Ma il decreto legislativo 196/2003 si deve ancora indicare quando si chiede il consenso al trattamento dei dati personali, oppure no? Ci si deve riferire soltanto al GDPR 679/2016?
Domanda caustica, perché quando si pone rimangono tutti bruciati.
Il GDPR 679/2016, Nuovo Regolamento Europeo sui Dati Personali, è stata una piccola rivoluzione europea in termini di privacy e avrebbe dovuto sensibilizzare tutti coloro che fanno parte dell'area Schengen adeguando e standardizzando le differenze territoriali in merito alla protezione dei dati.
Proviamo a prendere la storia dall'inizio che ci aiuterà sicuramente a capire perché il 196/2003 è ancora importante, quando e dove si usa, ma soprattutto, chi lo deve usare.
Nel 1995 fu emanata una direttiva dell'allora Comunità Europea, la numero 95/46/CE, che riguardava il primo trattato comunitario sui dati personali e che venne accolta da ciascun paese dell'area euro in maniera autonoma con dispositivi tiepidi.
Per essere più chiari i paesi della comunità non percepivano la necessità di questo nuovo ambito normativo sui dati personali e non ritenevano così importante adeguarsi se non con norme dell'ultimo minuto per fare contenta Bruxelles.
C'è anche da dire che l'assorbimento della direttiva 95/46/CE non aveva alcuna forma di obbligatorietà.
Il contributo dell'Italia alla direttiva CE 46/1995 sarà l'emanazione della legge 675/1996 che porterà alla più famosa normativa privacy conosciuta come Decreto legislativo 169/2003.
Non è questa la sede per elencare i difetti della legge 675/96, ma diciamo sinteticamente, che rientra tra quelle storie di diritto che fanno scuola per nonsense.
La Legge n. 675 del 31 dicembre 1996 - Tutela delle persone e di altri soggetti rispetto al trattamento dei dati personali - richiese una lunga serie di aggiustamenti in corso d'opera con una discreta serie di decreti legislativi, decreti ministeriali, sentenze, leggi speciali e chi più ne ha più ne metta, nel più alto stile italiano di Cetto la Qualunque in Qualunquemente.
Tra un decreto ed una sentenza nel 2003 si arriverà al concepimento forzato su tifo dell'Europa del famoso D.Lgs. 196/2003, che conosciamo come legge-privacy.
Il D.Lgs. 30 giugno 2003, n.196 - Codice in materia di protezione dei dati personali (in GU, Serie Generale, n. 174 del 29-07-2003) - è stato sicuramente un passo importante soprattutto perché ha fatto breccia nei cuori della nuova società civile di internauti che, dopo aver regalato sull'allora MSN i numeri delle proprie carte credito per un affare inesistente o per aver pagato il viaggio della nuova fidanzata russa che non si è mai presentata, hanno compreso che i dati personali andavano tutelati veramente ed in modo diverso.
Questa nuova opportunità normativa, introdotta dal D.Lgs 196/2003, ha dato il via nel primo periodo ad una infinita serie di segnalazioni, argomentazioni, richieste, contestazioni, modifiche, che molte volte non avevano nulla a che fare con la privacy e venivano confuse con riservatezza che disorientavano ancora di più il pubblico sugli ambiti di trattamento.
Un esempio.
Provvedimento n. 1149822: "Nel quadro di questa attività vengono impartite legittime prescrizioni relative alle operazioni di raccolta, agli orari che gli utenti devono osservare o ad altre modalità; sono a volte disposti controlli amministrativi che possono comportare anche un trattamento di dati personali relativi a cittadini o contravventori, rilevabili dai sacchetti stessi di rifiuti o dall'ispezione del loro contenuto. I reclami, le segnalazioni e i quesiti pongono problematiche comuni che vanno opportunamente esaminate congiuntamente".
Ad oggi un provvedimento come quello appena letto fa sorridere ma, va detto, che il decreto legislativo 196/2003 è stato sicuramente un passo decisivo per la privacy nel nostro paese, forse, una delle cose più importanti introdotte dall'inizio del secolo e che ha di fatto avuto una influenza diretta nelle vite di tutta la comunità modificando abitudini, normative, sviluppo commerciale, social e tanto altro.
La rivoluzione normativa del D.Lgs. 196/2003 è sicuramente la figura del Garante nel suo ruolo istituzionale di riferimento per il rispetto del trattamento dei dati dei cittadini. Unico ente che riconosce di fatto il diritto naturale dei dati e l'importanza di salvaguardarli in difesa dell'individuo. Anche in questo, la legge sulla privacy è stata unica nel suo genere. La costituzione del Garante Privacy non è stata una cosa semplice.
Bisogna considerare che a norma del D.Lgs. 196/2003 i quattro rappresentanti del Garante sono a nomina diretta del Parlamento per rappresentare tutte le parti sociali.
Questo ci fa capire quanto la figura dell'ente privacy sia importante ma anche il ruolo politico che ricopre nel panorama nazionale.
