GDPR: ecco quando lo “Stato Membro” deve consultare il Garante Privacy

L’art. 36, paragrafo 4 del Regolamento Europeo 2016/679 sulla Protezione dei Dati (di seguito: RGPD o Regolamento, più comunemente definito GDPR) dispone che gli Stati Membri devono consultare il Garante nel momento in cui dispongono, in merito al trattamento di dati personali, in un atto legislativo o in un atto regolamentare se previsto dall’atto legislativo. Tale previsione solleva una serie di quesiti sull’ambito soggettivo e oggettivo di tale potere.

Ambito soggettivo

Lo Stato Membro è il soggetto che con la sua attività normativa e regolamentare si trova a determinare e precisare la base giuridica del trattamento dei dati personali. In particolare, la pubblica amministrazione (di seguito: PA) deve fondare ogni suo trattamento di dati personali esclusivamente sulla base di una norma di legge o di regolamento. Principio già evidente dal testo del Regolamento e rafforzato dall’articolo 2 ter del Codice Privacy come adeguato dal decreto legislativo n. 101 del 10 agosto 2018[1] (di seguito: art. 2 ter Codice Privacy).

Nel processo di elaborazione di tale base giuridica dei trattamenti, su cui si trova ad operare, in particolare la PA, il soggetto titolato ad operare è lo stato Membro che deve consultare il Garante ai sensi di quanto dispone l’art. 36, paragrafo 4 del Regolamento.

Ad ulteriore chiarimento interviene il Considerando 96 “L’autorità di controllo dovrebbe essere altresì consultata durante l’elaborazione di una misura legislativa o regolamentare che prevede il trattamento di dati personali al fine di garantire che il trattamento previsto rispetti il presente regolamento e, in particolare, che si attenui il rischio per l’interessato”.

Ne deriva che destinatario dell’obbligo di consulenza è lo Stato Membro che deve essere inteso nella duplice accezione di:

• Titolare del potere legislativo. Nel nostro ordinamento giuridico la titolarità del potere legislativo[2] spetta al Parlamento e limitatamente al Governo, in due ipotesi previste e disciplinate in modo tassativo dalla Costituzione, in caso di necessità ed urgenza per fronteggiare situazioni impreviste e che richiedono un intervento legislativo immediato o su delega dello stesso Parlamento secondo principi e criteri predeterminati e per un tempo definito [3];
• Titolare del potere regolamentare. Più articolata appare l’individuazione nel nostro ordinamento, della titolarità del potere regolamentare inteso capacità di adottare atti, formalmente trattati come atti di normazione secondaria, che contengono regole generali e astratte nel quadro della legislazione vigente. Restano fuori, dall’ambito di approfondimento in corso, i temi collegati alla riforma del Titolo V della Costituzione repubblicana e il connesso trasferimento di poteri.

In via ordinaria, la potestà di emanare regolamenti, che costituiscono la fonte secondaria di produzione giuridica, è attribuita al Governo che in tal modo provvede a dare attuazione ed integrare le disposizioni legislative, disciplinare l’organizzazione delle pubbliche amministrazioni e può regolare materie che la Costituzione non riserva in via esclusiva alla legge. E, appare necessario sottolineare come il citato art.2 ter del Codice Privacy considera, in maniera paritaria, quale base giuridica del trattamento le leggi e i regolamenti previsti dalla medesima legge.

Ma qui rileva in particolare, sottolineare come nel nostro ordinamento, anche altri Organi dello Stato siano, dalla stessa legge, individuati quali destinatari di poteri di normazione secondaria. Si tratta di un fenomeno assai diffuso nell’esperienza europea dove, in alcuni rilevanti settori della vita sociale sono sottoposti a regole stabilite, con forza cogente, da organizzazioni amministrative preposte, appunto, alla regolazione del settore, nell’esercizio di poteri (di varia specie, accomunati nella nozione di regolazione) ad esse attribuiti dalla legge che si pongono, per lo più, in una posizione di indipendenza dal Governo.

