La nuova legge sammarinese sulla tutela dei dati personali.
La Legge 171/2018 come strumento strategico per l’uscita di San Marino dalla condizione di paese terzo.
Con la Legge denominata “Protezione delle persone fisiche con riguardo al trattamento dei dati personali” del 21 dicembre 2018, n. 171, la Repubblica di San Marino si è dotata di una legislazione moderna in materia di protezione dei dati personali permettendole così di parificarsi normativamente agli standard UE post Regolamento (UE) 2016/679 (“GDPR”).
Non è un mistero che la “Repubblica più antica del mondo” stia intraprendendo un deciso percorso di sviluppo di una legislazione all’avanguardia nel settore dell’economia digitale (da ultimo si veda il Decreto Delegato 27 febbraio 2019 n.37 “Norme sulla tecnologia blockchain per le imprese”) al fine di diventare un hub tecnologico attrattivo per imprese UE e non. Ovviamente per raggiungere tale obiettivo una legge sulla tutela dei dati delle persone fisiche basata sul “modello GDPR” come la Legge 171/2018 diventa un tassello fondamentale del quadro normativo ove opereranno sempre più attori del settore digitale.
Ma non solo.
Con la L.171/2018 San Marino ha fatto un notevole passo avanti verso il superamento della condizione attuale di “paese terzo” in materia di trasferimento di dati personali. E’ noto che tale condizione, comportando maggiori oneri burocratici ed economici per le imprese sammarinesi, si traduce concretamente in uno svantaggio competitivo di queste nei confronti dei loro concorrenti nell’UE ove i trasferimenti sono esenti da vincoli. Tutto questo, in piccolo Stato come San Marino, viene amplificato dalla circostanza (comune a molti piccoli Stati) che le imprese locali attive nei settore industriale e dei servizi operano in strettissimo contatto con l’Italia e altri paesi (UE e non).
Nell’ottica di uscita dalla condizione di “paese terzo”, la L.171/2018 è quindi uno step necessario e strategico (non più rinviabile) per mantenere l’elevata integrazione di San Marino con l’UE nonché per “coronare” le più che legittime aspettative di hub tecnologico per imprese digitali che con i dati fanno business.
Legge 171/2018 e GDPR: ambito di applicazione materiale e territoriale (cenni).
In attesa di vedere la decisione di adeguatezza da parte della Commissione UE si può comunque rilevare che, in virtù del già accennato strettissimo rapporto tra imprese RSM e imprese UE (italiane in primis), per un numero rilevante di imprese sammarinesi il rispetto (l’adeguamento) al GDPR era già obbligatorio prima dell’entrata in vigore della L. 171/2018.
Infatti, l’art. 3, par. 2 GDPR (e del Considerando 23) ne prescrive il rispetto anche a titolari siti in paesi extra UE quando i trattamenti riguardino l’offerta di beni e/o servizi a cittadini dell’UE (id est i soggetti interessati dell’UE), indipendentemente dall’obbligatorietà di un pagamento oppure riguardino il monitoraggio del comportamento degli interessati nella misura in cui tale comportamento abbia luogo all’interno dell’UE.
Se si verificano dette condizioni, l’art. 27 GDPR impone al titolare e/o al responsabile stabilito a San Marino di:
- nominare per iscritto un Rappresentante nel territorio dell’UE (e precisamente nello Stato membro ove si trovino gli interessati e i cui dati sono trattati nell’ambito dell’offerta di beni e/o servizi o il cui comportamento è monitorato).
oppure
- non procedere a tale nomina se sussiste l’occasionalità del trattamento o che lo stesso non riguardi dati particolari e dati relativi a condanne penali e reati e avvenga su larga scala oppure ancora se detto trattamento sia improbabile possa presentare rischi per i diritti e le libertà delle persone fisiche (tenendo conto del contesto, ambito di applicazione e finalità del trattamento).
L’obbligo di nomina di un Rappresentante nell’UE inoltre non si applica alle autorità o ai pubblici organismi.