Per molti anni il Garante Privacy ha navigato a vista in una forma pubblica ibrida in cerca di identità (si direbbe oggi), non è che si capisse molto bene che ruolo avesse, prodigandosi in continui provvedimenti che non sembravano avere grossi effetti applicativi, anzi, le decisioni emanate avevano l'effetto di aprire sempre nuovi quesiti anche politici diventando forse troppo cavillosi e di difficile accoglimento per chi gli avrebbe dovuti applicare.
Tutto questo però ha avuto un senso, ha permesso che il Garante Privacy italiano, successivamente al D. Lgs. 196/2003, ampliasse, un passo alla volta, la sua sfera di influenze per diventare sempre più centrale in un panorama normativo nazionale labirintico alla Manzoni (Avv. Azzeccagarbugli), costellato da una infinità di codici, leggi speciali, dispositivi e sentenze contraddittorie dove, solo la Privacy, talvolta riusciva a trovare una quadra.
L'arrivo del GDPR 679/2016 - Regolamento generale sulla protezione dei dati (UE) 2016/679 del Parlamento Europeo e del Consiglio del 27 aprile 2016 - è stata una liberazione!
È servito per riorganizzare tutto il codice privacy italiano e riordinare in primis lo spirito della legge sulla privacy, il fine stesso, della regolamentazione sui dati personali.
Per fortuna non è un testo scritto in Italia. Nel 2018 accade l'inevitabile, cioè, il GDPR 679/2016 che aveva fatto sognare la accountability viene assorbito dall'Italia con D.Lgs. 101/2018 - "Disposizioni per l'adeguamento della normativa nazionale alle disposizioni del regolamento (UE) 2016/679 del Parlamento europeo e del Consiglio, del 27 aprile 2016, relativo alla protezione delle persone fisiche con riguardo al trattamento dei dati personali, nonché alla libera circolazione di tali dati e che abroga la direttiva 95/46/CE (GU Serie Generale n. 205 del 04-09-2018)".
Più di due anni di lavoro per emanare il D.Lgs. 101/2018, ma perché?
Dobbiamo pensare a centinaia di migliaia di delibere nel corso di tredici anni di attività del Garante sul D.Lgs. 196/2003 diventato enorme e per molti versi obsoleto. Cosa fare? La decisione è stata coraggiosa, abrogare l'80% degli articoli del codice privacy e sostituirli definitivamente con un nuovo riferimento normativo.
Così è stato, solo tra il Capo I e Capo II del D.Lgs. 196/2003, dei primi 48 articoli, ne vengono abrogati 46.
Questa operazione di ristrutturazione della normativa privacy ha portato però a pensare che il D.Lgs. 196/2003 fosse stato abrogato e sostituito con il nuovo GDPR e D.Lgs. 101/2018 senza che ci fosse più bisogno di applicarlo, ma questo è parzialmente vero.
Il D.Lgs. 196/2003 rimane importante per tante cose, come: le definizioni statutarie dell'istituzione privacy e le attribuzioni e definizioni dell'autorità Garante che regola, sovrintende, vigila e nel caso sanziona le condotte non in linea con la privacy. Quindi il D.Lgs. 196/2003 riguarda l'autorità nei suoi poteri istituzionali, le finalità del Garante, i principi privacy per la pubblica amministrazione e le responsabilità degli enti pubblici nel trattamento dei dati personali di tutti i cittadini.
In sintesi, possiamo sicuramente affermare che il D.Lgs. 196/2003 ha una importanza istituzionale e funge da statuto per il Garante e indica le linea guida per la pubblica amministrazione.
A supporto del consolidamento del ruolo istituzionale del Garante ci sono: il decreto-legge n. 139/2021, passato alla storia come "decreto accessi", e la L. 205/2021 che intervengono sulle forme amministrative della privacy, nel trattamento da parte degli enti, nella produzione di atti amministrativi con dati personali, rafforzando il potere di intervento dell'Autorità Garante per tematiche privacy di pubblico interesse.
Per tirare le somme di quanto detto sinora, un'azienda deve inserire o far riferimento nella propria informativa privacy, anche sul sito web, il D.Lgs. 196/2003?
No, perché seppur costituente non è di riferimento per i parametri di trattamento per i dati personali dei privati. Tranne in poche eccezioni per pubblico interesse.
Per tutti i trattamenti di aziende e privati, titolari del trattamento nei confronti degli interessati, i testi da citare sono sempre il GDPR 679/2016 ed il D.Lgs. 101/2018.
Il D.Lgs. 196/2003 deve essere obbligatoriamente citato da tutti gli enti pubblici che non devono dimenticare i riferimenti al GDPR 679/2016 e al D.Lgs. 101/2018 per i diritti degli interessati, tra i quali: cancellazione, distruzione e l'importantissimo diritto all'oblio, con specifici riferimenti normativi a leggi speciali che eventualmente non permettano l'applicazione della privacy.
G.L. Rabita
tenrabita@libero.it
• Foto: 123rf.com