La proposta di revisione del Regolamento (UE) 2016/679 (GDPR), di recente avanzata dalla Commissione europea, mira a introdurre modifiche di carattere semplificativo per le piccole e medie imprese (PMI) e per talune imprese a media capitalizzazione (small mid-caps, SMC).
Indice degli argomenti
Semplificazioni e criticità nella revisione del Gdpr
L’intervento si inserisce in una più ampia strategia di alleggerimento burocratico e di efficientamento normativo per agevolare la competitività nel contesto del mercato unico digitale. Tuttavia, emerge la necessità di un riesame sostanziale del regime giuridico che disciplina il trattamento delle categorie particolari di dati personali, come previsto dall’articolo 9 del GDPR.
L’introduzione di una base giuridica contrattuale autonoma, simile a quanto previsto dall’articolo 6, paragrafo 1, lettera b), potrebbe colmare le attuali lacune normative, garantendo una tutela più efficace dei dati sensibili.
Le semplificazioni proposte dalla Commissione europea
Sebbene gli interventi prefigurati, tra cui l’esenzione dalla tenuta del registro delle attività di trattamento ex art. 30(5) GDPR per le organizzazioni con meno di 750 dipendenti (salvi i trattamenti “ad alto rischio”), possano apparire condivisibili sul piano delle intenzioni, essi sollevano non poche perplessità in ordine alla loro effettiva efficacia, rischiando di tradursi in meri spostamenti di onere piuttosto che in una concreta semplificazione procedurale. Tutto ciò, al netto della considerazione per cui – in ogni caso – la tenuta di un registro dei trattamenti funge da navigatore fondamentale per qualunque azienda nel proprio viaggio verso la compliance data protection.
Necessità di una base giuridica contrattuale per i dati particolari
Ben più urgente, invece, appare l’opportunità – sinora trascurata – di attuare una revisione sostanziale del regime giuridico che disciplina il trattamento delle categorie particolari di dati personali di cui all’art. 9 GDPR. In particolare, si avverte la necessità di introdurre una base giuridica contrattuale specifica e autonoma rispetto al consenso, analoga alla previsione contenuta nell’art. 6, par. 1, lett. b), ai fini di sanare una delle più evidenti disarmonie sistemiche dell’attuale struttura normativa del Regolamento.
Il paradosso del consenso nei rapporti contrattuali
Come chiarito anche dal considerando 43 del GDPR, il consenso non può dirsi liberamente prestato se l’esecuzione di un contratto è subordinata al trattamento di dati personali non necessari alla sua esecuzione. Tuttavia, in assenza di un’eccezione contrattuale autonoma per i dati particolari, tale squilibrio si verifica in senso inverso, impedendo di trattare categorie speciali anche quando indispensabili per adempiere al contratto liberamente negoziato tra le parti. D’altronde, sono le parti di un contratto a definirne liberamente il contenuto (v. art. 1322 Cod. Civ.).
Laddove si tratti di dati “particolari” (ad esempio, dati sanitari, dati biometrici, dati che rivelano l’origine razziale o etnica, le opinioni politiche, le convinzioni religiose e così via), opera il principio generale di divieto di trattamento sancito dall’articolo 9(1), salvo che ricorra almeno una delle eccezioni previste dal successivo paragrafo 2. Tali eccezioni – dalla lettera a) alla lettera j) – sono tassative e spesso di difficile applicazione in contesti concreti.
I limiti del consenso come unica base per i dati sensibili
La più ricorrente tra tali basi è, come noto, il consenso esplicito (art. 9(2)(a)). Tuttavia, proprio nel caso di trattamenti fondati su un rapporto contrattuale, l’assenza di una base giuridica “funzionale” e diversa dal consenso per il trattamento delle categorie particolari pone serie difficoltà interpretative e applicative, laddove non possono – in molteplici casi – trovare attuazione le altre eccezioni elencate dall’articolo 9 (obblighi di legge in determinati settori del diritto, interesse pubblico, finalità di cura, e così via).
L‘esenzione dal registro dei trattamenti e il principio del rischio
Tornando, invece, alla modifica effettivamente proposta dalla Commissione, essa riguarda, come accennato, l’esenzione dal registro del trattamento per le organizzazioni al di sotto della soglia dei 750 dipendenti. Tale intervento, destinato a sostituire l’attuale art. 30(5), mira a ridurre l’onere formale a carico di soggetti che, per dimensioni e struttura, risultano maggiormente esposti al peso degli adempimenti amministrativi. Non è un segreto, inoltre, che tale proposta possa rappresentare una mossa politica atta a rimuovere dall’immaginario comune – per lo più extra UE – un’Europa spesso raffigurata quale mostro burocratico.