Dunque, ogni impresa sammarinese che operi con l’UE, dovrebbe procedere alla verifica dei trattamenti che pone in essere al fine di intraprendere le corrette scelte ed adeguarsi alla normativa.
Parimenti, la L.171/2018 si applicherà ai trattamenti di dati (es. su offerta di beni/servizi a San Marino indipendentemente da un pagamento) di interessati che si trovino a San Marino effettuati da titolari o responsabili del trattamento che non siano stabiliti a San Marino (art. 3, comma 2°).
Dunque le imprese estere che offrendo loro beni/servizi a soggetti interessati situati a San Marino effettuano trattamenti di dati di quest’ultimi dovranno adeguarsi alla L.171/2018.
Vista la comunanza di principi che la L. 171/2018 condivide con il GDPR, pare ovvio che le imprese che avranno già provveduto ad adeguarsi allo stesso dovranno effettuare uno sforzo minore rispetto alle imprese già non GDPR compliant.
Da ultimo, sull’ambito di applicazione materiale della L. 171/2018, risulta singolare il comma 3° il quale prescrive che «il trattamento di dati personali effettuato da persone fisiche per fini esclusivamente personali è soggetto all’applicazione [della L. 171/2018] solo se i dati sono destinati ad una comunicazione sistematica o alla diffusione». Tale previsione sembra differire lievemente dall’art. 2 del GDPR il quale prescrive che esso «non si applica ai trattamenti di dati personali […] effettuati da una persona fisica per l’esercizio di attività a carattere esclusivamente personale o domestico;»
Legge 171/2018: abrogazioni tacite ed espresse – istituzione di un’autorità sammarinese di controllo sulla protezione dei dati personali dotata di potere sanzionatorio.
La Legge 171/2018 abroga tutte le norme in contrasto con la stessa, ed espressamente un parte della Legge 70/1995 (che a sua volta aveva riformato la legge 27/1983 che regolamentava la raccolta informatizzata dei dati personali) la quale permane in vigore solo con riferimento alla raccolta informatizzata di dati delle persone giuridiche.
Vengono inoltre eliminati alcuni riferimenti all’Autorità di Garanzia dell’Utenza (tutelava il diritto alla riservatezza dei dati informatici e non dell’utenza dei servizi pubblici e privati e, più in generale, dei cittadini e dei consumatori.) sostituiti dal riferimento all’Autorità Garante per la protezione dei dati personali (“Garante”) istituita e regolamentata al titolo VI della Legge 171/2018 (artt. 52-64).
Al Garante, autorità pubblica autonoma, indipendente e collegiale composta dal Collegio (costituito da 3 membri di nominati dal Consiglio Grande e Generale) e l’Ufficio nonché dotata di una propria struttura organizzativa, è affidato l’incarico di sorvegliare l’applicazione della L. 171/2018.
Tra i compiti più rilevanti affidati dalla Legge al Garante (art.58) si trovano: un ruolo consultivo verso il Consiglio Grande e Generale ed il Congresso di Stato (rispettivamente l’organo legislativo ed esecutivo di San Marino) in merito alle misure legislative ed amministrative sulla protezione dei dati, la cooperazione con le autorità di controllo estere, esame dei reclami degli interessati e delle loro associazioni, adozione delle clausole tipo e altre clausole contrattuali, incoraggia e fornirà pareri sui codici di condotta.
Tra i poteri più rilevanti affidati al Garante (art. 59) si trovano: facoltà di ingiungere ai titolari e responsabili di fornire ogni informazione necessaria per l’esecuzione dei compiti del Garante (inclusa la facoltà di accedere a tutti i dati e le informazioni necessarie nonché richiedere l’esibizione di documenti) nonché di notificare ai suddetti le presunte violazioni di legge, condurre indagini, avvertire ed ammonire titolari e responsabili, ordinare la rettifica, cancellazione o limitazione dei trattamenti, ordinare la sospensioni dei flussi di dati verso un destinatario in un paese terzo.
