Il regolamento europeo vincola anche i Paesi terzi al rispetto delle sue disposizioni. La Legge 181/2018 ha conformato San
Marino alla normativa comunitaria, aiutando professionisti e aziende.
Come sappiamo, il trattamento dei dati personali in Europa è disciplinato dal GDPR. Questo, dal momento della sua adozione, ha apportato novità importanti prevedendo nuove tutele per la persona nei suoi diritti fondamentali e favorendo lo sviluppo del mercato digitale europeo, il cui bene di scambio è costituito dai dati personali.
Detto ciò, adeguarsi al regolamento europeo rappresenta un vantaggio anche per coloro che non risiedono in un Paese dell’Unione, ma che si relazionano, nell’ambito delle proprie attività lavorative, con soggetti comunitari.
La Repubblica di San Marino lo ha capito, e con la Legge 181/2018 diventa a tutti gli effetti uno stato “GDPR compliant”, conforme alla legge e agli standard del regolamento Europeo.
Il rapporto con il GDPR prima della Legge 181/2018: i rapporti di lavoro fra cittadini italiani e aziende sanmarinese e viceversa
Prima che fosse emanata la Legge 181/2018, il GDPR valicava i confini della Repubblica di San Marino attraverso l’art. 3. Questo prevede l’applicabilità del regolamento “indipendentemente dal fatto che il trattamento sia effettuato o meno nell’Unione” se nell’ambito di attività stabili effettuate da un titolare che abbia sede nei territori comunitari; e l’applicabilità al “trattamento dei dati personali di personali di interessati che si trovano dell’Unione, effettuato da un titolare o da un responsabile non stabilito nell’Unione” quando l’attività riguarda l’offerta di beni o la prestazione di servizi. In altre parole, anche prima dell’entrata in vigore della Legge 181/2018, il
GDPR si applicava ai rapporti fra cittadino di San Marino e azienda italiana, con l’onere in capo a quest’ultima di trattare i dati in conformità delle regole europee. Viceversa, il professionista o l’azienda sanmarinese dovevano adeguarsi alle disposizioni europee se trattavano i dati di cittadini Italiani (o, comunque, comunitari). Fattispecie piuttosto frequente, visto il numero di lavoratori frontalieri che quotidianamente si recano nelle aziende della piccola Repubblica indipendente.
Il trasferimento dei dati all’estero: come la L.181/2018 ha semplificato i rapporti con il GDPR
Gli articoli 44, 45, 46 e 49 del regolamento UE prevedono le regole per il trasferimento dei dati personali all’estero, intendendo così il trasferimento verso un paese terzo o un’organizzazione internazionale (per completezza, con “Paesi terzi” si fa riferimento a quelli al di fuori dei confini dell’Unione Europea). I citati articoli proteggono i dati personali dei cittadini comunitari fuori dall’UE. È previsto, infatti, che il Paese terzo che tratti questi dati debba garantire standard idonei di sicurezza. Più uno Stato si conforma alle disposizioni del GDPR, più è probabile che il trasferimento sia libero. L’adozione della L. 181/2018 consente ad aziende e professionisti sanmarinesi che trattano informazioni di cittadini comunitari di snellire la procedura di adeguamento al GDPR. Infatti la Legge, denominata “Protezione delle persone fisiche con riguardo al trattamento dei dati personali”, ricalca molti aspetti del regolamento europeo, garantendo gli standard d sicurezza richiesti dall’UE. Vediamone alcuni.