Le Autorità amministrative indipendenti (di seguito: Autorità) esercitano poteri (e adottano atti) conferiti dalle diverse leggi istitutive, che per il contenuto generale e astratto, innovativo dell’ordinamento, delle disposizioni cogenti nelle quali si esprimono sono, nei casi determinati dalla legge, da considerare atti normativi in senso tecnico, cioè sottoposti al regime proprio degli atti normativi (ovviamente, di rango secondario)[4].

Gli atti da loro adottati si compongono, senza dubbio alcuno di prescrizioni cogenti a carattere generale e astratto (che si rivolgono cioè, per usare la definizione più accreditata di Rescigno, a una serie indeterminata e indeterminabile di soggetti e a una serie indeterminata e indeterminabile di comportamenti) tali da far ritenere i loro provvedimenti “atti normativi”. Infatti, sulla base della dottrina prevalente al fine di qualificare tali atti come atti normativi occorre guardare al contenuto di dispositivo dell’atto stesso. Tali sono certamente caratteristiche proprie di taluni (ovviamente non tutti possono essere così qualificati) provvedimenti delle Autorità.

Dall’esame dei diversi atti legislativi inerenti alle Autorità emerge infatti che tutte, proprio per la loro posizione di indipendenza, hanno titolarità di poteri di regolamentazione, sia aventi efficacia interna, sia produttivi di effetti all’esterno, cioè nei confronti dei soggetti, operatori ed utenti del settore economico sociale di competenza.[5]

Le Autorità hanno poteri di regolamentazione interna per quanto concerne l’organizzazione, il personale, la contabilità e lo svolgimento interno delle funzioni; adottando atti che le leggi stesse definiscono «regolamenti», attraverso i quali, appunto, le diverse autorità stabiliscono «le norme concernenti l’organizzazione interna e il funzionamento, la pianta organica del personale di ruolo» (art. 2, co. 28, l. n. 481/95); «l’organizzazione e il funzionamento, i bilanci, i rendiconti e la gestione delle spese, […] nonché il trattamento giuridico ed economico del personale addetto […] le modalità operative e comportamentali del personale, dei dirigenti e dei componenti della Autorità» (art. 1, co. 9, l. n. 249/97, per l’Agcom); «le norme concernenti la propria organizzazione ed il proprio funzionamento» (art. 1, l. 216/74, per la Consob).

Si tratta di poteri che rientrano nell’autonomia organizzativa (generalmente prevista) delle amministrazioni e degli enti pubblici, presentando, nel nostro caso, la particolarità che i relativi atti non sono sottoposti a procedimenti di controllo (peraltro si tratta di amministrazioni, indipendenti, appunto, in ordine alle quali perciò non sussistono poteri di vigilanza in capo alle autorità di governo). Per quanto attiene ai poteri a carattere normativo produttivi di effetti all’esterno, tutte le autorità in esame sono titolari di vaste attribuzioni regolatorie, presentando tuttavia la legislazione vigente, rilevanti differenze quanto al tipo di disciplina.

Innanzitutto, vi sono casi in cui è la stessa legge a stabilire espressamente che determinati atti dell’autorità con rilevanza esterna, abbiano natura di «regolamenti» (ciò vale, in particolare, nel settore bancario, finanziario e assicurativo, le cui normative di settore attribuiscono alle autorità di regolazione il potere di adottare, appunto, «regolamenti» per disciplinare determinate materie). Tuttavia, anche in questi casi, solo talvolta la legge stabilisce con precisione le modalità, i criteri e i contenuti. Il più delle volte vi sono solo previsioni generiche su cui si fonda il potere normativo delle autorità.

Ad esempio, l’Isvap «adotta ogni regolamento necessario per la sana e prudente gestione delle imprese o per la trasparenza e la correttezza dei comportamenti dei soggetti vigilati» (art. 5 Codice assicurazioni private), mentre l’Agcom ha il compito di garantire mediante regolamenti, «l’applicazione delle norme legislative sull’accesso ai mezzi e alla infrastrutture di comunicazione» (art. 1, co. 6. lett. c) l. n. 249/97). Sui mercati finanziari, Consob e Banca d’Italia, nell’esercizio delle funzioni di vigilanza regolamentare, sono tenute all’osservanza di alcuni generali principi stabiliti dalla legge (art. 6, co. 1, Tuf) circa la proporzionalità, l’agevolazione dell’innovazione e della concorrenza, e così via.

