GDPR, il nuovo Regolamento europeo 2016/679 è partito il 25 maggio. Riflessioni dell’Avv. Giungato.

Come tutti i regolamenti dell’Unione Europea è immediatamente efficace nei Paesi membri e quindi le sue previsioni sono da subito operanti anche in Italia. Tuttavia, in ragione della diversa regolamentazione della materia nei differenti Stati, è necessario un atto normativo interno di armonizzazione delle norme nazionali di settore, quindi nel nostro caso quelle dell’ordinamento italiano, in contrasto con la disciplina approvata dal Parlamento Europeo: in Italia il testo di riferimento è il c.d. Codice della Privacy.

Al momento il decreto legislativo di armonizzazione non è ancora stato emanato, nonostante il Regolamento UE 2016/679 prevedesse nei fatti quale termine ultimo il 25 maggio 2018. Quindi, su quella che sarà la definitiva disciplina italiana sulla protezione dei dati personali, allo stato possiamo fare solo delle previsioni, atteso che il Regolamento Europeo 2016/679 contiene essenzialmente principi di carattere generale, cui gli ordinamenti interni devono adeguarsi, adottando altresì normative di dettaglio.

È comunque assai probabile che il “nostro” Codice della Privacy non venga abrogato in toto dal Legislatore, per cui è verosimile che la disciplina finale sarà la risultante di una sorta di combinato disposto, ovvero di più provvedimenti diversi, ognuno ispirato a una sua ratio differente, circostanza che certamente non contribuirà a fare chiarezza nell’applicazione concreta che delle norme faranno gli operatori.

La ratio dell’attuale disciplina italiana non è, infatti, pienamente sovrapponibile a quella europea, atteso che – in estrema sintesi – il Garante in Italia si è fatto espressione di una forte tutela dei diritti del singolo, garantiti “a prescindere” e per molti aspetti sottratti alla disponibilità dell’interessato, sia pur nel suo interesse.

La normativa europea, che pure si propone «la protezione delle persone fisiche con riguardo al trattamento dei dati di carattere personale», si basa, invece, su un principio diverso, riassumibile in quello che il regolamento definisce “accountability”. In buona sostanza: ognuno è il padrone dei propri dati e, in definitiva, può disporne come vuole.

Si confrontano, insomma, due approcci differenti che in fondo si sono succeduti nel corso dei secoli. Il diritto alla privacy – che in qualche modo anticipa quello alla protezione dei dati personali – si afferma, infatti, verso la seconda metà dell’’800 quando la Borghesia, unitamente ad uno spazio materiale, comincia a rivendicare anche uno spazio interiore esclusivo, e si caratterizza essenzialmente come tutela del singolo dalle “intrusioni” altrui e per così dire della collettività (“ius excludendi alios”), anche in termini di controllo delle informazioni in uscita dalla sfera privata verso l’esterno.

Con la Dichiarazione Universale dei diritti dell’Uomo del 1948, dopo gli orrori delle due guerre mondiali, la Comunità internazionale avverte l’esigenza di ribadire che «Nessun individuo potrà essere sottoposto ad interferenze arbitrarie nella sua vita privata, nella sua famiglia, nella sua casa, nella sua corrispondenza…».

Quarant’anni dopo, con la legislazione dell’Unione Europea, si afferma il diritto non solo alla “privacy” ma anche alla tutela dei dati personali con un approccio differente: la Convenzione di Strasburgo approvata dal Consiglio d’Europa e in vigore dal 1° Ottobre 1985 riconosce la necessità di «conciliare i valori fondamentali del rispetto della vita privata e della libera circolazione delle informazioni tra i popoli».

Nel nuovo regolamento UE 2016/679, espressione di tale diversità di sistema è quella che in ambito sanitario si pone come la più radicale differenza tra l’attuale normativa italiana e la disciplina europea: ovvero la necessità di consenso dell’interessato per il trattamento dei dati indispensabili per finalità di tutela della sua salute e incolumità fisica, attualmente richiesto in Italia dall’art. 76 del Codice della Privacy e che non trova piena corrispondenza nella normativa Europea, che pure prevede la necessità di misure di garanzia.

L’art. 9 del GDPR – relativo al trattamento dei dati particolari (tra cui i genetici i biometrici e quelli relativi alla salute) – prevede infatti che non sia necessario il consenso «per finalità di medicina preventiva o del lavoro, valutazione della capacità lavorativa del dipendente, diagnosi, assistenza o terapia sanitaria o sociale ovvero gestione dei sistemi e servizi sanitari o sociali sulla base del diritto dell’Unione o degli Stati membri o conformemente al contratto con un professionista della sanità».

Nondimeno i singoli Stati possono «mantenere o introdurre ulteriori condizioni, comprese limitazioni, con riguardo al trattamento di dati genetici, dati biometrici o dati relativi alla salute» (comma 4). Ovviamente stiamo parlando del consenso al trattamento dei dati che nulla ha a che vedere con quello informato al trattamento sanitario, che è e resta indispensabile per la liceità della prestazione professionale da rendere al paziente.

Viene quindi da chiedersi un po’ provocatoriamente: il diritto alla privacy è un diritto del singolo o è diventato un interesse della collettività? Una domanda che troverà presto risposta. Nel frattempo, per una riflessione sul tema potrebbe, rivelarsi particolarmente significativa una rilettura di Fernando Pessoa, che scriveva: «Se dopo la mia morte volessero scrivere la mia biografia, non c’è niente di più semplice. Ci sono solo due date: quella della mia nascita e quella della mia morte. Tutti i giorni fra l’una e l’altra sono miei».

 

 

Tags: