ avvalersi, per il trattamento di dati, anche sensibili, di soggetti pubblici o privati che, in qualita’di responsabili del trattamento, forniscano le garanzie di cui al comma 2. I titolari stipulano con i predetti responsabili atti giuridici in forma scritta, che specificano la finalita’ perseguita, la tipologia dei dati, la durata del trattamento, gli obblighi e i diritti del responsabile del trattamento e le modalita’ di trattamento; i predetti atti sono adottati in conformita’ a schemi tipo predisposti dal Garante».
L’aggiunta del comma 4 bis rende esplicito normativamente ciò che il GDPR richiede all’art. 28 c. 3, laddove si prescrive l’adozione di atti specifici contrattuali (“contract or other legal act”) per la carica di responsabile del trattamento. Non più lettere di incarico, ma veri e propri contratti con specifici obblighi e responsabilità reciproche tra titolare e responsabile. Dal dettato normativo ci si deve aspettare, quindi, che il Garante a breve emani linee guida su tali forme contrattuali nel rispetto di quanto previsto dal Regolamento Europeo.
– il comma 5 dell’art. 29 del Codice Privacy e’ sostituito dal seguente:
«5. Il responsabile effettua il trattamento attenendosi alle condizioni stabilite ai sensi del comma 4-bis e alle istruzioni impartite dal titolare, il quale, anche tramite verifiche periodiche, vigila sulla puntuale osservanza delle disposizioni di cui al comma 2, delle proprie istruzioni e di quanto stabilito negli atti di cui al comma 4-bis».
Con tale specifica si intende evidenziare che il responsabile segue le istruzioni impartite dal titolare e specificate nel contratto di cui al comma 4 bis, ma anche che il titolare ha le proprie incombenze e responsabilità. Non viene tutto demandato al responsabile, “Processor”, ma al “Controller”, al Titolare, è riconosciuto il potere di verifica e controllo.
-dopo l’art. 110 viene inserito l’art.110 bis:
«(Riutilizzo dei dati per finalita’ di ricerca scientifica o per scopi statistici). – 1. Nell’ambito delle finalita’ di ricerca scientifica ovvero per scopi statistici puo’ essere autorizzato dal Garante il riutilizzo dei dati, anche sensibili,ad esclusione di quelli genetici, a condizione che siano adottate forme preventive di minimizzazione e di anonimizzazione dei dati ritenute idonee a tutela degli interessati.
2.Il Garante comunica la decisione adottata sulla richiesta di autorizzazione entro quarantacinque giorni, decorsi i quali la mancata pronuncia equivale a rigetto. Con il provvedimento di autorizzazione o anche successivamente, sulla base di eventuali verifiche, il Garante stabilisce le condizioni e le misure necessarie ad assicurare adeguate garanzie a tutela degli interessati nell’ambito del riutilizzo dei dati, anche sotto il profilo della loro sicurezza».
Norma di particolare rilevanza in materia di ricerca scientifica, che sarà sicuramente oggetto di discussione per la sua conformità o meno con il GDPR.
-all’art. 29 della nuova legge si prevede, poi, un aumento di budget per l’anno 2018 e di personale (25 unità) per l’Ufficio del Garante, che con l’entrata in vigore del GDPR vede i propri compiti aumentare sia in termini di coordinamento con le altre Autorità di Controllo, sia in termini di ispezioni e controlli sull’effettivo adeguamento degli stakeholders italiani.
Ulteriore modifica apportata dalla L.167/2017 (art.24) che, in riferimento all’art.132 del Codice Privacy, inserisce come termine di conservazione dei dati (cd. Data retention) del traffico telefonico e telematico fino a 72 mesi. I termini suddetti passano da 24 a 72 mesi e tale modifica, caso unico in tutta Europa, viene giustificata per motivi di ordine e sicurezza e per il contrasto alla criminalità e al terrorismo.
Tale estensione dei termini di conservazione appare censurabile a fronte delle decisioni della Corte di Giustizia Europea ( C-293/12 e C-594/12 Digital Rights Ireland ), laddove il termine della data retention si ritiene proporzionale ai diritti fondamentali e al rispetto della vita privata per un periodo compreso tra 6 e 24 mesi.
Preoccupazione e contrarietà per l’innalzamento del termine di conservazione espresso anche da parte del Garante Privacy.
“Al giorno sono circa 5 miliardi i dati di traffico telefonico e telematico conservati dagli operatori e dagli Internet Service Provider e questa prassi di conservarli per 6 anni in modo indistinto andrebbe nella direzione opposta di proteggere la privacy del nostro Paese e dei cittadini… Se la minaccia di attacchi informatici è quotidiana diventa ancora più incomprensibile la decisione di aumentare fino a 6 anni la Data retention, ignorando, non solo le sentenze della Corte di Giustizia Europea, ma anche il buon senso”.(da Convegno di Firenze 24 ottobre 2017)
