Non è banale interrogarsi sul valore che hanno le autorizzazioni generali rilasciate dal Garante per la privacy. A parere di chi scrive è chiaro che l’autorizzazione generale non possa essere ritenuta una sorta di base giuridica dalla quale derivare la possibilità di non chiedere consenso per i trattamenti ivi indicati.
Ciò emerge dal combinato disposto di norme attuali e di norme abrogate. Non è in effetti semplice la comprensione del quadro normativo ma, partendo dall’analisi letterale dei testi, risulta sicuramente tutto più chiaro.
Indice degli argomenti
La normativa
A tal riguardo, l’ormai abrogato articolo 26 del Codice Privacy recitava: “I dati sensibili possono essere oggetto di trattamento solo con il consenso scritto dell’interessato e previa autorizzazione del Garante, nell’osservanza dei presupposti e dei limiti stabiliti dal presente codice, nonché dalla legge e dai regolamenti”. Come visto, nell’epoca “pre GDPR” per trattare il dato sensibile era necessario il consenso e l’autorizzazione. Va da sé quindi che, essendo il consenso la base giuridica richiesta per tali trattamenti, l’autorizzazione doveva considerarsi come una sorta di certificazione -da parte dell’autorità- della bontà del trattamento.
Per capire la norma è necessario osservare il contesto in cui si collocava. Difatti, è chiaro che la normativa rifletteva necessariamente l’approccio burocratico dell’Italia degli scorsi decenni, dove prima di agire era necessario munirsi di autorizzazione dalla Pubblica Amministrazione. Diverso è invece lo scenario attuale in cui il principio di accountability responsabilizza il titolare del trattamento, liberandolo da vincoli burocratici ma addossandogli il peso di eventuali sbagli. Proprio per questo, all’epoca, per evitare che l’Authority venisse invasa da richieste di permessi a trattare i dati sensibili, furono pubblicate delle autorizzazioni generali per quei trattamenti più comuni e che dovevano ritenersi degni di approvazione a priori (una su tutti l’autorizzazione per motivi di gestione del rapporto di lavoro).
L’obiettivo delle autorizzazioni
Ora, il GDPR come visto non prevede questa sorta di doppio controllo base giuridica più autorizzazione. Nel Regolamento è difatti sufficiente munirsi di una valida base giuridica ex art. 9, senza necessità di chiedere concessione alcuna. Ma allora perché sono state rinnovate queste autorizzazioni? Il rinnovo è dovuto al fatto che l’art. 21 del d.lgs. n. 101/2018 ha demandato al Garante il compito di individuare, con proprio provvedimento di carattere generale, le prescrizioni contenute nelle autorizzazioni generali già adottate, relative alle situazioni di trattamento di cui agli artt. 6, par. 1, lett. c) ed e), 9, par. 2, lett. b) e 4, nonché al Capo IX, del Regolamento, che risultano compatibili con le disposizioni comunitarie.
Probabilmente il legislatore ha inteso la locuzione “individuare le prescrizioni che risultano compatibili” interpretandola come se vi fosse una sorta di obbligo ad “aggiornare le autorizzazioni generali togliendo il superfluo e i rinvii a norme abrogate”. Del resto, il rinvio alle situazioni di trattamento di cui all’art. 6 e all’art. 9 ritenute legittime in presenza di un obbligo normativo, non giustifica la pubblicazione di queste autorizzazioni generali a patto che queste non siano considerate come delle vere e proprie fonti di diritto al pari della legge. La domanda allora potrebbe essere: “sono le autorizzazioni generali una fonte del diritto?”. Qualcuno potrebbe ritenere che si tratti di fonti secondarie ma è innegabile che un simile approccio comporterebbe una forzatura di quello che è, come abbiamo visto, il ruolo storico delle autorizzazioni generali nel nostro ordinamento. Ad ogni modo, ci troviamo ad oggi con autorizzazioni generali che, di fatto, risultano superflue. Non autorizzano alcunché e non fungono da base giuridica.
Il collocamento nel quadro normativo
Una buona soluzione potrebbe essere quella di ritenerle utilizzabili come una sorta di linee guida del Garante italiano, per mezzo delle quali interpretare la normativa. Una simile conclusione parrebbe ottimale e coerente con quello che è lo scenario storico nonché con lo scenario attuale in cui al GDPR è riservato il compito di individuare le basi giuridiche e al Garante è fornito il ruolo di interprete autorevole del Regolamento (oltre che, naturalmente, di autorità di controllo).
A supporto di questa visione potremmo portare come esempio l’art 9 comma 2 paragrafo b) del GDPR il quale ritiene non applicabile il divieto di trattare dati particolari quando “il trattamento è necessario per assolvere gli obblighi ed esercitare i diritti specifici del titolare del trattamento o dell’interessato in materia di diritto del lavoro e della sicurezza sociale e protezione sociale, nella misura in cui sia autorizzato dal diritto dell’Unione o degli Stati membri o da un contratto collettivo ai sensi del diritto degli Stati membri, in presenza di garanzie appropriate per i diritti fondamentali e gli interessi dell’interessato”. Dalla disamina della norma, sin da subito emergono dubbi sull’effettivo valore da attribuire all’espressione “diritti ed obblighi in materia di diritto del lavoro”.
Quali trattamenti includere
Chiediamoci per esempio se il trattamento di dati contenuti in curricula, ad esempio, è da ricomprendere in questa base giuridica. Sul punto, l’art. 111 bis ha espressamente autorizzato il trattamento dei dati personali presenti nei CV spontaneamente inviati, senza nulla dire in merito all’estensione della base giuridica di cui all’art.9, lasciando quindi un grosso interrogativo a riguardo. Tale interrogativo è stato successivamente dissipato dalla autorizzazione generale che ha precisato che il trattamento dei dati particolari/sensibili contenuti nei CV spontanei deve ritenersi legittimo, al pari di quelli personali, così come previsto dall’art. 111 bis del Codice.
In questo caso è stato evidente il ruolo dell’autorizzazione generale la quale ha interpretato il GDPR chiarendo il perimetro di ciò che può essere ricompreso e di ciò che invece va escluso dall’ambito di applicazione della base giuridica di cui all’art. 9 comma 2 b).
Conclusione
In conclusione, dalla lettura di quanto sopra risulta chiara la funzione delle autorizzazioni generali del Garante Privacy in epoca “post GDPR”. Non più formalità burocratica, come nella disciplina previgente, ma aiuto a chi si approccia alla nuova normativa.
Un ruolo che si comprende solo andando nel dettaglio della lettera valutandola nel contesto dello scenario pre e post Regolamento europeo.
