Normativa nazionale e GDPR: La legge di bilancio del 27 dicembre 2017 n. 205 interviene su interoperabilità dei formati, portabilità dei dati e legittimo interesse
Con un colpo di coda, nelle pieghe della legge di Bilancio del 27 dicembre 2017 (L. n. 205/2017), all’art. 1, comma 1020 ss. si trovano inserite nuove norme in materia di protezione dei dati personali che mirano a coordinare la normativa interna con quella europea, senza alcun criterio sistematico ed organico.
Si tratta di normativa frammentata, emanata in un articolo elefantiaco che si occupa di ben altre materie e che non trova alcun coordinamento con altri interventi normativi recenti e frazionati: si veda l’art. 13 della L. 25 ottobre 2017 n. 163 (Delega al Governo in materia di protezione dei dati personali), artt. 24 e 29 /29 della L. 167 del 2017 (Legge Europea 2017) ed ora l’art. 1, commi 1020-1025, della L. Bilancio 2017 (L. n. 205/2017).
Il legislatore sta intervenendo in maniera tutt’altro che organica e sistematica, inserendo frettolose norme che mal si conciliano con il disegno organico di revisione normativa.
Si riportano di seguito le nuove norme, che fissano (solamente) alcuni aspetti volti a coordinare la normativa interna con quella di cui al GDPR, nonostante la delega già concessa al Governo per il riordino organico della materia, (con ulteriori stanziamenti economici al Garante, aggiuntivi rispetto alla somma di 1.400.000 euro già stanziati nella Legge europea):
LEGGE 27 dicembre 2017, n. 205
Bilancio di previsione dello Stato per l’anno finanziario 2018 e bilancio pluriennale per il triennio 2018-2020.
Parte I
Sezione I
Misure quantitative per la realizzazione degli obiettivi programmaticiArt. 1
(…)
- ***
- (comma 1020)
Al fine di adeguare l’ordinamento interno al regolamento (UE) 2016/679 del Parlamento europeo e del Consiglio, del 27 aprile 2016, relativo alla protezione delle persone fisiche con riguardo al trattamento dei dati personali, nonché alla libera circolazione di tali dati, di seguito denominato «regolamento RGPD », il Garante per la protezione dei dati personali assicura la tutela dei diritti fondamentali e delle libertà dei cittadini.- ***
- (comma 1021)
- Ai fini di cui al comma 1020, il Garante per la protezione dei dati personali, con proprio provvedimento da adottare entro due mesi dalla data di entrata in vigore della presente legge:
- a) disciplina le modalità attraverso le quali il Garante stesso monitora l’applicazione del regolamento RGPD e vigila sulla sua applicazione;
- b) disciplina le modalità di verifica, anche attraverso l’acquisizione di informazioni dai titolari dei dati personali trattati per via automatizzata o tramite tecnologie digitali, della presenza di adeguate infrastrutture per l’interoperabilità dei formati con cui i dati sono messi a disposizione dei soggetti interessati, sia ai fini della portabilità dei dati ai sensi dell’articolo 20 del regolamento RGPD, sia ai fini dell’adeguamento tempestivo alle disposizioni del regolamento stesso;
- c) predispone un modello di informativa da compilare a cura dei titolari di dati personali che effettuano un trattamento fondato sull’interesse legittimo che prevede l’uso di nuove tecnologie o di strumenti automatizzati;
- d) definisce linee-guida o buone prassi in materia di trattamento dei dati personali fondato sull’interesse legittimo del titolare.
***
(comma 1022)
- Il titolare di dati personali, individuato ai sensi dell’articolo 4, numero 7), del regolamento RGPD, ove effettui un trattamento fondato sull’interesse legittimo che prevede l’uso di nuove tecnologie o di strumenti automatizzati, deve darne tempestiva comunicazione al Garante per la protezione dei dati personali. A tale fine, prima di procedere al trattamento, il titolare dei dati invia al Garante un’informativa relativa all’oggetto, alle finalità e al contesto del trattamento, utilizzando il modello di cui al comma 1021, lettera c). Trascorsi quindici giorni lavorativi dall’invio dell’informativa, in assenza di risposta da parte del Garante, il titolare può procedere al trattamento.
***
(comma 1023)
Il Garante per la protezione dei dati personali effettua un’istruttoria sulla base dell’informativa ricevuta dal titolare ai sensi del comma 1022 e, ove ravvisi il rischio che dal trattamento derivi una lesione dei diritti e delle libertà dei soggetti interessati, dispone la moratoria del trattamento per un periodo massimo di trenta giorni. In tale periodo, il Garante può chiedere al titolare ulteriori informazioni e integrazioni, da rendere tempestivamente, e, qualora ritenga che dal trattamento derivi comunque una lesione dei diritti e delle libertà del soggetto interessato, dispone l’inibitoria all’utilizzo dei dati.***
- (comma 1024)
Il Garante per la protezione dei dati personali dà conto dell’attività svolta ai sensi del comma 1023 e dei provvedimenti conseguentemente adottati nella relazione annuale di cui all’articolo 154, comma 1, lettera m), del codice in materia di protezione dei dati personali, di cui al decreto legislativo 30 giugno 2003, n. 196.***
(comma 1025)
Ai fini dell’attuazione dei commi 1020, 1021, 1022, 1023 e 1024 è autorizzata la spesa di 2 milioni di euro annui a decorrere dall’anno 2018.