Fa capolino anche il principio comunitario di stabilimento, con una disposizione (art. 1 del decreto, a modifica dell'art. 2 della legge n. 675/96) che ne recepisce una prima parte sottoponendo alla legge italiana anche i trattamenti "invisibili" di dati effettuati da siti web dislocati all’estero su postazioni informatiche situate in Italia (cookies compresi).

Il principio andrà presto completato, con conseguente piena applicazione dell’ulteriore disposizione comunitaria che prevede che ciascun garante nazionale controlli, comunque, tutti i trattamenti che si svolgono sul territorio nazionale, a prescindere dalla legge nazionale ad essi applicabile.

Le informative all’interessato sinora allungate da una discreta lista di responsabili del trattamento risulteranno meglio leggibili, potendovi figurare in calce l’indicazione di un solo responsabile designato.

Per le notificazioni, la semplificazione aveva già dato buon esito, ma era da tempo giunto il momento di aggiornare il modello di notificazione e di trasformare in un ristretto elenco "in positivo" il novero dei soggetti realmente tenuti alla notificazione, in quanto titolari di un trattamento che può comportare in concreto, per modalità o dati, pregiudizi ai diritti e alle libertà dell’interessato.

Ci vorrà qualche mese per completare questa manovra.

Verranno chiesti meno consensi, quando si tratta di attuare obblighi contrattuali e pre-contrattuali.

La contrattualistica andrà infatti verificata e aggiornata anche in chiave di garanzie, e si dovrà essere particolarmente prudenti nel convogliare nell’ordinaria economia contrattuale finalità di trattamento ulteriori e incompatibili.

Occorrerà rivalutare, poi, l’informativa, che da stanco e formale adempimento dovrà caratterizzare sempre più una relazione leale e corretta con l’interessato.

Siamo in dirittura d’arrivo per quanto riguarda il recepimento delle due note direttive comunitarie che esplicitano due principi importantissimi: balance of interests e prior checking (che trovano posto nella legge n. 675/1996 solo come norme-cornice).

Un dibattito costruttivo è auspicabile a proposito dei casi del balance of interests e del prior checking.

Il titolare del trattamento non può utilizzare dati personali senza consenso, solo sulla base di una sua autonoma decisione che ritenga sussistente un non meglio identificato "legittimo interesse" proprio o del destinatario dei dati.

Un dibattito potrebbe aiutare ad individuare criteri ragionevoli per stabilire quando i diritti e le libertà fondamentali dell’interessato (come pure la sua dignità e un suo concorrente legittimo interesse) non siano prevalenti.

Si avverte il bisogno di contributi scientifici anche per i dati "semi-sensibili" che per loro stessa natura (o per il modo con cui sono trattati o per gli effetti che possono determinare) meritano una valutazione preliminare all’inizio del trattamento, di modo che si possano eventualmente prescrivere misure ed accorgimenti a garanzia degli interessati.
Quale livello di rischio per i diritti e le libertà dell’interessato (come pure per la sua dignità) si dovrà prendere in questo caso in considerazione?

Le sanzioni amministrative e penali sono state rimodulate. Previsto il ravvedimento operoso in tema di misure di sicurezza e della incrementata graduabilità dei poteri inibitori del Garante in caso di trattamenti illeciti o non corretti.

I codici deontologici, da strumento di autodisciplina non vincolante si trasformano in vere e proprie fonti secondarie di diritto rilevanti, dinanzi al giudice e al Garante, per stabilire se un trattamento sia lecito o meno.

La disciplina del trattamento di dati in Internet troverà il perno fondamentale nello strumento flessibile del codice deontologico che verrà ufficialmente promosso entro il prossimo 30 giugno.

Di carne al fuoco torna ad essercene molta. Il dibattito è aperto.

RITORNA ALLA SEZIONE GARANTE PRIVACY DI QUESTO SITO