In questi casi, la legge attribuisce espressamente potestà regolamentare con rilevanza esterna alle autorità. Mentre in altri casi, i poteri normativi si desumono da generiche attribuzioni di compiti all’autorità, con l’indicazione degli scopi e dell’interesse pubblico da perseguire e tutelare nel settore.

È il caso del settore dell’energia laddove la legge n. 481/95, all’art. 2, co. 5, stabilisce che “Le Autorità[6] operano in piena autonomia e con indipendenza di giudizio e di valutazione; esse sono preposte alla regolazione e al controllo del settore di propria competenza” e la giurisprudenza del Consiglio di Stato (VI, 29/5/02, n. 2987), ha fondato proprio su questa generica previsione la legittimità dell’esercizio da parte dell’Aeeg di poteri normativi, volti a «dettare prescrizioni atte a garantire la sicurezza degli impianti» di erogazione gas[7].

Per il settore delle comunicazioni, si può citare l’art. 42 del Codice delle comunicazioni elettroniche[8] che, nel definire i «poteri dell’Autorità in materia di accesso ed interconnessione», stabilisce, tra l’altro, che «nel perseguire gli obiettivi stabiliti dall’articolo 13, l’Autorità incoraggia e garantisce forme adeguate di accesso, interconnessione e interoperabilità dei servizi, esercitando le proprie competenze in modo da promuovere l’efficienza economica e una concorrenza sostenibile e recare il massimo vantaggio agli utenti finali» e che gli obblighi e le condizioni imposti dall’autorità «sono obiettivi, trasparenti, proporzionati e non discriminatori».

Sono questi tutti casi in cui le norme attributive alle Autorità indipendenti di poteri che possono tradursi, ed effettivamente si traducono in atti a contenuto normativo, spesso, dunque, consistono di mere attribuzioni di potere, mentre solo in pochi casi dettano prescrizioni specifiche cui le autorità debbono attenersi nella adozione dei relativi atti (a fronte delle quali si esprime successivamente, come subito si mostra, il sindacato giurisdizionale sugli atti stessi). È per lo più prevista per gli atti di questo tipo, normativi o comunque a contenuto generale, la pubblicazione in G.U. Gli altri atti a carattere puntuale, di competenza delle medesime autorità, in genere vengono pubblicati nelle forme di pubblicazione interna.

Da sottolineare proprio per il settore dell’energia come accanto ad attribuzioni di potestà regolatoria troviamo assegnazione di competenze “ordinarie” decisorie di reclami, istanze e segnalazioni presentate dagli utenti o dai consumatori[9]. E proprio per segnare la differenza con il potere regolamentare, in questi casi sicuramente il procedimento vede Arera come titolare del trattamento con tutte attribuzioni a suo carico previste dal Regolamento europeo (sul tema meritano autonomo approfondimento i casi di assegnazione di attribuzioni ope legis).

Ambito oggettivo

Sicuramente rileva che le Autorità indipendenti ricevono dallo stesso diritto europeo ampie attribuzioni di poteri di regolazione, alcuni dei quali certamente ascrivibili alla categoria dei poteri normativi[10] sicuramente superando così alcune perplessità che ancora resistono nel loro inquadramento costituzionale. Né in questa lettura del complesso quadro normativo esistente tra RGPD, norme di settore e altri riferimenti rilevanti, si può trascurare anche un elemento fattuale. Una diversa interpretazione snaturerebbe nei fondamentali dello stesso ruolo dell’Autorità e distrarrebbe risorse che devono essere finalizzate ai compiti di regolazione come previsti dalla norma nazionale e dalle norme e dai regolamenti europei.

