Garante ha valutato la conformità al GDPR del codice per i trattamenti di dati personali per scopi storici

Con il Decreto legislativo 101/2018, il Legislatore ha stabilito una specifica disciplina per i codici di deontologia e buona condotta che erano stati adottati ai sensi dell’art. 12 del codice privacy (che, oggi, è stato abrogato dal suddetto Decreto legislativo, in quanto risultava incompatibile con il GDPR), prevedendo che:

• rispetto al codice per l’esercizio dell’attività giornalistica (All. A.1), quello per il trattamento dei dati personali per scopi storici (All. A.2), quello per scopi statistici nel settore pubblico (All. A.3), quello per scopi statistici e scientifici nel settore privato (All. A.4), quello per svolgere investigazioni difensive o far valere o difendere un diritto in sede giudiziaria (All. A.6), il Garante, entro il 18 dicembre, avrebbe dovuto verificare la conformità delle disposizioni ivi contenute alla nuova disciplina in materia di privacy e rinominare “regole deontologiche” ai sensi dell’art. 2-quater del nuovo codice privacy quelle conformi, pubblicandole in G.U.;
• il codice per i sistemi informativi in tema di credito al consumo, affidabilità e puntualità nei pagamenti (All. A.5) e quello sul trattamento dei dati effettuato a fini di informazione commerciale (All. A.7), invece, hanno una efficacia temporalmente limitata di 6 mesi ed eventualmente di ulteriori 6 mesi, decorsi i quali o verranno sostituiti dai codici di condotta secondo le modalità stabilite dall’art. 40 del GDPR oppure cesseranno di produrre effetti.

Efficacia dei codici di condotta

Il Decreto legislativo ha voluto, in tal modo, affidare al Garante privacy il potere di salvare l’efficacia dei codici di condotta che erano stati adottati durante la vigenza del vecchio codice per la protezione dei dati personali e che risultano oggi conformi alle nuova disciplina privacy prevista dal GDPR e dal relativo Decreto attuativo italiano, in considerazione del fatto che essi nel corso degli anni hanno costituito una importante fonte di disciplina della privacy nei singoli settori dove sono stati adottati.

Ebbene, con provvedimento del 19.12.2018, il Garante per la protezione dei dati personali ha sottoposto il Codice per il trattamento di dati per scopi storici (allegato A2 al Codice), adottato con Provvedimento del Garante n. 8 del 14 marzo 2001, alla verifica di conformità con il l Regolamento Ue 2016/679 sulla protezione dei dati personali, individuando le disposizioni ritenute non conformi al Regolamento e riportando in allegato le disposizioni conformi, ridenominate regole deontologiche per il trattamento a fini di archiviazione nel pubblico interesse o di ricerca storica e prevedendone la pubblicazione in GU.

Il Garante precisa preliminarmente che le regole contenute in detto allegato si applicano ai trattamenti di dati personali effettuati a fini di archiviazione nel pubblico interesse o di ricerca storica e che il rispetto delle medesime costituisce condizione essenziale per la liceità e correttezza del trattamento dei dati personali (avendo cura altresì di precisare che, al contrario, il mancato rispetto delle stesse comporta l’applicazione della sanzione amministrativa pecuniaria fino a 20 milioni di euro o, per le imprese, se superiore, fino al 4% del fatturato mondiale dell’anno precedente.

Gli interventi modificativi

Per quanto riguarda le disposizioni ritenute non conformi, il Garante ha, in primo luogo, deciso di sostituire il Titolo del Capo II in “Disposizioni generali per gli archivisti e liceità dei relativi trattamenti” e la rubrica dell’art. 3 in “Disposizioni generali”, nonché il titolo del Capo III in “Disposizioni generali per gli utenti e condizioni per la liceità dei relativi trattamenti” e la rubrica dell’art. 9 in “Disposizioni generali”, per evitare che le regole ivi contenute possano in futuro andarsi a sovrapporre rispetto ai codici di condotta, che potranno essere adottati ai sensi degli artt. 40 e ss. del GDPR. Inoltre, il Garante ha modificato la rubrica dell’art. 7 in “Esercizio dei diritti”, poiché già l’art. 16 del GDPR comprende anche il diritto di aggiornamento all’interno del diritto di rettifica e integrazione.

In secondo luogo, poiché l’art. 13 del GDPR non prevede alcuna deroga o semplificazione agli obblighi informativi a carico del titolare, il Garante ha eliminato la disposizione di cui all’art. 8 (“Fonti orali”) del Codice in esame che consentiva al titolare del trattamento di fornire un ‘”informativa semplificata” in caso di trattamento di fonti orali. Inoltre, il Garante ha ritenuto non conforme all’art. 14 del GDPR l’art. 11, comma 5, del codice di deontologia, il quale esonerava il titolare dall’obbligo di fornire l’informativa agli interessati nei casi di raccolta di dati personali presso soggetti terzi, quando ciò risulti impossibile o comporti uno sforzo sproporzionato, e in tal caso – contrariamente a quanto previsto dal citato art. 14 del GDPR – non prevedeva delle misure appropriate per tutelare i diritti, le libertà e i legittimi interessi dell’interessato.

Per quanto riguarda le altre disposizioni del Codice, il Garante le ha ritenute conformi al GDPR e alla normativa italiana in materia di privacy e conseguentemente non le ha modificate.

Volume consigliato