Consultazione preventiva: comma 4 e 5 dell’art 36 del Regolamento (UE) 2016/679 - Riskmanagement

Normative europee

La consultazione preventiva: analisi sul comma 4 e 5 dell’art. 36 del Regolamento (UE) 2016/679

È obbligatorio consultare l’Autorità Garante ogni qualvolta vengano redatti atti legislativi o regolamentari che incidano sul trattamento di dati personali e quando il titolare del trattamento ponga in essere un’attività di trattamento in esecuzione di un compito di interesse pubblico.

23 Set 2021

Benedetta Fantauzzi

Data Protection Officer

Chiara Romeo

Compliance & Privacy Specialist

L’art. 36 del Regolamento (UE) 2016/679, c.d. GDPR, prevede in linea generale che l’istituto della consultazione preventiva si renda necessario quando il titolare del trattamento, prima di procedere all’attività di trattamento dei dati personali, a seguito di una valutazione di impatto i cui rischi residuali risultino alti, decida di consultare l’autorità di controllo al fine di ottenerne parere scritto.

Come si evince dalla lettura dell’articolo, il concetto di rischio correlato al trattamento è centrale in quanto, ai sensi del paragrafo 1, il rischio inerente che risulti essere alto determina la necessità di una richiesta di “consulenza” da parte dell’Autorità di controllo, che a sua volta, in ottemperanza al paragrafo 2 del medesimo articolo, renderà disponibile al titolare il proprio parere in merito al trattamento entro i termini previsti dal GDPR. In particolare, l’intervento dell’Autorità si porrà come necessario nel momento in cui il rischio residuale risulti essere ancora alto, ossia a causa della mancata identificazione dello stesso da parte del titolare o nonostante l’applicazione di misure di mitigazione/attenuazione.

Quando è necessario intervenire con una consultazione preventiva ex art 36 comma 4 e 5 del GDPR

Partendo nella nostra analisi dal comma 4 dell’art 36 del GDPR emerge che dalla valutazione della normativa di riferimento e degli atti preparatori al D.lgs 101/2018, ai fini dell’emanazione di una proposta legislativa che comporti il trattamento dei dati personali, sia obbligatorio passare in consultazione preventiva con l’Autorità di controllo al fine che la stessa renda parere.

WHITEPAPER
Gestione dei contratti e GDPR: guida all’esternalizzazione di attività dei dati personali
Legal
Privacy

Nello specifico, con riguardo all’art 36 comma 4, l’obbligo di consultazione preventiva è previsto durante l’elaborazione di atti legislativi o regolamentari, nel caso in cui siano previsti trattamenti di dati personali, al fine di garantire che il trattamento previsto rispetti il GDPR e, in particolare, che si attenui il rischio per l’interessato.

A ribadire quanto appena esposto il Considerando 96 del GDPR dispone che “L’autorità di controllo dovrebbe essere altresì consultata durante l’elaborazione di una misura legislativa o regolamentare che prevede il trattamento di dati personali al fine di garantire che il trattamento previsto rispetti il presente regolamento e, in particolare, che si attenui il rischio per l’interessato”.

Tale previsione è altresì rafforzata dalle previsioni di cui all’art 2-ter del Codice Privacy, dove “la base giuridica prevista dall’articolo 6, paragrafo 3, lettera b), del regolamento è costituita esclusivamente da una norma di legge o, nei casi previsti dalla legge, di regolamento” – e dall’art. 2-sexies dello stesso Codice, dove “i trattamenti delle categorie particolari di dati personali di cui all’articolo 9, paragrafo 1, del Regolamento, necessari per motivi di interesse pubblico rilevante ai sensi del paragrafo 2, lettera g), del medesimo articolo, sono ammessi qualora siano previsti dal diritto dell’Unione europea ovvero, nell’ordinamento interno, da disposizioni di legge o, nei casi previsti dalla legge, di regolamento che specifichino i tipi di dati che possono essere trattati, le operazioni eseguibili e il motivo di interesse pubblico rilevante, nonché le misure appropriate e specifiche per tutelare i diritti fondamentali e gli interessi dell’interessato.”

Si vengono, quindi, ad ampliare le forme di partecipazione del Garante al procedimento di regolazione; infatti già il Codice richiedeva la consultazione al Garante in caso di predisposizione delle norme regolamentari e degli atti amministrativi suscettibili di incidere sulla materia (cfr. art. 154, comma 4, del Codice Privacy).

Tale “controllo” è risultato utile in quanto ha conformato le disposizioni all’esame del Garante ai principi in materia di protezione dei dati personali, eliminando possibili divergenze interpretative e applicative.

La nuova attività di consultazione, includendo fonti di rango primario degli atti, consente quindi un’applicazione del principio della privacy by design anche al processo normativo.

La predetta prassi, come sopra descritto, trova oggi conferma nella citata disposizione contenuta nell’art 36, par. 4 e nell’art. 57, par 1, lett c) del GDPR secondo cui l’Autorità Garante “fornisce consulenza, a norma del diritto degli Stati membri, al parlamento nazionale, al governo e ad altri organismi e istituzioni in merito alle misure legislative e amministrative relative alla protezione dei diritti e delle libertà delle persone fisiche con riguardo al trattamento”.

consultazione preventiva

Il ruolo dell’Autorità Garante

Il combinato disposto delle norme sopracitate ha evidenziato come sia centrale in tale materia il ruolo dell’Autorità Garante.