Un altro punto di attenzione è la portata oggettiva del paragrafo 4 dell’art. 36: rilevante è infatti determinare quando e relativamente a quale tipologia di trattamenti di dati personali il Garante deve essere consultato durante l’esame di una proposta di legge o atto regolamentare inerente al trattamento. Sicuramente la norna si inquadra nella generale attività di collaborazione del Garante alle attività del Parlamento e del Governo che trae origine dall’articolo 154, comma 4, del d.lg. n. 196/2003 (che riproduce l´art. 31, comma 2, della legge n. 675/1996) stabilisce che il Presidente del Consiglio dei ministri e ciascun ministro debbano consultare il Garante all’atto della predisposizione delle norme regolamentari e degli atti amministrativi suscettibili di incidere in materia di protezione di dati personali.

Potere consultivo i cui confini sono stati sicuramente ampliati e generalizzati dall’art. 57, paragrafo 1, lett. c) del RGPD laddove sussiste una generalizzata potestà di intervento al fine di garantire una giusta misura tra l’obbiettivo al quale ambiscono i detti atti normativi e il rispetto del diritto alla protezione dei dati.

Potere consultivo esteso a tutti i titolari delle attività di trattamento che devono consultare l’autorità di controllo prima di procedere al trattamento “qualora la valutazione d’impatto sulla protezione dei dati ……. indichi che il trattamento presenterebbe un rischio elevato in assenza di misure adottate dal titolare del trattamento per attenuare il rischio”[11] con l’obbiettivo, che pervade tutto il regolamento, di ridurre al massimo possibile i rischi per i diritti e le libertà delle persone fisiche in un clima di collaborazione tra Garante e aziende mirato ad evitare violazioni dei dati e garantirne la protezione.

Per tornare alla previsione dell’art. 36.4 non appare rilevare il suo inserimento nella Sezione 3 del RGPD che contempla i casi di trattamenti di dati personali che meritano una tutela rafforzata dall’ordinamento, in quanto presentano un rischio elevato per i diritti dei soggetti interessati.

Il tema non trova soluzione nel provvedimento adottato dal Garante per individuare l’elenco delle tipologie dei trattamenti da sottoporre a valutazione d’impatto.[12] 

Nemmeno sovviene il Considerando 96 che, al contrario con la sua genericità con il fine di “attenuare il rischio per l’interessato” porta ad una interpretazione estensiva delle tipologie di trattamenti da portare in consultazione preventiva del Garante.

Una risposta definitiva la troviamo nel Provvedimento del Garante n. 54 dell’11 febbraio 2021[13] laddove nel sanzionare il Ministero dello Sviluppo Economico anche per la mancata richiesta di parere preventivo all’adozione dei provvedimenti oggetto di esame, delinea chiaramente una sua   interpretazione estensiva della norma in esame.

Emerge ora evidente che al Garante, quindi, debbano essere inviati tutti gli atti normativi (misure legislative o regolamentari) che prevedano il trattamento di dati personali. Sarà compito del Garante di valutare la necessità di esprimersi preventivamente in merito al trattamento del suo parere sulla base delle singole fattispecie[14]. Sicuramente il Codice Privacy, all’art. 154 para. 5, nel prevedere il termine di 45 giorni decorso il quale interviene il meccanismo del silenzio-assenso, ha risolto eventuali conflitti o ritardi nell’azione amministrativa.

In conclusione, l’attività consultiva del Garante prevista dall’art. 36.4 del Regolamento deve essere sollecitata dagli Stati membri ogni qualvolta un atto legislativo o regolamentare dispone in merito al trattamento di dati personali. Il termine “Stato Membro” va inteso nell’accezione più ampia -secondo la normativa propria di ciascun paese- e comprende parlamento, governo o altro organo deputato ad intervenire, individuato dall’atto legislativo primario e titolato, pertanto, ad adottare la misura regolamentare.

[1] cfr. Art. 2-ter (Base giuridica per il trattamento di dati personali effettuato per l’esecuzione di un compito di interesse pubblico o connesso all’esercizio di pubblici poteri). – 1. La base giuridica prevista dall’articolo 6, paragrafo 3, lettera b), del regolamento è costituita esclusivamente da una norma di legge o, nei casi previsti dalla legge, di regolamento” del Decreto legislativo 10 agosto 2018, n. 101 – Disposizioni per l’adeguamento della normativa nazionale al le disposizioni del Regolamento UE 2016/679.