Da ultimo, il Garante (art. 59, lett. i)) potrà «infliggere una sanzione amministrativa pecuniaria [previste al Titolo VIII della L.171/2018] in aggiunta alle misure di cui al presente comma [art. 59] o in luogo di tali misure, in funzione delle circostanze di ogni singolo caso».
Brevemente, sull’entità delle sanzioni, l’art. 72, 1° e 2° comma della L.171/2018 sono basati sull’art. 83, 4° e 5° comma GDPR con la peculiarità del dimezzamento dell’entità del minimo edittale.
Infatti «la violazione [degli obblighi del titolare e del responsabile del trattamento ex artt. 7, 11, da 24 a 40, 43 e 44 e degli obblighi dell’organismo di certificazione (art. 43 e 44) e degli obblighi dell’organismo di controllo (art. 42)] è soggetta a sanzioni amministrative fino a euro cinque milioni, o per le imprese, fino al 2% del fatturato totale annuo dell’esercizio precedente se superiore […]» (art. 72, 1° comma L.171/2018).
Parimenti l’art. 72, 2° comma L. 171/2018 prevede che «la violazione [dei principi di base del trattamento incluse le condizioni sul consenso, i diritti degli interessati, i trasferimenti di dati personali a un destinatario in un paese terzo, l’inosservanza di un ordine, di una limitazione o di un ordine di sospensione del Garante] è soggetta a sanzioni amministrative fino a euro dieci milioni, o per le imprese, fino al 4% del fatturato totale annuo dell’esercizio precedente se superiore […]».
Legge 171/2018 e GDPR: principi e istituti comuni.
Già dalla prima lettura della Legge 171 risulta evidente (con qualchi lievi differenze) l’aderenza della stessa alla struttura ed ai principi cardine del GDPR.
L’art. 1 della Legge 171/2018 stabilisce il principio che il trattamento dei dati personali si svolga nel rispetto dei diritti e delle libertà fondamentali, la dignità dell’interessato con particolare riferimento alla riservatezza, all’identità personale e al diritto alla protezione dei dati personali che lo riguardano.
Sostanzialmente identiche alle definizioni dell’art. 4 GDPR sono quelle dell’art. 2 della L. 171/2018 e dunque: dato personale, trattamento, limitazione di trattamento, profilazione, pseudonimizzazione, archivio, responsabile del trattamento, terzo, consenso dell’interessato, violazione dei dati personali, dati genetici, dati biometrici, dati relativi alla salute, servizio della società dell’informazione (definizione analoga a quella dell’art. 1, paragrafo 1, lett. b) della Direttiva UE 2015/1535 richiamata dall’art.4 n.25 GDPR).
Vengono inoltre affermati anche nell’ordinamento sammarinese i principi della protezione dei dati fin dalla progettazione e protezione per impostazione predefinita (art. 27 L.171/2018), privacy by design e privacy by default.
Viene inoltre introdotto un sistema di certificazione approvato che potrebbe essere usato come elemento per dimostrare la conformità del titolare del trattamento alla privacy by design e by default (comma 3°, art. 27).
Principi applicabili al trattamento dei dati personali (Art. 4 L.171/2018).
Ai sensi dell’art. 4, comma 1 della L.171/2018 i «dati personali sono trattati: in modo lecito, corretto e trasparente nei confronti dell’interessato […] raccolti per finalità determinate, esplicite e legittime, e successivamente trattati in modo che non sia incompatibile con tali finalità […] adeguati, pertinenti e limitati a quanto necessario rispetto alle finalità per le quali sono trattati […] esatti e se necessario aggiornati […] devono essere adottate tutte le misure ragionevoli per cancellare o rettificare tempestivamente i dati inesatti rispetto alle finalità per le quali sono trattati […] conservati in una forma che consenta l’identificazione degli interessati per un arco di tempo non superiore al conseguimento delle finalità per quali sono trattati (salvo tempi di conservazione più lunghi ammessi solo per archiviazione nel pubblico interesse, ricerca scientifica o storica, a fini statistici e solo previa adozione di misure tecniche e organizzative adeguate), trattati in maniera da garantire un’adeguata sicurezza dei dati personali, compresa la protezione mediante misure tecniche ed organizzative adeguate da trattamenti non autorizzati o illeciti e dalla perdita, dalla distruzione o dal danno accidentali».
