Q UESTIONI APERTE

I principali punti aperti rintracciati nel periodo di tempo successivo all'approvazione del Regolamento (UE) 2016/679 possono essere riconducibili al passaggio dalla Direttiva 95/46/CE al Regolamento, alle modalità e alla tempistica di attuazione di quest'ultimo, al cambiamento di impostazione e di prospettiva.

Il Regolamento (UE) 2016/679 è stato pubblicato nella Gazzetta Ufficiale dell'Unione del 4 Maggio 2016, entrato in vigore il 25 Maggio dello stesso anno trovando però attuazione solo dal 25 Maggio 2018 data a decorrere dalla quale verranno abrogata la Direttiva 95/46/CE del Parlamento europeo e del Consiglio, del 24 ottobre 1995 e le leggi nazionali.

La tempistica di attuazione del Regolamento pone da oggi e sino al 24 Maggio 2018 un ambito di criticità legato al differimento dell'efficacia, differimento peraltro parziale e all'interno del quale si possono distinguere:

1. un non banale problema di compresenza di due normative profondamente diverse nella forma, nell'impostazione, nella prospettiva – la prima nazionale/individuale, la seconda europea/relazionale – che nel periodo di transizione comportano la messa in atto di tutta una serie di adempimenti nonché e soprattutto di un cambio di mentalità e di approccio verso la protezione dei dati personali dall'adempimento formale alla responsabilità sostanziale;

2. la complessità di tali adempimenti che per un verso rassicurano sulla continuità dell'efficacia delle decisioni assunte vigendo la Direttiva e per un altro invocano la conformità al GDPR81_.

Per molte parti, infatti, il GDPR è immediatamente vincolante laddove, ad esempio, indica che le attività di trattamento già in corso - ed in particolare il consenso, effettuate ai sensi della Direttiva devono essere rese conformi al Regolamento entro i due anni che ne precedono l'attuazione e la contestuale abrogazione della Direttiva; al contempo, tuttavia, l'art. 94 del GDPR - Abrogazione della direttiva 95/46/CE rassicura che i riferimenti alla Direttiva abrogata si intendono trasposti al Regolamento, e che (considerando 171) l'attuazione del GDPR al 25 Maggio 2018 non comporterà la la

81 _{Cfr GDPR considerando 171) Il presente regolamento dovrebbe abrogare la direttiva 95/46/CE. Il trattamento già in corso}

alla data di applicazione del presente regolamento dovrebbe essere reso conforme al presente regolamento entro un periodo di due anni dall'entrata in vigore del presente regolamento. Qualora il trattamento si basi sul consenso a norma della direttiva 95/46/CE, non occorre che l'interessato presti nuovamente il suo consenso, se questo è stato espresso secondo modalità conformi alle condizioni del presente regolamento, affinché il titolare del trattamento possa proseguire il trattamento in questione dopo la data di applicazione del presente regolamento. Le decisioni della Commissione e le autorizzazioni delle autorità di controllo basate sulla direttiva 95/46/CE rimangono in vigore fino a quando non vengono modificate, sostituite o abrogate.

perdita di efficacia degli atti e delle decisioni assunte dalle Autorità Nazionali ai sensi delle leggi nazionali e vigendo la Direttiva.

Il processo di transizione, inoltre, investe più attori: i) gli Stati chiamati a modificare la legislazione sull'Autorità di controllo locali e a valutare cosa trattenere delle leggi nazionali vigenti e cosa abrogare; ii) la Commissione chiamata modificare il Regolamento 2001/45 concernente la tutela delle persone fisiche in relazione al trattamento dei dati personali da parte delle istituzioni e degli organismi comunitari, nonché la libera circolazione di tali dati e la Direttiva e-privacy 2002/58/EC sulle comunicazioni elettroniche per renderli conformi al GDPR; ma iii) soprattutto i titolari del trattamento, nella misura in cui devono rendere conformi al Regolamento i trattamenti già in corso in un contesto in cui quest'ultimo non è attuato e la Direttiva - nonché le leggi di attuazioni nazionali, sono ancora in vigore e pienamente efficaci richiedendo il necessario rispetto;

3. un eccesso flessibilità del Regolamento che solo in parte si rivela uno strumento giuridico garanzia di uniformità e coesione. Le parti in cui, infatti, il Regolamento intreccia la normativa nazionale consentendo alle leggi nazionali di poter integrare, attuare, derogare e sostituire non sono ne poche ne tali da essere trascurate per lo spessore delle argomentazioni trattate. Gli ambiti che rimangono di competenza dei singoli Stati pur in coerenza e in rispetto ai principi generali del Regolamento, sono quelli indicati al Capo IX Disposizioni relative a specifiche situazioni di trattamento82_{; gli Stati}

membri possono intervenire interstizialmente sul regolamento (quindi modificarne le norme) con riguardo all'introdurre ulteriori limitazioni rispetto a quelle già previste per il trattamento di dati genetici, dati biometrici o dati relativi alla salute che siano raccolti con il consenso dell'interessato ma utilizzati anche per finalità diverse rispetto a quelle iniziali83_{; per stabilire l'età compresa tra i 13 (limite minimo fissato dal GDPR) e i 16} anni in caso di consenso prestato dal genitore del minore84_{; oppure intervenire sulle}

