Legge GDPR, l'Osservatorio 679 presenta documento alle Commissioni congiunte Camera e Senato

Legge GDPR, l'Osservatorio 679 presenta documento alle Commissioni congiunte Camera e Senato

Il documento del 7 giugno.

L’Osservatorio 679 GDPR ETS, associazione culturale nata nel 2018 con lo scopo di effettuare studi e ricerche scientifica nell’ambito della protezione dei dati personali.
E’ un Think Thank dove scambiare esperienze, produrre documenti rispetto alle esperienze professionali, divulgare documenti scientifici ad uso pubblico, nell'ambito del nuovo regolamento europeo sulla protezione delle persone fisiche EU Reg. 679/2016.
L’Osservatorio 679, rappresentato dal suo presidente dott. Riccardo Giannetti, interverrà con la partecipazione dell’avv. Gianluca Di Ascenzo, presidente del Codacons e dell’avv. Rosario Imperiali d’Afflitto, cultore della materia ed entrambe vicepresidenti.
Tre sono le osservazioni principali che saranno portate all’attenzione delle Commissioni

Tecnica redazionale e accountability: Pur apprezzando lo sforzo profuso nell’esplicitare i correttivi normativi resi necessari per rendere la previgente normativa nazionale compatibile con il GDPR, in aggiunta al mantenimento del codice privacy, si evidenzia come l’attuale assetto redazionale espone il destinatario della norma ad un’onerosa ricostruzione interpretativa. Sul tema, infatti, cittadini ed imprese saranno inevitabilmente costretti a ricorrere ad almeno tre fonti normative e ad effettuare le necessarie correlazioni interpretative: il GDPR, il codice privacy emendato ed il decreto di cui si discute. Al fine di ridurre questo impatto, si consiglia di prevedere che tutte le nuove disposizioni contenute nel decreto – incluse quelle transitorie, finali e finanziarie del Capo VI del decreto - siano concepite come nuovi articoli da inserire nell’attuale Titolo IV del codice privacy, rubricato “Disposizioni modificative, abrogative, transitorie e finali”. In tal modo le fonti di riferimento si ridurranno a due (GDPR e codice) a beneficio di chiarezza e semplicità interpretativa.

Alcune soluzioni adottate dal legislatore italiano lasciano intendere la re-introduzione dell’istituto dell’interpello preliminare (previsto dall’articolo 17 del codice privacy) come nel caso dell’articolo 2-quaterdecies della bozza di decreto, in relazione ai trattamenti che presentano rischi specifici per l’esecuzione di compiti di interesse pubblico. Nonostante, in questo ambito, il GDPR dia flessibilità alle leggi nazionali di decidere in autonomia, si ritiene che la soluzione individuata contrasti la generale filosofia della cosiddetta “accountability” o responsabilizzazione del titolare del trattamento (secondo cui le valutazioni in materia di protezione dei dati personali sono rimesse al titolare e non più soggette ad autorizzazione del Garante) e carichi di ulteriori oneri l’attività operativa dell’autorità. In aggiunta, anche qualora si intendesse mantenere questa opzione, la formulazione dell’articolo richiederebbe una rivisitazione, in quanto dall’attuale testo non emerge che il caso prospettato sia soggetto all’obbligo della preventiva autorizzazione del Garante, mentre tale condizione pregiudiziale viene esplicitata solo nel corpo della relazione illustrativa.

Certificazione privacy – Il legislatore nazionale è intervenuto all’articolo 2-quinquiesdecies anche sull’opzione concessa dal GDPR agli Stati di decidere che l’accreditamento degli enti di certificazione a fini privacy avvenga ad opera dell’ente nazionale di accreditamento (per l’Italia Accredia) o dal Garante, in via alternativa o cumulativa. L’Osservatorio, dopo aver precisato che tale ampia opportunità di scelta discende dalla variegata situazione vigente negli Stati membri, sottolinea l’opportunità che il legislatore nazionale definisca chiaramente la distinzione dei ruoli tra l’ente nazionale di accreditamento (Accredia) e l’autorità di supervisione (Garante) anche per evitare possibili conflitti di interesse. Si propone di valutare, pertanto, la possibilità di riformulare il testo in modo da eliminare dubbi interpretativi, specificando che l’ente deputato all’accreditamento degli enti di certificazione in materia di protezione dei dati personali sia l’ente nazionale di accreditamento (Accredia), lasciando tale possibilità anche al Garante ma, solo per taluni specifici contesti chiaramente identificati, come ad esempio quelli concernenti dati genetici o biometrici, dove l’impatto sui diritti e le libertà degli individui giustifichi l’intervento diretto dell’autorità.

Regole deontologiche – Si condivide la scelta di aggiornare ed adeguare gli attuali Codici di deontologia e buona condotta con la sottoscrizione di regole deontologiche sui medesimi argomenti insieme al rilievo dato alla consultazione pubblica. Il dialogo con stakeholders e diretti interessati è tanto rilevante al fine di individuare regole di settore efficaci ed efficienti che suggeriamo al legislatore di meglio specificare la declinazione del “principio di rappresentatività”, altrimenti suscettibile di incertezze applicative e potenziale motivo di contenzioso. Si raccomanda che il legislatore indichi i criteri determinativi della rappresentatività, lasciando all’autorità l’individuazione dei soggetti negli specifici contesti.

 

Il presidente

Riccardo Giannetti


Stampa   Email