La Commissione UE ha proposto una riforma della disciplina europea relativa alla protezione dei dati personali con il Regolamento (UE) 2016/679 del Parlamento europeo e del Consiglio, del 27 aprile 2016(Regolamento o GDPR), applicabile a partire dal 25 maggio 2018.
La legislazione europea in materia di protezione dei dati personali è entrata in vigore nel 1995 (Direttiva 95/46/CE). L’attuazione della Direttiva è stata differente in ciascuno Stato membro, comportando incongruenze, complessità, incertezze giuridiche e costi amministrativi. Ciò ha minato la fiducia delle persone e la competitività dell’economia dell’UE. La riforma fornisce chiarezza e coerenza alle regole da applicare e ripristina la fiducia del consumatore, permettendo così alle imprese di cogliere appieno le opportunità nel Mercato unico digitale. I dati personali rappresentano la moneta dell’odierna economia digitale: raccolti, analizzati e trasmessi in tutto il mondo, hanno acquisito un enorme valore economico.
1.Cosa cambierà con il Regolamento?
Il Regolamento è direttamente applicabile e vincolante in tutti gli Stati membri dell’Unione Europea, anche se è necessaria un armonizzazione con le norme vigenti allo stato attuale negli Stati. Il GDPR aggiorna e modernizza i principi sanciti dalla Direttiva del 1995 per garantire i diritti di privacy e mira a rafforzare i diritti dei singoli e a garantire un’applicazione più rigorosa delle regole.
2.Cosa accade al Codice privacy (D.Lgs 196/03) attualmente in vigore? Viene abrogato dal Regolamento?
Il Regolamento abroga espressamente, all’art. 94, solo la Direttiva del 1995 dal 25 maggio 2018. Inoltre, nel Considerando 10 del GDPR, viene sancito che "per quanto riguarda il trattamento dei dati personali per l'adempimento di un obbligo legale, per l'esecuzione di un compito di interesse pubblico o connesso all'esercizio di pubblici poteri di cui è investito il titolare del trattamento, gli Stati membri dovrebbero rimanere liberi di mantenere o introdurre norme nazionali al fine di specificare ulteriormente l'applicazione delle norme del presente regolamento". E ancora "…il presente regolamento prevede anche un margine di manovra degli Stati membri per precisarne le norme, anche con riguardo al trattamento di categorie particolari di dati personali".
Di conseguenza:
1) il GDPR per diverse tematiche rimette agli Stati membri il potere normativo; abroga la Direttiva del 1995 dal 25 maggio 2018, ma le decisioni della Commissione europea e le autorizzazioni delle autorità di controllo - e quindi del nostro Garante per la protezione dei dati personali - rimarranno in vigore fino a quando non saranno modificate, sostituite o abrogate dal legislatore nazionale;
2) il GDPR non abroga espressamente il D.Lgs. 196/2003 (Codice Privacy) che pertanto dovrebbe restare in vigore anche dopo il 25 maggio 2018, salvo quanto previsto dalla legge di delegazione europea.
3.Cosa sta succedendo in Italia. Cosa è la legge di delegazione europea?
Sulla Gazzetta Ufficiale n. 259 del 6 novembre 2017, è stata pubblicata la Legge n. 163 del 25 ottobre 2017 (Legge di delegazione europea 2016-2017), con la quale il Parlamento ha delegato il Governo al recepimento delle direttive europee e l’attuazione di altri atti dell’Unione europea. In essa, all’art. 13, è stata conferita una delega per “l’adeguamento della normativa nazionale” alle disposizioni del GDPR. L’intento del legislatore europeo, nella scelta dello strumento normativo del regolamento, è stato quello di provocare l’armonizzazione delle differenti legislazioni dei paesi dell’UE in materia di protezione dei dati personali poiché, com’è noto, lo stesso sarebbe direttamente applicabile negli ordinamenti degli Stati membri, senza necessitare di una legge interna di recepimento. La legge di delegazione europea, ai sensi dell'articolo 30 della legge n. 234 del 2012, contiene le disposizioni di deleghe legislative necessarie per il recepimento delle direttive e degli altri atti dell'Unione Europea che devono essere recepiti nell'ordinamento italiano. In attuazione della legge delega europea 2016-17, il Governo è delegato ad adottare, entro sei mesi dalla data di entrata in vigore della presente legge, (quindi, se tutto va per il verso giusto l’adeguamento si verificherà quasi in coincidenza con la data del 25 maggio 2018 in cui il Regolamento sarà esecutivo nel nostro Paese) uno o più decreti legislativi al fine di adeguare il quadro normativo nazionale alle disposizioni del Regolamento.