82 _{Art. 85 Trattamento e libertà d'espressione e di informazione}

Art. 86 Trattamento e accesso del pubblico ai documenti ufficiali Art. 87 Trattamento del numero di identificazione nazionale Art. 88 Trattamento dei dati nell'ambito dei rapporti di lavoro

Art. 89 Garanzie e deroghe relative al trattamento a fini di archiviazione nel pubblico interesse, di ricerca scientifica o storica o a fini statistici Art. 90 Obblighi di segretezza

Art. 91 Norme di protezione dei dati vigenti presso chiese e associazioni religiose

83 _{Cfr GDPR Art. 9 Trattamento di categorie particolari di dati personali <...>}

comma 4) Gli Stati membri possono mantenere o introdurre ulteriori condizioni, comprese limitazioni, con riguardo al trattamento di dati genetici, dati biometrici o dati relativi alla salute.

Considerando 53) <...> Il diritto dell'Unione o degli Stati membri dovrebbe prevedere misure specifiche e appropriate a protezione dei

diritti fondamentali e dei dati personali delle persone fisiche. Gli Stati membri dovrebbero rimanere liberi di mantenere o introdurre ulteriori condizioni, fra cui limitazioni, con riguardo al trattamento di dati genetici, dati biometrici o dati relativi alla salute, senza tuttavia ostacolare la libera circolazione dei dati personali all'interno dell'Unione quando tali condizioni si applicano al trattamento transfrontaliero degli stessi.

84 _{Cfr GDPR Art. 8 Condizioni applicabili al consenso dei minori in relazione ai servizi della società dell'informazione,}

norme sanzionatorie prevedendone nuove fattispecie oppure fissare il limite minimo della misura (rispetto a quello massimo fissato dal GDPR); gli Stati membri potranno intervenire sulla regolamentazione della Privacy by Design/Default, nella definizione degli indicatori per la valutazione dell'impatto del trattamento e nella definizione delle misure di sicurezza; agli Stati membri è infine attribuito il potere derogatorio sui processi decisionali automatizzati e di profilazione85 _{effettuati senza il consenso} esplicito dell'interessato; sui trattamenti esplicitamente soggetti a limitazione (art. 23 Limitazioni, per tutta la parte attinente la sicurezza nazionale che esula dall'essere ricoperta dalla normativa sulla protezione dei dati personali).

Quanto precede indica come in realtà sia flessibile il Regolamento e quanto permanga sostanziale e complesso l'intreccio con la legislazione dei singoli Stati membri rispetto al quale solo una fattiva cooperazione delle Autorità di Controllo potrà evitare far retrocedere il Regolamento ad una sorta di Direttiva di armonizzazione.

Agli ambiti premessi si aggiunge un punto aperto legato alla più importante caratterizzazione del GDPR e la cui portata andrà ben oltre il biennio di adozione:

4. la prerogativa nativa del GDPR a non voler assolutizzare il diritto alla protezione dei dati personali introduce (tra l'altro) un accrescimento e un ripensamento della responsabilità del titolare86 _{per un verso, e dei poteri delle Autorità di Controllo e del} Comitato Europeo per un altro, ai quali purtroppo non è seguita una compensazione in termini di valorizzazione della responsabilità del soggetto interessato: alla positivizzazione dell'accontability non è stata affiancata una positivizzazione dell'empowerment del soggetto interessato.

Azione, questa, che si sarebbe rivelata strumentale non solo a rafforzare il controllo dei propri dati e il principio di autodeterminazione informativa (elementi questi dell'informazione ai minori, il trattamento di dati personali del minore è lecito ove il minore abbia almeno 16 anni. Ove il minore abbia un'età inferiore ai 16 anni, tale trattamento è lecito soltanto se e nella misura in cui tale consenso è prestato o autorizzato dal titolare della responsabilità genitoriale.

Gli Stati membri possono stabilire per legge un'età inferiore a tali fini purché non inferiore ai 13 anni. 4.5.2016 L 119/37 Gazzetta ufficiale dell'Unione europea IT.

85 _{Cfr GDPR Art. 22 Processo decisionale automatizzato relativo alle persone fisiche, compresa la profilazione}

1. L'interessato ha il diritto di non essere sottoposto a una decisione basata unicamente sul trattamento automatizzato, compresa la profilazione, che produca effetti giuridici che lo riguardano o che incida in modo analogo significativamente sulla sua persona.

