Protezione dei dati personali e deontologia: la co-regolazione come modello per la produzione di regole deontologiche

Le nuove Regole deontologiche per trattamenti a fini statistici o di ricerca scientifica effettuati nell'ambito del Sistema Statistico Nazionale andranno a sostituire quelle adottate dall'Autorità e che costituiscono l'attuale allegato A.4 al Codice Privacy (provv. n. 514 del 19 dicembre 2018). Queste ultime, a loro volta, derivano dal previgente Codice di deontologia e di buona condotta da cui sono state espunte quelle prescrizioni non più in linea con il quadro regolatorio unionale sulla protezione dei dati personali (Reg EU 679/2016 – GDPR), basato sui principi di responsabilizzazione e di protezione dei dati sin dalla progettazione e per impostazione predefinita.

Oggi, invece, l'esigenza di un aggiornamento delle Regole deontologiche deriva dalla necessita di adeguare la disciplina normativa all'incessante evoluzione imposta, anche nella ricerca scientifica e nelle scienze statistiche, dalle nuove tecnologie.

In conformità all'approccio collaborativo cui è ispirato il Regolamento europeo sulla protezione dei dati, spetterà all'Istat e al Sistema Statistico Nazionale - rete di soggetti pubblici e privati che insieme all'Istat fornisce al Paese e agli organismi internazionali l'informazione statistica ufficiale - predisporre le regole che l'Autorità dovrà successivamente approvare.

Si tratta di una chiara applicazione del modello collaborativo nell'ambito delle scelte di regolazione, compendiato anche dal Regolamento EU 679/2016 in linea con la strategia europea della Commissione europea volta alla semplificazione del contesto normativo (sebbene non rappresenti una novità visto che anche nella legge n. 675/96 era presente tale approccio). Ebbene, anche il tema della protezione dei dati personali, con il suo portato di tutela dei diritti e libertà fondamentali, non poteva non risentire dell'approccio co-regolatorio (ovvero, del modello di autoregolamentazione assistita dal pubblico potere) che sta informando i regolatori di tutto il mondo, spinti nell'adozioni di modelli agili, interattivi e collaborativi, indispensabili per poter affrontare le sfide poste dall'innovazione tecnologica.

E la deontologia professionale, almeno nella sua dimensione di misura di garanzia volta alla protezione dei dati personali, risente di tali innovazioni metodologiche.

Non va dimenticato che, ai sensi del GDPR, il rispetto delle regole deontologiche costituisce condizione essenziale per la liceità e la correttezza del trattamento dei dati personali, innervando il tessuto normativo volto alla tutela delle libertà fondamentali di prescrizioni fondate sui doveri delle professioni (ricerca e statistica). Da qui lo loro natura, spesso

sottovalutata nella pratica, di nome cogenti.
Tale impostazione deriva dal ruolo che il legislatore unionale ha dovuto riconoscere a determinate operazioni di trattamento, quali appunto quelle rientranti nell'attività di ricerca scientifica e di indagine statistica. In virtù della destinazione di tali attività al benessere dell'intera collettività, dunque finalizzate al raggiungimento di un bene superindividuale, è stato riconosciuto loro un regime speciale relativamente al trattamento dei dati personali. Ne sono una specificazione, per esempio, le eccezioni al principio di «limitazione della finalità» e di «limitazione della conservazione», di cui all'art 5 del GDPR.

Un siffatto regime derogatorio trova fondamento, altresì, nella funzione di garanzia tipica delle figure professionali, in cui la deontologia assolve il compito di tradurre le finalità di interesse generale in doveri cogenti per chiunque si muova in un determinato ambito professionale.

In tali termini si caratterizza il rapporto tra GDPR e Regole deontologiche, così strutturato quale riflesso inevitabile della particolare natura dell'oggetto della disciplina.

Dunque, i notevoli progressi tecnologici richiedono un cambiamento radicale nel contesto normativo, determinando nuovi approcci per i regolatori intenti a trovare un equilibrio tra la promozione dell'innovazione e la protezione delle libertà fondamentali. L'approccio co-regolatorio parte dall'assunto che la partecipazione alla redazione delle regole rappresenti un incentivo al loro rispetto e ciò è vero laddove sia garantita, come appare nel provvedimento del Garante, una larga partecipazione degli attori istituzionali. Tuttavia, trattandosi di regole che promanano da una dimensione deontologica, dunque doveri nella funzione e per la funzione, la co-regolazione richiede non soltanto un metodo comune bensì anche uno spirito comune. Eppure la deontologia, che assegna al gruppo professionale interessato l'individuazione di alcuni segmenti della disciplina sui dati personali, viene mediata da attori istituzionali privi di quella rappresentatività della comunità professionale di riferimento che consentirebbe una qualificazione «propria» in termini di deontologia.

*Avv. Gianluca Fasano, Istituto di Ricerca ISTC-CNR

Se questo articolo è stato di tuo interesse ma non sei ancora abbonato a NT+ Diritto approfittane subito,prova 1 mese da € 4,90!Scopri di più