4.Cosa contiene la delega al Governo
La delega al Governo prevede uno specifico principio al quale il Governo deve attenersi in materia di protezione delle persone fisiche, con riguardo al trattamento dei dati personali da parte delle autorità competenti a fini di prevenzione, di indagine, di accertamento e perseguimento di reati o esecuzione di sanzioni penali, nonché alla libera circolazione di tali dati, inclusa la salvaguardia e la prevenzione di minacce alla sicurezza pubblica. La delega al Governo è finalizzata a garantire un sistema armonizzato in materia di trattamento dei dati personali, secondo il citato Regolamento; la delega individua, pertanto, una serie di principi a cui il legislatore deve attenersi. In tal senso si dovrà procedere a:
- abrogare espressamente le disposizioni del Codice Privacy incompatibili con le disposizioni contenute nel GDPR;
- modificare il Codice Privacy, limitatamente a quanto necessario per dare attuazione alle disposizioni non direttamente applicabili contenute nel GDPR;
- coordinare le disposizioni vigenti in materia di protezione dei dati personali con le disposizioni recate dal GDPR;
- prevedere, ove opportuno, il ricorso a specifici provvedimenti attuativi e integrativi adottati dal Garante per la protezione dei dati personali nell'ambito e per le finalità previsti dal GDPR;
- adeguare, nell'ambito delle modifiche al Codice Privacy il sistema sanzionatorio penale e amministrativo vigente alle disposizioni del GDPR con previsione di sanzioni penali e amministrative efficaci, dissuasive e proporzionate alla gravità della violazione delle disposizioni stesse.
Al di là della enunciazione di principio giuridico-normativo ci si troverà dinanzi a qualche difficoltà “tecnica”.
Il D.lgs. 196/2003 non subisce dunque alcuna abrogazione diretta e tranchante; al contrario, mantiene la sua forza normativa, subendo tuttavia una sorta di "follow up in chiave GDPR". Di conseguenza, laddove non vi sia compatibilità tra quanto disposto dal Codice Privacy e quanto previsto dal Regolamento, il primo lascerebbe il passo alle nuove disposizioni europee; ove vi sia compatibilità tra le due norme, il D.lgs. 196/2003 rimarrebbe applicabile continuando a dettare legge, anche in maniera più specifica rispetto al GDPR.
Sin d’ora, appare chiaro che il percorso non sarà agevole dal punto di vista interpretativo.
Ad esempio, l’art. 30 del nostro Codice Privacy disciplina una figura fondamentale in ogni organizzazione aziendale, tra l’altro normata solo nell’ordinamento italiano, che è alla base e al centro dell’organigramma privacy: l’incaricato del trattamento, la cui nomina è obbligatoria e la cui omissione è sanzionata come omessa adozione di misura di sicurezza.
Il GDPR non fa alcun cenno all’incaricato del trattamento.
I primi commentatori della novella legislativa europea avevano paventato l’eliminazione di tale figura dall’impianto normativo della privacy. In verità, leggendo gli artt. 29, 4 n. 10) e 32 comma 4 del GDPR ci si avvede dell’esistenza di una categoria di soggetti, ossia: “chiunque agisce sotto l’autorità del titolare o del responsabile del trattamento” che non può “trattare tali dati se non è istruito in tal senso dal titolare del trattamento, salvo che lo richieda il diritto dell'Unione o degli Stati membri”.
A ciò si aggiunga la prima “Guida all'applicazione del Regolamento europeo in materia di protezione dei dati personali” emessa dal Garante per la protezione dei dati personali il 28 aprile 2017 che, sul punto, testualmente afferma: “Pur non prevedendo espressamente la figura dell' "incaricato" del trattamento (ex art. 30 Codice), il regolamento non ne esclude la presenza in quanto fa riferimento a "persone autorizzate al trattamento dei dati personali sotto l'autorità diretta del titolare o del responsabile" (si veda, in particolare, art. 4, n. 10) del Regolamento)”.
In questo caso, dunque, saremmo di fronte ad una categoria assente o implicita nel GDPR?Non essendo in contrasto con essa potrebbe l’art. 30 del Codice Privacy rimanere in vigore tal quale?A queste – e a tante altre domande – è chiamato a rispondere il legislatore delegato; il tutto mentre il dibattito sulla privacy, sollecitato non poco dalle pesantissime sanzioni portate dal GDPR, è quanto mai effervescente.
A cura di Avv. Francesca Gravili - Fieldfisher & Avv. Immacolata Maria Ciarletta - Fieldfisher