GDPR 2018 – PROROGA O ADOZIONE?!

Com’è ormai noto, il 25 maggio 2018 è entrato in vigore in tutta Europa il Regolamento generale per la tutela dei dati personali (GDPR). La nostra normativa nazionale, tuttavia, non si è al momento adeguata, poiché il decreto attuativo è ancora in corso di approvazione.
Dal 25 Maggio 2018, in tutti gli Stati membri le leggi nazionali di tutela e protezione dei dati personali – In Italia il D.Lgs. n. 196/2003 – non sono quindi più applicabili, per lo meno nelle parti  in contrasto e disciplinate direttamente dal Regolamento Ue in esame. In Italia
Per questo motivo, in Italia, sarebbe stato auspicabile che il Governo fosse riuscito ad esercitare la delega ad esso assegnata con Legge n. 163/2017 art. 13. Tale ultima disposizione, in particolare, prevedeva che il Governo, entro sei mesi dalla pubblicazione della stessa Legge di delega, provvedesse ad adottare un decreto legislativo di adeguamento della normativa italiana al GDPR, con riguardo unicamente alle materie in cui lo stesso GDPR contempla la competenza delle normative nazionali. Purtroppo, come risaputo, la suddetta delega non è stata esercitata nei termini previsti.

Al Governo è concessa una proroga di tre mesi, in base alla previsione di cui al citato art. 13 Legge m. 163/2017,  che a sua volta rimanda alla Legge n. 234/2012. Tal’ ultima disposizione specifica che, quando gli schemi dei decreti delegati vengono inviati alle Commissioni parlamentari per il previsto parere e manchino meno di 30 giorni alla scadenza della delega, tale scadenza è automaticamente prorogata per la durata di tre mesi. Ciò significa che la delega scadrà il 22 agosto 2018. Che ne sarà, nel frattempo, del nostro Codice privacy? La soluzione presumibilmente più coerente con il sistema, è che il nostro Codice privacy (D.Lgs. n. 196/2003.) perlomeno nella parti in contrasto con il GDPR, non possa più essere applicato dopo il 25 maggio; ciò anche se non è stato ancora adottato, per i ritardi sopra spiegati, il decreto delegato di adeguamento. Questa soluzione si spiega proprio in relazione al rapporto che sussiste, nel sistema delle fonti, tra il Regolamento Ue (fonte di rango comunitario direttamente applicabile agli Stati membri) e la legge italiana. E’ comunque certo che, dal 25 maggio 2018, anche in Italia come in ogni altro Paese Ue, deve trovare piena ed integrale attuazione il GDPR, con disapplicazione delle parti in contrasto del Codice privacy. Quando, poi, il Governo avrà adottato il proprio Decreto delegato di cui alla Legge n. 163/2017 (si è detto, entro e non oltre il 21 agosto 2018) il GDPR sarà pienamente integrato alla nostra normativa nazionale. Si rammenta, tuttavia, che mentre lo schema di decreto è all’esame delle Commissioni di Senato e Camera, il Garante privacy italiano, il 22 maggio 2018, ha invece già espresso, a maggioranza e con alcune osservazioni, il proprio parere favorevole sul medesimo decreto.

Il 10 maggio 2018 il Governo ha inviato al Parlamento, affinché quest’ultimo esprima un parere sul testo, uno schema di Decreto Legislativo finalizzato ad adeguare il quadro normativo nazionale alle disposizioni del Regolamento UE 2016/679. Lo schema di Decreto legislativo attuativo del GDPR nel nostro ordinamento, nella prima versione che era stata licenziata dal Consiglio dei Ministri prevedeva l’abolizione integrale del Codice privacy. La seconda versione di detto schema, licenziata appunto lo scorso 10 maggio dal Consiglio dei Ministri al Parlamento e che attende di essere approvata dalle commissioni parlamentari, non prevede più l’abolizione integrale del Codice privacy, ma l’abolizione dei singoli articoli specificatamente individuati nonché la modifica di altri articoli secondo i termini ed i contenuti previsti dalle norme del suddetto schema. 
L’Esecutivo, esercitando il potere di delega che gli era stato conferito dal Parlamento per armonizzare le norme interne con le norme europee, ha quindi individuato una serie di disposizioni del codice privacy italiano da abrogare nonché ha previsto l’introduzione all’interno di detto codice di nuove disposizioni (ad oggi non presenti) e la modifica di altre disposizioni. Infatti, dopo l’analisi eseguita dal legislatore delegato sulle norme contenute all’interno del codice privacy, questi ha considerato che una buona parte di esse risultano incompatibili con le norme contenute nel Regolamento europeo (che, in gran parte, dal 25 maggio saranno direttamente applicabili nel nostro ordinamento e pertanto diventeranno la fonte primaria di riferimento per la disciplina della privacy). In secondo luogo, il legislatore delegato ha ritenuto che una limitata parte delle norme contenute nel codice privacy sia da modificare ed integrare per rendere detto codice conforme al Regolamento stesso e per permettere l’applicazione di quelle norme europee che non sono direttamente applicabili in quanto prevedono l’intervento del legislatore nazionale. In base a queste considerazioni, quindi, lo schema di decreto legislativo – ribaltando l’idea di fondo che, invece, sosteneva il primo schema di decreto legislativo inviato al Parlamento – ha ritenuto di non abrogare integralmente il codice privacy, ma di operare all’interno di questo, mantenendolo in vigore, attraverso l’abrogazione o la modifica, caso per caso, di singole disposizioni ivi contenute. 
Nonostante tale marcia indietro del Legislatore delegato, è comunque indubbio che, a partire dal 25 maggio 2018, il testo principale a cui fare riferimento in materia di protezione dei dati personali delle persone fisiche sarà sempre e comunque il regolamento UE 2016/679, mentre il codice privacy – seppur continuerà ad essere vigente così come modificato dall’approvando decreto legislativo – perderà la sua posizione centrale ed il suo ruolo di testo guida in tale materia. In particolare, lo schema di decreto legislativo in esame prevede l’abrogazione di tutte quelle norme contenute nel codice privacy relative a materie che sono disciplinate da disposizioni del regolamento europeo nonché di quelle che, seppure simili alle norme europee, sono però inserite in contesti completamente diversi rispetto alle disposizioni del regolamento.
Interventi più rilevanti:
Per quanto riguarda gli interventi più rilevanti previsti dallo schema di decreto legislativo, si possono rilevare i seguenti:

