Fonte: Studio Legale Stefanelli e Stefanelli – Alessandra Delli Ponti
Non c’è più molto tempo per adeguarsi al Regolamento UE (UE) 2016/679 sulla protezione dei dati.
Ma “cosa resta” e “cosa è abrogato” del Codice Privacy e dei provvedimenti del Garante?
Noi addetti ai lavori, e soprattutto Aziende pubbliche e private siamo in attesa di un’interpretazione nazionale ufficiale e incontrovertibile.
È indubbio, infatti, che il GDPR sia direttamente applicabile, ma lo stesso regolamento stabilisce che sono destinate a rimanere in vigore tutte le norme non espressamente in contraddizione con il GDPR, quindi senza una pronuncia chiara del Legislatore e del Garante si rischia una grande confusione.
Non a caso molti altri Paesi UE, come la Germania, hanno emanato una nuova legge privacy in attuazione del GDPR o, comunque hanno creato un raccordo tra la vecchia e la nuova normativa. In Italia, lo scorso 17 ottobre, la Camera dei Deputatati ha approvato, in via definitiva, la Legge di delegazione europea 2016-2017, che rappresenta uno degli strumenti legislativi volti ad assicurare il periodico adeguamento dell’ordinamento nazionale a quello dell’Unione Europea: in particolare lo scopo della legge è garantire il recepimento delle Direttive europee e all’attuazione di altri Atti dell’Unione, delegando il Governo ad adottare i necessari Decreti Legislativi entro sei mesi dalla sua entrata in vigore.
Tra le deleghe assegnate al Governo, è prevista all’articolo 13 l’adozione di uno o più Decreti Legislativi al fine di adeguare il quadro normativo nazionale alle disposizioni del Regolamento UE 2016/679, sulla protezione delle persone fisiche con riguardo al trattamento dei dati personali, che, a partire dal 25 maggio 2018 diventerà esecutivo in tutti i Paesi dell’Unione Europea, rinnovando in maniera significativa il sistema della disciplina in materia di privacy.
Un punto critico del passaggio tra le due normative è il sistema sanzionatorio.
Il Governo dovrà, quindi, “adeguare il sistema sanzionatorio penale e amministrativo vigente alle disposizioni del regolamento, con previsione di sanzioni penali e amministrative efficaci, dissuasive e proporzionate alla gravità della violazione delle disposizioni stesse“. Sono stati confermati, inoltre, i princìpi e criteri direttivi specifici che il Governo dovrà seguire nell’esercizio della delega parlamentare. In particolare, spetta ora al Governo:
a) abrogare espressamente le disposizioni del codice in materia di trattamento dei dati personali, di cui al decreto legislativo 30 giugno 2003, n. 196, incompatibili con le disposizioni contenute nel regolamento (UE) 2016/679;
b) modificare il codice di cui al decreto legislativo 30 giugno 2003, n. 196, limitatamente a quanto necessario per dare attuazione alle disposizioni non direttamente applicabili contenute nel regolamento (UE) 2016/679;
c) coordinare le disposizioni vigenti in materia di protezione dei dati personali con le disposizioni recate dal regolamento (UE) 2016/679;
d) prevedere, ove opportuno, il ricorso a specifici provvedimenti attuativi e integrativi adottati dal Garante per la protezione dei dati personali nell’ambito e per le finalità previsti dal Regolamento (UE) 2016/679.
Alcune preoccupazioni sono inevitabili. Innanzitutto, sulla delega al Garante: se lo spirito della legge era ed è quello di arrivare ad una unico corpo di norme aggiornato alle novità del Regolamento, prevedere che quel testo possa essere affiancato da ulteriori “provvedimenti attuativi ed integrativi” affidati al Garante, potrebbe tradursi nell’ennesima moltiplicazione di fonti di riferimento.
Poi sui tempi: il piano di riordino previsto dal Parlamento dovrà essere portato a compimento entro sei mesi dalla data di entrata in vigore della Legge. Non molti, per la verità, considerata la complessità della materia e l’eterogeneità delle fonti da armonizzare. Ma anche troppi, se si considerano gli interessi dei titolari del trattamento (Aziende e Pubblici) di avere quanto prima chiariti i dubbi su vecchia e nuova normativa. Una cosa è certa: il Codice privacy e il GDPR continueranno a coesistere e, dal 25 maggio 2018, saranno entrambi applicabili. È indispensabile valutare attentamente ogni motivo di conflitto tra disposizioni nazionali ed europee e a parere di chi scrive “il tempo stringe”.