Anche la Legge 171/2018 condivide con il GDPR il principio di responsabilizzazione o di accountability in capo al titolare del trattamento il quale dovrà garantire «il rispetto dei principi [di cui sopra ed] essere in grado di comprovarlo» (art. 4, comma 2°).
L’adozione del suddetto principio si riflette anche nell’ingresso nell’ordinamento sammarinese dei c.d. accountability tools quali il registro delle attività di trattamento (art. 31) e la valutazione d’impatto sulla protezione dei dati per i trattamenti che possano presentare un rischio elevato per i diritti e le libertà delle persone fisiche (art. 35).
Condizioni di liceità del trattamento (Art. 5 L.171/2018)
Sono sostanzialmente le stesse dell’art. 6 GDPR: consenso per specifiche finalità, esecuzione di un contratto di cui l’interessato è parte/misure precontrattuali adottate su richiesta dello stesso, obbligo legale al quale è soggetto il titolare del trattamento, necessarietà della salvaguardia degli interessi vitali dell’interessato o di altra persona fisica (con la particolarità che unicamente qualora nessun altra condizione di liceità ex art. 5 L.171/2018 possa trovare applicazione), esecuzione di compiti di interesse pubblico o connesso all’esercizio di pubblici poteri di cui è investito il titolare, legittimo interesse del titolare o di terzi sempre che non prevalgano gli interessi o i diritti dell’interessato che richiedano la protezione dei dati personali in particolare se l’interessato è un minore (quest’ultima non si applica ai trattamenti effettuato da pubbliche autoirtà nell’esecuzione dei loro compiti).
Non essendo San Marino parte dell’UE, l’art.5 della L. 171/2018 è privo della previsione ex art. 6, comma 2 GDPR secondo la quale gli Stati membri possono mantenere o introdurre disposizioni più specifiche per adeguare le norme regolamentari con riguardo ad altre specifiche situazioni di trattamento (ad es. libertà di espressione, accesso di dati nell’ambito dei rapporti di lavoro). Sarà sicuramente il neo costituito Garante sammarinese, nell’esercizio delle sue funzioni attribuitegli ex lege, ad assistere l’organo legislativo ed esecutivo a legiferare sul punto e/o a precisare modalità e aspetti dei trattamenti.
Condizioni per il consenso, anche a quello dei minori in relazione ai servi della società dell’informazione (Artt. 6 e 7 L.171/2018).
Le condizioni per il consenso ex art. 6 L.171/2018 sono identiche a quelle ex art. 7 GDPR con un’ulteriore specificazione, richiamante il considerando 32, che qualora il trattamento abbia più finalità, il consenso deve essere prestato per ognuna di esse.
Analogamente, le condizioni applicabili al consenso dei minori in relazione ai servizi della società dell’informazione (anch’essa con significato analogo a quello del GDPR) previste dall’art. 7 L. 171/2018 sono le stesse dell’art. 8 GDPR. Il 3° ed ultimo comma dell’art.7 della L. 171/2018 prescrive, a cura del titolare, un linguaggio particolarmente chiaro e semplice per l’informativa diretta al minore (Considerando 58 al GDPR).
Tipologie di dati e divieto di trattare dati particolari.
Hanno i medesimi significati ex GDPR le definizioni di dato personale, dati genetici, dati biometrici, dati relativi alla salute così come, analogo al GDPR vi è il divieto generale di trattare categorie particolari di dati personali (idonee a rivelare l’origine razziale o etnica, le opinioni politiche, le convinzioni religiose o filosofiche, l’appartenenza sindacale, dati genetici, biometrici, dati relativi alla salute o alla vita sessuale o all’orientamento sessuale della persona) salvo la sussistenza di condizioni di liceità idonee a giustificare il trattamento quali il consenso, la disciplina del lavoro, un interesse vitale, organizzazioni di tendenza, dati pubblici, esercizio diritto di difesa, motivi di interesse pubblico rilevante e/o nel settore della sanità, finalità di archiviazione, ricerca scientifica o statistici.
