Art. 90 GDPR — Obblighi di segretezza

Commento

Segreto professionale e protezione dei dati

L'art. 90 GDPR riguarda gli obblighi di segretezza: gli SM possono adottare norme specifiche per definire i poteri dell'Autorità di controllo verso i titolari/responsabili soggetti, in base al diritto UE/SM o a norme stabilite dagli organismi nazionali competenti, a un obbligo di segreto professionale o ad altri obblighi di segretezza equivalenti. La norma riconosce la tutela del segreto professionale come valore protetto e adatta i poteri dell'Autorità.

Discrezione SM (par. 1)

La logica è di bilanciamento: alcune categorie professionali (medici, avvocati, sacerdoti, giornalisti) hanno obblighi di segreto specifici che si combinano con il GDPR. L'Autorità di controllo non può, ad esempio, accedere senza limiti ai dossier di un avvocato o alle confessioni di un sacerdote. Le SM modulano i poteri ispettivi per rispettare il segreto.

Categorie di professionisti coperte

Le categorie di professionisti coperte tipicamente includono: medici (segreto professionale medico), avvocati (segreto professionale forense), sacerdoti (segreto confessionale), giornalisti (segreto giornalistico sulle fonti), revisori contabili. La disciplina italiana del segreto è dispersa (D.Lgs. 196/2003 art. 2-undecies, art. 137 per giornalisti, leggi professionali ad hoc).

Coordinamento con segreto deontologico

Il coordinamento con il segreto deontologico opera attraverso le regole deontologiche delle professioni e gli ordini professionali. Gli ordini possono adottare codici deontologici che integrano la disciplina del segreto. Il Garante coopera con gli ordini per definire confini. Casi tipici: accesso del Garante a archivi sanitari (limitato), accesso a archivi avvocati (limiti specifici).

Garanzie per gli interessati

Le garanzie per gli interessati restano cruciali. Il segreto professionale tutela l'interessato (es. paziente, cliente avvocato), non il professionista in sé. Quindi le limitazioni dei poteri dell'Autorità sono giustificate dalla tutela dell'interessato. La giurisprudenza ha sviluppato bilanciamenti caso per caso.

Notifica all'EDPB (par. 2)

Il par. 2 prevede che gli SM notifichino alla Commissione le norme adottate. La trasparenza europea consente di mantenere coerenza tra discipline nazionali del segreto. L'EDPB ha approfondito il tema in alcune linee guida settoriali (sanità, professioni legali). La proposta GDPR procedural regulation include possibili armonizzazioni.

Regola pratica e checklist operativa

Compliance art. 90: per professionisti: integrazione GDPR + segreto professionale; policy specifiche; formazione; gestione di richieste dell'Autorità con consulenza legale; trasparenza verso interessati sul perimetro del segreto.

Accountability e documentazione

Tutti gli adempimenti relativi a questa disposizione devono essere documentati ai fini del principio di accountability di cui all'art. 5, par. 2 GDPR: integrazione nel registro dei trattamenti (art. 30), valutazione del rischio in DPIA quando applicabile (art. 35), formazione del personale autorizzato al trattamento (art. 29), audit periodici e tracciamento delle decisioni. Le sanzioni amministrative di cui all'art. 83 GDPR e la responsabilità civile dell'art. 82 presuppongono la dimostrazione, da parte del titolare, di aver adottato misure tecniche e organizzative adeguate. La consulenza del DPO, ove designato, è strumento prezioso per la corretta declinazione operativa.

Coordinamento con il Codice Privacy italiano

L'applicazione di questa disposizione in Italia avviene in coordinamento con il D.Lgs. 196/2003 (Codice in materia di protezione dei dati personali) come modificato dal D.Lgs. 101/2018 di adeguamento al GDPR. Il Codice integra il Regolamento europeo nelle materie specifiche lasciate alla discrezionalità degli Stati membri: lavoro (art. 88 D.Lgs. 196/2003), sanità (artt. 75 ss.), ricerca scientifica e statistica (artt. 99-110), giornalismo (art. 137), archivi (artt. 99-103), trattamento di categorie particolari (art. 2-septies), dati di condanne penali (art. 2-octies), limitazioni (art. 2-undecies). I provvedimenti generali e le regole deontologiche approvati dal Garante per la protezione dei dati personali hanno valore precettivo e devono essere considerati. La giurisprudenza della Cassazione e del Tribunale di Roma (competente per ricorsi ex art. 152 D.Lgs. 196/2003) ha consolidato la prassi interpretativa nazionale, coerente con la giurisprudenza CGUE. Per il consulente privacy, l'approccio sistematico richiede integrazione di GDPR, Codice Privacy e provvedimenti del Garante in un framework unitario di compliance.