Inoltre, dall’analisi della normativa di riferimento e degli atti preparatori al D.lgs 101/2018, emerge, che oltre alla predetta ipotesi di consultazione, il comma 5 dell’art. 36 del GDPR vada ad aggiungere un ulteriore elemento di analisi, disponendo che il diritto degli Stati membri possa prescrivere che i titolari del trattamento consultino l’Autorità di controllo, e ne ottengano l’autorizzazione preliminare, in relazione al trattamento da parte di un titolare del trattamento per l’esecuzione, di un compito di interesse pubblico, tra cui il trattamento con riguardo alla protezione sociale e alla sanità pubblica.

In altre parole, il legislatore europeo ha consentito a ciascuno Stato di richiedere che il titolare consulti l’Autorità per trattamenti effettuati in esecuzione di un compito di interesse pubblico.

In tal caso è sempre necessario che il titolare ottenga l’autorizzazione preliminare dell’Autorità di controllo, la quale inoltre, in relazione all’art. 2-quinquiesdecies ( che attua – più o meno espressamente – l’art. 36 co 5 del GDPR o meglio l’ art. 6, par 2 che concede agli Stati la facoltà di introdurre disposizioni più stringenti per il trattamento dati in esecuzione di un obbligo legale o di un compito di interesse pubblico) può – in relazione al trattamento che presenta rischi specifici per l’esecuzione di un compito di interesse pubblico, con provvedimenti di carattere generale adottati d’ufficio, prescrivere misure e accorgimenti a garanzia dell’interessato, che il titolare del trattamento è tenuto ad adottare.

La lettura del combinato disposto dell’articolo 36, paragrafo 5 del GDPR e dell’art. 2-quinquiesdecies del Codice però non sembrerebbe essere, almeno agli occhi di chi scrive, di immediata comprensibilità. Ciò in quanto la normativa nazionale si riferisce espressamente “ai trattamenti svolti per l’esecuzione di un compito di interesse pubblico che possono presentare rischi elevati”, mentre il legislatore europeo sembrerebbe affermare, nell’incipit dell’articolo, attraverso la locuzione “Nonostante il paragrafo 1” esattamente il contrario, rectius, non limitarsi a tale ambito di applicazione. Detto paragrafo difatti rinvia nuovamente al concetto di rischio elevato, che determina per il titolare l’obbligo di richiesta di consultazione preventiva, come già sopra descritto.

Pertanto, ci si chiede se, posto che nella gerarchia delle fonti del diritto è pacifico quale sia la disciplina prevalente, quale sia l’interpretazione da dare.

In quest’ottica un supporto è dato dalla consapevolezza che il trattamento di dati personali che trova il suo fondamento in un compito di interesse pubblico risulta essere un trattamento particolarmente meritevole di attenzione per ovvie ragioni, che prescindono di fatto dall’assessment di rischio che ad esso è correlato. Pertanto, la posizione del legislatore europeo sembrerebbe essere nella sostanza quella più prudente e cautelativa, dovendo il titolare premurarsi di “fare un passaggio” con l’Autorità di controllo anche quando il rischio relativo al trattamento non sembri essere elevato e quindi, almeno apparentemente, non critico.

Mancata consultazione, quali sanzioni

Per la mancata consultazione dell’Autorità nei casi citati è prevista una sanzione amministrativa pecuniaria fino a un massimo di 10 milioni di euro o, se il titolare è un’impresa, fino al 2% del fatturato mondiale totale annuo dell’esercizio finanziario precedente se superiore ( art. 83, par. 4, lett a)).

I termini per il parere

Il parere in relazione alla consultazione obbligatoria sulla legislazione primaria, regolamentare e amministrativa è reso nel termine di 45 giorni dal ricevimento della richiesta.

Benché il termine di 45 gg di cui sopra non sia da considerarsi perentorio, è prassi che il Garante, al fine di agevolare il legislatore, renda parere entro i predetti termini, anche in via informale, qualora valuti che per il trattamento da esaminare non vi siano particolari misure correttive da adottare.

Il parere a seguito di consultazione preventiva conseguente a valutazione d’impatto sulla protezione dei dati è reso in 8 settimane dalla ricezione della richiesta di parere, prorogabile di ulteriori 6 settimane. La decorrenza dei termini può essere sospesa fino all’ottenimento da parte del Garante delle informazioni richieste ai fini della consultazione.

Conclusioni

In relazione alla nostra analisi, appare evidente come sia obbligatorio procedere alla consultazione preventiva dell’Autorità Garante ogni qualvolta (i) vengano redatti atti legislativi o regolamentari che incidano sul trattamento di dati personali e (ii) quando il titolare del trattamento ponga in essere un’attività di trattamento in esecuzione di un compito di interesse pubblico.

WHITEPAPER
Minacce alle infrastrutture: come mettersi in sicurezza? Una guida per gli IT Manager
Sicurezza
Network Security
@RIPRODUZIONE RISERVATA
F
Benedetta Fantauzzi
Data Protection Officer
R
Chiara Romeo
Compliance & Privacy Specialist
Argomenti trattati

Approfondimenti

G
GDPR
R
risk management

Articolo 1 di 5