La Legge di Bilancio 2018 ed il suo impatto sul legittimo interesse al trattamento e sul diritto alla portabilità dei dati personali

 

Background

Il 29 dicembre scorso è stata pubblicata sulla Gazzetta Ufficiale la Legge di Bilancio n. 205/2017.

Questa legge, che probabilmente è una delle più leggi più importanti emessa alla fine di ogni anno in Italia, contiene alcune previsioni che hanno un impatto su alcuni elementi chiave della normativa europea relativa alla data protection, il Regolamento UE 2016/679 (“GDPR”), ossia:

  1. il “legittimo interesse” inteso come base legale del trattamento ai sensi dell’articolo 6.1.f del GDPR, in quanto introduce una sorta di notifica preventiva obbligatoria ed un’autorizzazione da parte del Garante per la protezione dei dati personali (il “Garante”) dei trattamenti basati appunto sul legittimo interesse;
  2. il “diritto alla portabilità dei dati” di cui all’articolo 20 del GDPR, incaricando il Garante di definire le procedure di verifica della compliance dei titolari con questo nuovo principio.

 

Questioni principali

Le previsioni della Legge di Bilancio 2018 riguardanti la data protection sono contenute nell’articolo 1, commi da 1020 a 1025 (in particolare nei commi da 1021 a 1023), il cui contenuto è riassunto di seguito.

 

Il comma 1021 stabilisce che il Garante, entro marzo 2018, dovrà:

  • stabilire le modalità con le quali lo stesso Garante monitorerà l’applicazione del GDPR;
  • definire i metodi attraverso cui sarà verificata la presenza di infrastrutture adeguate, poste in essere dal titolare del trattamento, volte a sviluppare l’interoperabilità dei formati predisposti al fine di permettere al soggetto interessato di esercitare il suo diritto alla data portability, come prevista dall’articolo 20 del GDPR;
  • fornire un modello di modulo informativo (il “Modello”), che andrà compilato da quei titolari che pongono in essere un trattamento basato sul legittimo interesse e che implichi l’utilizzo di nuove tecnologie o strumenti automatizzati;
  • predisporre delle linee guida o delle best practices sul trattamento dei dati personali basato sul legittimo interesse.

 

Il comma 1022, che contiene una previsione che potrà avere un serio impatto sull’attuale quadro normativo della data protection, statuisce che:

  • I titolari del trattamento che intendono effettuare un trattamento basato sul legittimo interesse che implichi l’utilizzo di nuove tecnologie o strumenti automatizzati dovranno informarne tempestivamente il Garante;
  • tale comunicazione dovrà avvenire prima dell’inizio del trattamento, attraverso il Modello che, ai sensi del precedente comma 1021, dovrà essere predisposto dal Garante entro marzo 2018;
  • il modello dovrà contenere le informazioni relative all’oggetto, alle finalità e al contesto del trattamento e dovrà essere inviato dal titolare del trattamento al Garante;
  • laddove non dovesse esserci riscontro dal Garante entro quindici giorni lavorativi successivi all’invio, il titolare potrà cominciare il trattamento.

 

Ai sensi del comma 1023, alla ricezione del Modello:

  • il Garante apre un’istruttoria sulla base delle informazioni ricevute dal titolare del trattamento;
  • se dovesse ravvisare il rischio che il trattamento in oggetto possa portare ad una lesione dei diritti e delle libertà dei soggetti interessati, sospende il trattamento per un periodo massimo di trenta giorni;
  • durante questo periodo, il Garante può richiedere al titolare del trattamento ulteriori informazioni ed integrazioni al modello di informativa ricevuto;
  • qualora il Garante ritenga che dal trattamento derivi comunque una lesione dei diritti e delle libertà degli interessati, ne proibisce l’esecuzione.

 

Implicazioni pratiche

Le previsioni sopra riportate rendono chiaro che le organizzazioni che intendono effettuare un trattamento basato sul legittimo interesse devono necessariamente passare attraverso un procedimento di notificazione preventiva e autorizzazione da parte del Garante. Procedura che sembrerebbe non essere necessaria negli altri Stati Membri dell’UE, dove le organizzazioni/i titolari sono liberi di utilizzare tale base legale del trattamento (come previsto nell’art. 6.1.f. del GDPR) senza la necessità di una preventiva notificazione e autorizzazione da parte dell’Autorità di Controllo competente “a condizione che non prevalgano gli interessi o i diritti e le libertà fondamentali dell’interessato, tenuto conto delle ragionevoli aspettative nutrite dall’interessato in base alla sua relazione con il titolare del trattamento”. In un’ottica di business c’è una notevole differenza, considerato che il legittimo interesse potrebbe essere utilizzato anche per effettuare trattamenti di marketing – si veda il Considerando 47 del GDPR, il quale prevede che “[p]uò essere considerato legittimo interesse trattare dati personali per finalità di marketing diretto”.

Nei prossimi due mesi è prevista la pubblicazione da parte del Garante delle attese linee guida sul legittimo interesse. Bisogna inoltre considerare che il Governo Italiano, in virtù della Legge delega  163/2017 (si veda l’art.13), dovrebbe a breve adottare un decreto legislativo che avrà ad oggetto l’adattamento della normativa nazionale alle previsioni contenute nel GDPR. Ciò porta a ritenere plausibile che la Legge di Bilancio 2018 possa essere meglio interpretata o subire degli emendamenti prima del 25 maggio 2018.

Va segnalato che anche il Gruppo di Lavoro ex articolo 29 dovrebbe prossimamente pubblicare delle linee guida riguardanti l’applicazione del legittimo interesse.

Fino ad allora, le organizzazioni che intendono effettuare trattamenti di dati personali basati sul legittimo interesse dovranno:

  • assicurarsi di documentare per iscritto i processi decisionali relativi al bilanciamento fra gli interessi del titolare del trattamento e i diritti dei soggetti interessati;
  • (prima di cominciare il trattamento) inviare al Garante il modello contenente le informazioni relative all’oggetto, alle finalità e al contesto del trattamento, al fine di ottenere l’autorizzazione;
  • laddove l’autorizzazione fosse concessa, menzionare il legittimo interesse nell’informativa che dovrà essere fornita ai soggetti interessati, ai sensi degli artt. 13 e 14 del GDPR;
  • premurarsi che i dati trattati sulla base del legittimo interesse possano essere oggetto dell’esercizio del diritto di opposizione al trattamento di cui all’art. 21 del GDPR.