L.181/2018 e GDPR a confronto: Princìpi e Condizioni di liceità
La legge, come il regolamento, è ispirata al rispetto di alcuni princìpi che garantiscono una circolazione sicura dei dati personali dell’interessato. Il principio cardine che guida tutto il trattamento è sicuramento quello di Accountability, che troviamo all’art. 4 comma 2 della Legge: “Il titolare del trattamento garantisce il rispetto dei principi di cui al comma 1 e deve essere in grado di comprovarlo.” Il comma 1 fa riferimento a princìpi condivisi anche dal GDPR, quali quello di Liceità, Correttezza, Trasparenza, Finalità e Minimizzazione dei dati (di questi abbiamo già parlato nell’articolo riguardante il Titolare del trattamento). La L.181/2018, inoltre, all’art. 5 ricalca perfettamente la disciplina sulle Condizioni di Liceità sancita all’art. 6 del regolamento. Per cui, anche a San Marino, il trattamento è lecito solo se vi è il rispetto di almeno uno dei seguenti requisiti:
- consenso espresso dell’interessato
- esecuzione di un contratto di cui l’interessato è parte (ad esempio l’avvocato che difende il
proprio assistito non necessita del consenso, perché il trattamento dei dati è necessario per porre
in essere l’attività di difesa) - obbligo legale al quale è soggetto il titolare del trattamento
- salvaguardia degli interessi vitali dell’interessato (ad esempio nel caso di incidente o altra
situazione per cui è necessario chiamare un’ambulanza per tutelare la vita dell’interessato) - compiti di pubblico interesse
- legittimo interesse del titolare o di terzi sempre che non prevalgano i diritti dell’interessato.
L. 181/2018 e GDPR a confronto: L’autorità Garante per la protezione dei Dati Personali
La Legge, in raccordo con il GDPR, introduce L’autorità Garante per la protezione dei Dati Personali, regolamentata agli articoli 52 e seguenti. Questi articoli ripercorrono l’organizzazione e le funzioni che sono date al Garante dal regolamento europeo. In particolare, con queste disposizioni San Marino si dota di quell’autorità di controllo che collabora con i colleghi degli altri Stati. Il Garante, poi, è dotato di poteri consultivi, decisionali, ispettivi e anche sanzionatori. A tal proposito è curiosa la previsione della Legge 181/2018 che dimezza il minimo edittale previsto dalle sanzioni del GDPR. Se il titolare o il responsabile violasse gli obblighi di trattamento, la Legge
impone il pagamento di una sanzione amministrativa fino a 5 milioni (e non 10 come previsto dal GDPR); mentre la violazione dei princìpi di trattamento comporta una sanzione fino a 10 milioni (e non 20, come avviene nel GDPR).
L.181/2018 e GDPR a confronto: I soggetti nel trattamento dati
Innanzitutto, all’art. 2, la Legge prevede il Titolare del trattamento. Come previsto anche dal GDPR, questo è il “soggetto che determina le finalità e i mezzi del trattamento dei dati personali”, a questi compiti, la Legge aggiunge l’obbligo di indicare anche gli “strumenti utilizzati [per il trattamento], ivi compreso il profilo di sicurezza”. Per quanto riguarda gli altri soggetti, la Legge ricalca le definizioni del regolamento, prevedendo le figure del Responsabile del trattamento, del Terzo e del Destinatario.
L.181/2018 e GDPR a confronto: gli altri aspetti comuni
San marino segue i Paesi comunitari riconoscendo all’interessato gli stessi diritti previsti dal regolamento. Si può far riferimento ai diritti di Accesso, Rettifica, Cancellazione e Opposizione che consentono all’interessato di svolgere un ruolo attivo sui propri dati, controllandoli. E la Legge tutela anche le modalità di conservazione dei dati, prevedendo l’obbligo per il titolare di adottare misure di sicurezza idonee. È chiaro qui il riferimento ai principi di privacy by default e by design a cui si ispira anche il GDPR.
Conclusione: perché la L.181/2018 aiuta aziende e professionisti sanmarinesi
Come abbiamo visto, la Legge ricalca il regolamento europeo nella maggior parte degli istituti che tutelano la protezione dei dati personali. Conformandosi agli elevati standard di sicurezza previsti dall’Unione, San Marino gode di una normativa più puntuale che permette a professionisti e aziende di relazionarsi con clienti italiani (o, in generale, comunitari) in modo agevolato rispetto a
prima. Infatti, la Legge 181/2018 ha il duplice vantaggio di evitare problemi legali che potevano sorgere dall’eventuale contrasto fra GDPR e legge interna e di elevare San Marino a “Stato che garantisce un livello di protezione adeguato”. Tutto questo permette di velocizzare il trasferimento dei dati tra la piccola Repubblica e i Paesi comunitari, riducendo ogni svantaggio burocratico che prima esisteva.
Daniele Dhoor Singh