Tuttavia, tale novità non si traduce in un’eliminazione incondizionata dell’obbligo di tenuta del registro dei trattamenti. Infatti, fanno eccezione quelle organizzazioni che pongono in essere trattamenti di dati personali considerati “ad alto rischio”, nel senso di cui all’articolo 35 GDPR. In altri termini, le PMI e le SMC che pongono in essere trattamenti di dati personali che richiedono una valutazione d’impatto sono tenute a redigere, conservare e mantenere aggiornato un registro delle attività di trattamento. Ciò comporta, necessariamente, un onere di valutazione del rischio connesso ai trattamenti, verificando – attraverso un’analisi della tipologia e finalità dei trattamenti stessi – se gli stessi possano determinare un “rischio elevato per i diritti e le libertà delle persone fisiche”.
Pertanto, la nuova esenzione introduce un meccanismo apparentemente liberatorio, ma in realtà subordinato a valutazioni del rischio che richiedono comunque competenze, risorse e un sistema interno di gestione della privacy. La logica per cui si eliminerebbe un vero obbligo – e non semplicemente un adempimento formalistico – è pertanto dubbia. Ciò rafforza la convinzione secondo cui la revisione del GDPR dovrebbe spostarsi dal piano delle semplificazioni procedurali a quello di un riesame sostanziale di alcune delle sue più controverse opzioni normative.
Le novità nascoste nei considerando
Un’altra novità introdotta dalla proposta della Commissione – in questo caso “nascosta” tra i considerando, precisamente il numero 10 – consiste nella considerazione per cui il trattamento di categorie particolari di dati personali ai sensi dell’eccezione di cui alla lettera b) del paragrafo 2 dell’articolo 9 (i.e. i trattamenti necessari per assolvere gli obblighi ed esercitare i diritti specifici del titolare del trattamento o dell’interessato in materia di diritto del lavoro) non debba comportare di per sé l’obbligo di tenuta del registro.
Novità che si sposerebbe meglio, tuttavia, con l’attuale formulazione del paragrafo 5 dell’articolo 30 (oggetto di modifica da parte della proposta) in quanto attualmente è riposto l’obbligo di tenuta del registro nei confronti di tutti coloro che effettuano un trattamento di dati particolari, ex art. 9. Il nuovo (proposto) paragrafo 5, invece, delinea tale obbligo di tenuta in relazioni ai soli trattamenti che comportano la redazione di una DPIA.
La frattura sistemica tra dati comuni e particolari
L’architettura del GDPR si fonda su una netta distinzione tra il trattamento di dati personali “comuni” (art. 6) e quello di dati appartenenti a “categorie particolari” (art. 9), ovvero quei dati che, per loro natura, sono suscettibili di determinare un rischio rilevante per i diritti e le libertà fondamentali degli interessati. In linea con la tradizione giuridica europea in materia di protezione dei dati, l’art. 9, par. 1, stabilisce un divieto generale di trattamento di tali dati, salvo il ricorrere di una delle eccezioni tassativamente indicate al paragrafo successivo.
Tuttavia, tale struttura normativa finisce per generare, in molteplici ambiti applicativi, un paradosso giuridico. A differenza dell’art. 6, che consente il trattamento dei dati comuni sulla base dell’esecuzione di un contratto cui l’interessato è parte (lett. b), nella disciplina dell’art. 9 non si rinviene un fondamento giuridico corrispondente. Ne deriva che anche laddove il trattamento dei dati particolari sia strettamente connesso all’esecuzione di un contratto, tale trattamento potrà avvenire unicamente mediante il ricorso al consenso esplicito dell’interessato (art. 9, par. 2, lett. a), a meno che non sussistano gli altri presupposti (spesso non applicabili in concreto) previsti dallo stesso paragrafo.
Esempi pratici della lacuna normativa
Le implicazioni pratiche di questa lacuna normativa sono di ampio respiro e impattano su una pluralità di settori economici. Si consideri, ad esempio, l’ambito delle assicurazioni sanitarie. In tale contesto, la corretta esecuzione della prestazione assicurativa – ossia la copertura di rischi legati alla salute dell’assicurato – presuppone la raccolta e il trattamento di dati sanitari. Eppure, pur configurandosi un rapporto contrattuale che implica in modo necessario tale trattamento, l’assenza di una base giuridica “contrattuale” impone al titolare il ricorso al consenso, che tuttavia difficilmente può ritenersi liberamente prestato.