2. Il paragrafo 1 non si applica nel caso in cui la decisione: a) sia necessaria per la conclusione o l'esecuzione di un contratto tra l'interessato e un titolare del trattamento; b) sia autorizzata dal diritto dell'Unione o dello Stato membro cui è soggetto il titolare del trattamento, che precisa altresì misure adeguate a tutela dei diritti, delle libertà e dei legittimi interessi dell'interessato;

86 _{In tal senso si richiama, rispetto a quanto già illustrato nel precedente paragrafo 3, che la positivizzazione del principio di}

accountabilty comporta per il responsabile una assunzione di responsabilità che non si esaurisce all'adempiere ad una norma

indubbiamente mantenuti e ampiamente consolidati nel Regolamento) ma anche ad instaurare un meccanismo virtuoso - con al centro il soggetto interessato, volto ad attuare una sorta di appropriazione delle proprie informazioni personali oggetto e derivanti dal trattamento, e soprattutto un accrescimento della consapevolezza dell'importanza e del valore dei propri dati personali.

Il passaggio dalla Direttiva madre al GDPR potrebbe comportare - per le riflessioni che ad oggi si sono potute sviluppare, se non una limitazione sicuramente un mancato accrescimento della centralità dell'utente in ragione del prevalere di quella del titolare e del responsabile al trattamento.

Questa valutazione trova supporto e riscontro in tre elementi del Regolamento:

i. nonostante il Regolamento abbia consolidato il diritto alla protezione dei dati personali come diritto di controllo sugli stessi e posto in essere tramite l'autodeterminazione del soggetto interessato, e nonostante il Regolamento abbia formalizzato un vero e proprio istituto del consenso rendendolo più stringente, non sono seguiti efficaci e nuovi meccanismi di mantenimento dei requisiti di qualità ne interventi sui diritti di controllo azionabili dall'interessato essendo rimasti sostanzialmente invariati rispetto alla Direttiva (fatta eccezione per l'introduzione del diritto alla cancellazione, all'oblio e alla portabilità);

ii. tra le varie responsabilità il GDPR pone in capo al titolare quella di poter valutare la compatibilità delle finalità laddove (in assenza di consenso o ad autorizzazione non ancora rilasciata) il trattamento ne introduca diverse da quella iniziale; il positivo incrocio di tale compatibilità sulla base dei requisiti esposti dall'art. 6 - Liceità del trattamento, comma 487_{, se per un verso rappresenta una determinazione di flessibilità} nella gestione del trattamento per un altro pone in subordine il soggetto interessato nel valutare, nell'essere pienamente consapevole e quindi nell'autorizzare utilizzi e scopi secondari.

iii. i meccanismi di notifica delle violazioni, di fatto, subordinano la comunicazione al

87 _{Articolo 6 - Liceità del trattamento, comma 4}

Laddove il trattamento per una finalità diversa da quella per la quale i dati personali sono stati raccolti non sia basato sul consenso dell'interessato o su un atto legislativo dell'Unione o degli Stati membri che costituisca una misura necessaria e proporzionata in una società democratica per la salvaguardia degli obiettivi di cui all'articolo 23, paragrafo 1, al fine di verificare se il trattamento per un'altra finalità sia compatibile con la finalità per la quale i dati personali sono stati inizialmente raccolti, il titolare del trattamento tiene conto, tra l'altro:

a) di ogni nesso tra le finalità per cui i dati personali sono stati raccolti e le finalità dell'ulteriore trattamento previsto; b) del contesto in cui i dati personali sono stati raccolti, in particolare relativamente alla relazione tra l'interessato e il titolare del trattamento;

c)della natura dei dati personali, specialmente se siano trattate categorie particolari di dati personali ai sensi dell'articolo 9, oppure se siano trattati dati relativi a condanne penali e a reati ai sensi dell'articolo 10;

d) delle possibili conseguenze dell'ulteriore trattamento previsto per gli interessati;

soggetto interessato ad un doppio passaggio valutativo: quello del titolare e quello dell'Autorità di Controllo, sui quali è posta la responsabilità di valutare se e come una avvenuta violazione abbia ricadute dirette e misurabili, in termini di gravità, sui diritti e le libertà delle persone.

Appare singolare infatti che di fronte – ad esempio, ad una perdita di dati personali il titolare non abbia il dovere – in linea di principio, di comunicarlo prioritariamente e con precedenza al soggetto interessato; anzi che non sia tenuto a farlo se risulta improbabile che la violazione dei dati personali presenti rischi per la persona.

Il diritto dell'interessato a conoscere risulta residuale, secondario. La comunicazione all'interessato è infatti – per quanto disposto dagli art. 33 e 34, subordinata all'esito della valutazione della ricorrenza della gravità di rischio per la tutela dei diritti e delle libertà dell'interessato associabile al trattamento, valutazione effettuata dal titolare e dall'Autorità di Controllo.

La ragione per la quale vengono così caricate tanto la responsabilità del titolare, tanto quella delle Autorità di Controllo e il potere di queste, probabilmente discende dalla volontà di base del legislatore europeo a non voler assolutizzare il diritto alla protezione dei dati personali perché si mantenga non ostativo alla funzione sociale e allo scambio delle informazioni.

CAPITOLO 2