[2] Costituzione Articolo 70 “La funzione legislativa è esercitata collettivamente dalle due Camere”.

[3] Non rilevano nell’attuale analisi  le ipotesi in cui il potere legislativo spetta al popolo sovrano, attraverso l’istituto del referendum abrogativo e, in materia costituzionale, attraverso l’istituto del referendum confermativo delle leggi costituzionali. In generale dunque il potere di iniziativa legislativa viene attribuito a ciascun parlamentare, al popolo, attraverso l’istituto della proposta di legge di iniziativa popolare effettuata tramite la raccolta di almeno 50 000 firme, al Consiglio nazionale dell’economia e del lavoro, ai Consigli regionali e al Governo (il presidente della Repubblica autorizza la presentazione alle Camere dei disegni di legge di iniziativa del Governo).

[4] G.U. Rescigno, L’atto normativo, Bologna, Il Mulino 1998; e dello stesso A., le cospicue note in «Giur. Cost.», Atti normativi e atti non normativi. Riflessioni suggerite dalla sent. n. 569 del 1988 della Corte costituzionale (ivi, 1988); Forma e contenuto di regolamento (ivi, 1993). L. Carlassare, (voce) Regolamento (dir. Cost.), in Enc. Dir., V, agg. 2001, e ivi, i riferimenti a p. 960. 

[5] A. Predieri, L’erompere delle autorità amministrative indipendenti, Passigli editori 1997.

[6] La legge 14 novembre 1995, n. 481 Norme per la concorrenza e la regolazione dei servizi di pubblica utilità. Ha istituito le Autorità di regolazione di servizi di pubblica utilità, competenti, rispettivamente, per energia elettrica e il gas e per le telecomunicazioni.

[7] Nella sentenza, commentata da S. Santoli, in «Giur. Cost.», 2003, I, p. 1785, il Consiglio di Stato ha qualificato come «atto normativo» la delibera Aeeg n. 236 del 2000.

[8] D.lgs. 1 agosto 2003, n. 259.

[9] cfr. art. 2, comma 12, lett. m della legge 14 novembre 1995, n. 481 Norme per la concorrenza e la regolazione dei servizi di pubblica utilità. Istituzione delle Autorità di regolazione dei servizi di pubblica utilità.

[10] Le autorità in esame trovano tutte un fondamento nel diritto europeo, con una disciplina che in alcuni casi espressamente ne stabilisce il requisito dell’indipendenza e l’obbligo di assicurare mezzi e risorse per svolgere i compiti assegnati.

[11] cfr. art.36 del RGPD.

[12] cfr. provvedimento Garante n. 467 dell’11 ottobre 2018  

[13]“A complicare il caso in esame, è infine la circostanza, come già evidenziato (cfr. supra par. 2), che – nonostante l’evidente ricaduta sulla protezione dei dati personali – sia il Decreto del Ministro per lo sviluppo economico del 7/5/2019, sia il Decreto Direttoriale del XX (che il MISE sostiene avere natura “regolamentare”) sono stati adottati senza il parere del Garante, obbligatoriamente previsto dagli artt. 36, par. 4; 57, par. 1, lett. c); 58, par. 3, lett. b), del RGPD (cfr. anche considerando n. 96). Tale elemento costituisce anche un vizio procedurale dei predetti atti amministrativi.”

[14] Occorre sottolineare come il Regolamento conferisca al Garante più ampi poteri consultivi:

• cfr. RGPD art.57, par. 1, lett c) fornisce consulenza, a norma del diritto degli Stati membri, al parlamento nazionale, al governo e ad altri organismi e istituzioni in merito alle misure legislative e amministrative relative alla protezione dei diritti e delle libertà delle persone fisiche con riguardo al trattamento;
• cfr. RGPD art. 58, par. 3, lett. b) rilasciare, di propria iniziativa o su richiesta, pareri destinati al parlamento nazionale, al governo dello Stato membro, oppure, conformemente al diritto degli Stati membri, ad altri organismi e istituzioni e al pubblico su questioni riguardanti la protezione dei dati personali.