Analogamente, nel settore del wellness, l’accesso a determinati programmi personalizzati presso centri fitness richiede informazioni sullo stato di salute dell’interessato (ad esempio, passati infortuni, condizioni cardiologiche). In mancanza di un’obbligazione legale esplicita che imponga tale trattamento, e non potendo invocare un interesse pubblico o una finalità medica in senso stretto, le strutture si affidano al consenso, che diviene condizione di fatto per l’adempimento contrattuale.
Un ulteriore caso emblematico si riscontra nelle applicazioni digitali di tipo relazionale (es. app di dating), nelle quali la prestazione del servizio non può prescindere dal trattamento dell’orientamento sessuale o di dati che rivelano opinioni personali: tutti elementi costitutivi del matching algoritmico. Anche in queste ipotesi, tuttavia, la base contrattuale appare recessiva e il consenso esplicito rimane l’unico fondamento invocabile.
Ciò comporta uno svuotamento sostanziale dei requisiti di validità del consenso previsti dall’art. 7 GDPR (inter alia, che sia fornito liberamente), senza, però, un’espressa disposizione volta a chiarire l’eccezionalità del caso. Se il trattamento è condizione necessaria per ottenere un servizio cui l’interessato ha inteso aderire, ne deriva un’inversione del principio di volontarietà e un inevitabile ricorso a formule di consenso solo formalmente tali.
Una proposta per l’articolo 9(2)(k): struttura e garanzie
Il gap normativo e sistemico evidenziato potrebbe essere colmato attraverso l’introduzione, nell’articolato dell’art. 9, par. 2, di una nuova lettera (ipoteticamente, la lettera k), modellata sulla struttura della lett. b) dell’art. 6, par. 1. Tale disposizione, in via esemplificativa, potrebbe assumere la seguente formulazione:
«k) il trattamento è necessario per l’esecuzione di un contratto di cui l’interessato è parte o per l’esecuzione di misure precontrattuali su richiesta dello stesso, a condizione che siano adottate misure appropriate, specifiche e proporzionate per tutelare i diritti fondamentali e le libertà dell’interessato.»
Tale formulazione garantirebbe un equilibrio tra esigenze di flessibilità operativa e adeguate tutele sostanziali, in coerenza con i principi sanciti dall’art. 5 GDPR. La clausola condizionante relativa all’adozione di “misure appropriate” può includere – in via meramente esemplificativa – la pseudonimizzazione e/o lo svolgimento di una valutazione di impatto ex art. 35.
Vantaggi concreti di una base giuridica contrattuale autonoma
L’introduzione della proposta lettera k) contribuirebbe ad allineare il regime dei dati particolari a quello della “realtà delle cose”, riducendo il ricorso sistematico a consensi privi del loro significato intrinseco, semplificando i modelli di business in settori dove il trattamento dei dati particolari è necessariamente connesso all’esecuzione contrattuale e rafforzando il concetto stesso di “tutela della privacy” nell’immaginario comune, spesso abbandonato alla formalistica necessità di “spuntare una casella”.
Verso un Gdpr coerente, flessibile e orientato ai diritti
La preannunciata revisione del GDPR rappresenta un’opportunità che l’Unione europea non può permettersi di sprecare. Se l’intento è quello di modernizzare e semplificare la disciplina della protezione dei dati personali in Europa, è essenziale che l’intervento non si limiti a ritocchi marginali o a mere riduzioni burocratiche, ma affronti con coraggio alcune scelte fondative che oggi appaiono non più sostenibili.
L’attuale architettura dell’art. 9 GDPR ha determinato, in prassi, una proliferazione di consensi “imposti” che non rafforzano, ma al contrario sminuiscono l’effettività della tutela. In tale contesto, una base giuridica negoziale, subordinata all’adozione di garanzie sostanziali, avrebbe il pregio di riaffermare i principi cardine del GDPR: liceità, equità, trasparenza, minimizzazione, finalità e proporzionalità. Una riforma in tal senso non costituirebbe un indebolimento della protezione dei dati, bensì uno strumento evolutivo per realizzare un sistema normativo coerente, applicabile e, soprattutto, rispettoso della dignità e della libertà decisionale degli interessati.
Una riforma strutturale per il futuro della protezione dati in europa
Una “versione 2.0” del GDPR dovrebbe dunque puntare non solo alla semplificazione operativa, ma anche – e soprattutto – a una maggiore coerenza strutturale. È solo attraverso tale maturazione normativa che il regolamento europeo potrà adattarsi alle esigenze della società digitale contemporanea, preservando, nel contempo, la sua funzione restitutiva e fondativa dei diritti fondamentali della persona.