In ogni caso per il trattamento dei dati particolari in presenza delle eccezioni al divieto di trattamento, il Garante potrà disporre misure di garanzia ulteriori (avendo riguardo alle specifiche finalità del trattamento nonché individuando ulteriori condizioni di liceità del trattamento) fermo restando quanto disposto dalla “Dichiarazione dei Diritti dei Cittadini e dei Principi Fondamentali dell’Ordinamento Sammarinese” Legge 59/1974 (la carta costituzionale della Repubblica di San Marino) (art.8, comma 3° L.171/2018).
Chiude infine l’art.8, comma 5° «i dati personali [particolari] non possono essere diffusi».
L’art. 9 consente i trattamenti delle categorie particolari di dati personali necessari per motivi di interesse pubblico rilevante quando previsti da disposizione di legge o di regolamento che specifichino il tipo di dati, le operazioni eseguibili e il motivo di rilevante interesse pubblico rilevante.
I principali soggetti previsti dalla normativa sammarinese sulla protezione dei dati. Diritti dell’interessato.
L’art.2, comma 1°, lett. g) della L. 171/2018 definisce in maniera semi analoga al GDPR il titolare del trattamento aggiungendo però che lo stesso, determini, oltre che le finalità ed i mezzi del trattamento, «anche gli strumenti utilizzati, ivi compreso il profilo di sicurezza».
art.2, comma 1°, lett. h).
Nella L.171/2018 vengono inoltre disciplinate nei medesimi termini del GDPR:
- la contitolarità del trattamento (art. 28);
le figure del:
- Responsabile (e relativa responsabilità, salvo l’obbligo di informare il titolare nel caso un’istruzione ricevuta violi la normativa sulla protezione dei dati);
- Sub-responsabile (art. 29);
- Responsabile della protezione dei dati (designazione, posizione e compiti, artt.38, 39 e 40).
la norma sammarinese che prevede il trattamento sotto l’autorità del titolare o del responsabile (art. 30 L.171/2018) riprende per intero la prescrizione dell’art. 29 GDPR (divieto a carico dei preposti a trattare dati se non in tal senso istruiti) alla quale vengono unite le disposizioni dell’art.2-quaterdecies, 1° e 2° comma del D. Lgs. 196/2003 italiano così come modificato dal D. Lgs. 101/2018 (designazione di persone fisiche espressamente designate a svolgere specifici compiti e funzioni del trattamento da parte di titolari e responsabili i quali individuano anche le modalità più opportune di autorizzazione).
Tra gli adempimenti pratici previsti dalla L.171/2018 per garantire la trasparenza agli interessati c’è il dovere di fornire un’informativa con contenuto diverso rispettivamente se i dati siano raccolti presso l’interessato o non siano stati ottenuti presso quest’ultimo. Le informative dovranno contenere il “catalogo dei diritti dell’interessato” quali: diritto di accesso, rettifica, cancellazione, limitazione di trattamento, diritto alla portabilità, all’opposizione in caso di trattamento automatizzato.
Sicurezza dei trattamenti.
Affermato il principio di accountability (si veda sopra), la L.171/2018 prescrive al titolare e al responsabile del trattamento di mettere in atto «misure tecniche e organizzative adeguate per garantire un livello di sicurezza adeguato al rischio che comprendono, tra le altre, se del caso: […] la pseudonimizzazione e la cifratura dei dati personali […] la capacità di assicurare su base permanente la riservatezza, l’integrità, la disponibilità e la resilienza dei sistemi e dei servizi di trattamento […] la capacità di ripristinare tempestivamente la disponibilità e l’accesso dei dati personali in caso di incidente fisico o tecnico, […] una procedura per testare, verificare e valutare regolarmente l’efficacia delle misure tecniche e organizzative al fine di garantire la sicurezza del trattamento»
