Se tratti dati personali con nuove tecnologie o strumenti automatizzati in forza di un interesse legittimo, comportati bene: invece del carbone potresti ricevere un’inibitoria.
25 maggio 2018: GDPR. Lo sanno tutti.
Forse, però, non è altrettanto noto che il Garante, nella sua “Guida all’applicazione del Regolamento europeo in materia di protezione dei dati personali”, ha confermato che verrà meno l’obbligo di eseguire le notificazioni di alcune tipologie di trattamento (art. 37 Codice Privacy), nonché di avanzare un’istanza di verifica preliminare dei trattamenti che presentano «rischi specifici per i diritti e le libertà fondamentali, nonché per la dignità dell’interessato, in relazione alla natura dei dati o alle modalità del trattamento o agli effetti che può determinare» (art. 17 Codice Privacy).
Forse non è altrettanto noto neppure che il GDPR limita le consultazioni preliminari dell’Autorità a quei trattamenti che, all’esito della valutazione d’impatto, possono presentare un «rischio elevato in assenza di misure adottate dal titolare del trattamento per attenuare il rischio» (art. 36 GDPR).
Forse non è altrettanto noto nemmeno che il legittimo interesse del titolare del trattamento può essere una base giuridica alternativa al consenso dell’interessato, e che il considerando 47 precisa che addirittura «può essere considerato legittimo interesse trattare dati personali per finalità di marketing diretto».
Bene: ora che lo sapete, dimenticatevene.
Tutti coloro che, all’intramontabile “Una poltrona per due”, hanno preferito la lettura della Legge di Bilancio approvata dal Senato nella seduta del 23 dicembre 2017 e, nonostante le cene sicuramente importanti, sono riusciti ad arrivare fino ai commi 1020-1025 dell’art. 1, hanno potuto prendere coscienza di una significativa novità in materia di privacy.
I titolari del trattamento che trattano dati personali per via automatizzata o tramite tecnologie digitali in forza di un legittimo interesse, qualunque ne sia il fine, dovranno (i) darne tempestiva comunicazione al Garante, inviando un’informativa – da redigere secondo il modello che sarà predisposto – relativa a oggetto, finalità e contesto del trattamento, e (ii) attendere il via-libera dell’Autorità (dopo 15 giorni, vale il silenzio-assenso): nel caso in cui, dall’istruttoria, emerga il rischio di una lesione dei diritti e delle libertà dei soggetti interessati, il Garante potrà disporre una moratoria e, nei casi più gravi, inibire il trattamento.
Siamo, in buona sostanza, di fronte a una (nuova!) notificazione preventiva che, a differenza di quelle ancora in vigore, comporta (anche!) una verifica preliminare obbligatoria (e non rimessa alla responsabilità del titolare) del trattamento da parte del Garante. Con buona pace delle promesse e rassicurazioni dell’Autorità, oltreché degli intenti di semplificazione perseguiti dal GDPR e, forse, in certa misura anche del principio di accountability.
Il fine perseguito è chiaro, e può anche essere considerato nobile: limitare i casi di ricorso all’interesse legittimo come base giuridica del trattamento di dati personali, per cercare di garantirne una maggiore tutela. Ma, in questo caso, si può davvero dire che il fine giustifica i mezzi? E che i mezzi raggiungono il fine?
Prendiamo il caso di un trattamento svolto per via automatizzata o tramite tecnologie digitali che può presentare il rischio di una lesione dei diritti e delle libertà degli interessati. Il titolare ha due alternative: basarlo su un proprio legittimo interesse, con obbligo di verifica preliminare e rischio di un’inibitoria; oppure, ricorrere a una diversa base giuridica, tendenzialmente il consenso dell’interessato, con conseguente possibilità di procedere al trattamento senza passare dal Garante.
Se il titolare sceglie la prima opzione, e il trattamento viene inibito, quello stesso titolare può, o non può, svolgere lo stesso trattamento ricorrendo a una diversa base giuridica?
E se il titolare sceglie direttamente la seconda via, e non risultano necessarie né la valutazione d’impatto (art. 35 GDPR), né conseguentemente la consultazione preventiva dell’Autorità (art. 36 GDPR), il consenso dell’interessato è una base giuridica sufficiente per il trattamento pur in presenza di rischi che avrebbero potuto determinare un’inibitoria?
Ogni risposta ai dubbi che solleva la novità normativa non può che attendere i provvedimenti che il Garante dovrà adottare entro due mesi dall’entrata in vigore della Legge di Bilancio: uno, sulle modalità di verifica della presenza di adeguate infrastrutture; l’altro, sulle «linee-guida o buone prassi in materia di trattamento dei dati personali fondato sull’interesse legittimo del titolare».