• IL RICONOSCIMENTO DI UN PERIODO TRANSITORIO DI EFFICACIA DEI PROVVEDIMENTI E DELLE AUTORIZZAZIONI EMANATE FINO AD OGGI DAL GARANTE PRIVACY, ANTICIPANDO AD UN MOMENTO SUCCESSIVO IL LORO ESAME PER VERIFICARNE IL RISPETTO DELLA NUOVA DISCIPLINA;
• IL RICONOSCIMENTO DI UN PERIODO TRANSITORIO DI EFFICACIA ANCHE PER I CODICI DEONTOLOGICI VIGENTI;
• IL RAFFORZAMENTO, IN NUMEROSI CASI, DEL SISTEMA DI CONSULTAZIONE PUBBLICA ED IL COINVOLGIMENTO DELLE CATEGORIE INTERESSATE;
• L’ELIMINAZIONE, IN MATERIA PENALE, DEL REATO CONNESSO ALLA MANCATA ADOZIONE DELLE MISURE MINIME DI SICUREZZA;
• IL MANTENIMENTO DEL REATO DI FALSITÀ NELLE DICHIARAZIONI E NOTIFICAZIONE AL GARANTE NONCHÉ DI QUELLO PREVISTO PER LE ALTRE FATTISPECIE;
• L’ELIMINAZIONE, SEMPRE IN MATERIA PENALE, DI ALTRE SANZIONI, CHE SI SAREBBERO SOVRAPPOSTE CON LE ELEVATE SANZIONI AMMINISTRATIVE PREVISTE DAL REGOLAMENTO EUROPEO;
• L’ATTRIBUZIONE AL GARANTE PRIVACY E PROMUOVERE MODALITÀ SEMPLIFICATE PER ADEMPIERE AGLI OBBLIGHI IN MATERIA DI PRIVACY GRAVANTI IN CAPO AL TITOLARE DEL TRATTAMENTO PER LE MICRO, PICCOLE E MEDIE IMPRESE;
• IL MANCATO RICHIAMO DI MOLTE DISPOSIZIONI DEL CODICE PRIVACY IN QUANTO ASSORBITE DALLE NORME DEL REGOLAMENTO EUROPEO.

Considerazioni conclusive del legislatore delegato
Il legislatore delegato ha ritenuto che la scelta compiuta attraverso lo schema di decreto legislativo in esame sia in grado di fornire un migliore, maggiore ed uniforme livello di protezione dei dati personali, comportando in tal modo un vantaggio non solo per le persone fisiche dei cui dati si tratta, ma anche dei titolari dei trattamenti rispetto ai quali gli oneri amministrativi e informativi vengono semplificati. In secondo luogo, l’esecutivo ritiene che le norme dello schema di decreto legislativo in esame possono produrre anche degli effetti positivi sulla concorrenza nel mercato economico e sulla stessa competitività dell’intero paese, in quanto fornisce ai consumatori delle garanzie circa il corretto trattamento dei loro dati e conseguentemente favorisce la loro fiducia nelle imprese che operano in Italia.

PER MAGGIORI INFORMAZIONI CONSULTARE I SEGUENTI SITI
www.diritto.it
www.garanteprivacy.it