Cookie free: nessun "biscotto" per spiare i lettori

InterLex - RIVISTA DI DIRITTO TECNOLOLOGIA INFORMAZIONE

 

GDPR, impossibile trattare dati giudiziari: la legge non c'è

Privacy e sicurezza - Paolo Ricchiuto* - 25 giugno 2018

L’iter per la approvazione del decreto di armonizzazione tra Codice privacy e GDPR è quasi concluso. Le Commissioni parlamentari e il Garante hanno reso i pareri. Ora la palla passa al Governo, mentre restano molte questioni aperte.

Dovremmo dire che ci siamo.

Seppure attraverso un percorso a dir poco accidentato, torna sul tavolo del Consiglio dei Ministri lo Schema di decreto legislativo per l’armonizzazione, corredato di tutti i pareri previsti dalla legge-delega 163/17: quello del Garante, reso il 22 aprile e quelli delle Commissioni speciali del Senato e della Camera, pubblicati il 22 scorso.

Sono state settimane dense di audizioni (anche da parte dei soggetti più impensati), ed è tutto sommato piuttosto miracoloso che, in un panorama così frastagliato, le Commissioni siano riuscite a condensare in due documenti facilmente leggibili le proprie considerazioni, alla cui lettura potremo dedicarci nei prossimi giorni.

E ora? Se si ritiene legittima la proroga di tre mesi del termine assegnato al Governo per l’esercizio della delega (il che, a parere di chi scrive, continua ad esser dato un po’ troppo per scontato), il Consiglio dei Ministri ha tempo fino al 21 agosto per emanare il decreto, ritrovandosi in pancia un testo già riscritto rispetto a quello approvato dal precedente Governo il 21 aprile (visto che lo schema di decreto inviato alle Camere, come noto, è caratterizzato da una silente inversione di rotta su due scelte fondamentali, come la mancata abrogazione del Codice e il mantenimento della sanzione penale prevista dall’art. 167).

Staremo a vedere se il Governo ci costringerà tutti a studiare sotto l’ombrellone, o se vi sarà una accelerazione, mai tanto necessaria.
Nel frattempo, chiunque si stia misurando con l’applicazione pratica del GDPR, incrocia continuamente problemi di eccezionale rilievo che, orfani di un raccordo normativo, portano alla paralisi.

Un esempio: tante aziende, in sede di assunzione dei dipendenti, chiedono il rilascio del certificato del casellario giudiziale. Nel regime del Codice privacy, questa pratica poteva considerarsi legittima sulla base del combinato disposto dell’art. 27 (che prevedeva, come presupposto di liceità del trattamento di un dato giudiziario, la esistenza di una norma di legge, ovvero la autorizzazione del Garante), e dell’autorizzazione generale n. 7, nella quale l’Autorità aveva abilitato questo tipo di trattamenti, purché coperti da una sponda all’interno del contratto collettivo (CCNL) applicabile.

La partita quindi – a parte casi specifici in cui si poteva contare su una sponda normativa – si giocava nell'analisi dei CCNL di riferimento, e poteva condurre a ritenere legittimo o meno il trattamento, a seconda se il CCNL stesso contemplasse o meno l' acquisizione dal casellario.

Con l’avvento del GDPR, la situazione cambia radicalmente, atteso che a norma dell’art. 10 solo una norma di legge può abilitare al trattamento degli ex-dati giudiziari (oggi identificati dal legislatore europeo come "dati relativi a condanne penali e reati"). Non può quindi più essere il Garante, con una sua autorizzazione, a legittimare il trattamento, e l’autorizzazione n. 7 dovrebbe quindi considerarsi di fatto inservibile, e ciò anche a dispetto del leggendario considerando 171, che se da un lato, è vero, fa salve le autorizzazioni fino a quando le stesse non vengono modificate, dall’altro certo non può consentire l'esistenza in vita di un’autorizzazione come la n. 7, adottata sulla base di un substrato normativo del tutto incompatibile con la nuova norma dell’art. 10 GDPR.

Risultato: chi vuole richiedere il casellario giudiziale in sede di assunzione, oggi, non può far leva sull’autorizzazione n. 7 e quindi, anche se esiste nel CCNL applicato a quel rapporto di lavoro una norma in tal senso, la stessa non può più considerarsi sufficiente, e l’eventuale trattamento del dato ex-giudiziario concreta un illecito.

Potremmo fare altre decine di esempi, per rafforzare un'unica, grande domanda: fate presto! Il più presto possibile. La "certezza giuridica ed operativa" prevista dal considerando n. 6, sono giornalmente messe in discussione, e se è vero che il decreto di armonizzazione non risolverà tutti i problemi (compreso, forse, quello qui segnalato), almeno in tanti ambiti aiuterà.

* Avvocato

Per intervenire su questo argomento clicca qui
Inizio pagina     Indice di questa sezione      Home
InterLex su Facebook
Arma di sorveglianza di massa che limita la nostra libertà. Possiamo difenderci?
Un piccolo libro per capire come le tecnologie "smart" invadono la nostra vita privata e influenzano le nostre scelte.
Per saperne di più
Leggi le prime pagine
Le recensioni
Stampato o ebook
Acquistalo su Amazon
Storie italiane di spionaggio
IL COLONNELLO REY
Il colonnello Rey su Facebook

Pubblicazione iscritta nel registro della stampa del Tribunale di Roma con il n. 585/97 - Direttore responsabile Manlio Cammarata - P. IVA 13001341000

© Manlio Cammarata/InterLex 2018 -  Informazioni sul copyrightPrivacy