11. Lo Schema di Decreto Legislativo sulla privacy

17/04/2018

11.  Lo Schema di Decreto Legislativo sulla privacy

Manca poco più di un mese alla piena applicabilità del Regolamento UE 2016/679 (General Data Protection Regulation, il cd. “GDPR”), relativo alla protezione delle persone fisiche con riguardo al trattamento e alla libera circolazione dei dati personali. Dal 25 maggio 2018, infatti, saranno pienamente efficaci le norme del GDPR e gli Stati europei avranno una normativa identica, o quasi – come vedremo –, in materia di trattamento di dati personali.

A differenza della direttiva, il regolamento europeo è obbligatorio in tutti i suoi elementi ed è direttamente applicabile in ciascuno dei 28 paesi dell’UE, anche se può lasciare taluni margini di manovra agli stati membri in alcuni ambiti (ad es. nel settore pubblico, nei rapporti di lavoro e sicurezza sociale, nell’ambito della sanità pubblica, per i trattamenti con fini di archiviazione nel pubblico interesse, di ricerca scientifica o storica o fini statistici…).

Il GDPR non necessita dunque di un atto legislativo interno di recepimento. Cosa succederà dunque a tutte le leggi interne contrarie alla disciplina del GDPR? Dovranno essere disapplicate e non avranno dunque alcuna efficacia. Tutti gli Stati UE, compresa l’Italia, avevano già in passato emanato delle leggi in materia di protezione di dati personali (in Italia, il D. Lgs. 196/2003, cd. “Codice della Privacy”).

Cosa dovrebbero dunque fare gli Stati? La scelta preferibile, anche al fine di ridurre al minimo i dubbi degli operatori in materia di trattamento di dati personali, sarebbe quella di modificare le leggi interne per far sì che le stesse non solo non si rivelino contrarie al GDPR, ma costituiscono anche un’integrazione del GDPR, laddove lo stesso lasci poteri in capo agli Stati.

Il GDPR, entrato in vigore il 24 maggio 2016, lasciava del tempo agli Stati per fare tutto ciò. Cosa ha fatto l’Italia in questi due anni?

La legge 25 ottobre 2017, n. 163 (cd. Legge di delegazione europea) ha delegato il Governo all’emanazione di uno o più decreti legislativi al fine di adeguare la normativa nazionale al GDPR seguendo i seguenti principi: (i)abrogazione delle disposizioni del Codice incompatibili con il regolamento; (ii) modifica delle disposizioni del Codice della Privacy per dare attuazione alle disposizioni del GDPR non direttamente applicabili (che necessitano o prevedono un possibile intervento statale, come ad esempio quelle del consenso dei minori); (iii) coordinamento delle disposizioni vigenti con quelle del GDPR; (iv) previsione, ove opportuno, del ricorso a specifici provvedimenti attuativi e integrativi del Garante per la protezione dei dati personali (di seguito, “Garante”); (v) adeguamento del sistema sanzionatorio penale e amministrativo del Codice alle previsioni del GDPR.

È del 21 marzo 2018 il Comunicato Stampa del Governo che annuncia l’approvazione dello Schema di Decreto Legislativo che introduce disposizioni per l’adeguamento della normativa nazionale al GDPR in attuazione dell’art. 13 della suddetta L. 163/2017. Non appena approvato definitivamente, il decreto acquisirà efficacia dal 25 maggio 2018, in contemporanea con il GDPR.

Tra le novità dello Schema di Decreto, vi è l’abrogazione espressa del Codice e il coordinamento delle norme dell’ordinamento interno con le norme del GDPR che lasciavano spazio agli Stati membri per una disciplina statale. Sono da considerare in tal senso, ad esempio le norme specifiche in materia di trattamento di dati genetici, biometrici e relativi alla salute. Si pensi anche al consenso dei minori. Il limite d’età dei 16 anni, come previsto dall’art. 8 del GDPR, poteva essere abbassato e il legislatore italiano sembrerebbe volerlo abbassare a 14 anni.

Nulla cambierà invece per il trattamento di dati personali nel contesto della fornitura di servizi di comunicazione elettronica: tali trattamenti sono attualmente disciplinati dal Titolo X del Codice, in attuazione della Direttiva 2002/58/CE, come modificata nel 2009. Dato che il GDPR non introduce obblighi supplementari nelle materie disciplinate dalla Direttiva del 2002 (come stabilito dall’art. 95 del GDPR) la bozza di decreto fa salve le norme in materia (in particolare tutta la normativa vigente in materia di cookie ed identificatori), che non subiranno quindi cambiamenti rilevanti.

Il quadro che emerge dalla bozza di decreto vedrà in futuro la convivenza di GDPR e decreto: nel primo si troveranno le norme “generali” concernenti i principi di base del trattamento, gli adempimenti per i titolari e i responsabili (nomina di DPO, valutazione d’impatto sulla protezione dei dati, notificazioni di data breach ecc.), le norme sui trasferimenti dei dati extra UE, sulle autorità di controllo competenti. Nel decreto, invece, si troveranno le norme di “integrazione” del GDPR da parte della disciplina nazionale.

La bozza di decreto stabilisce anche cosa accadrà a tutti i provvedimenti emanati dal Garante nel corso del tempo di applicazione del Codice, nonché ai Codici deontologici vigenti, con un ruolo chiave affidato all’Autorità.

Non resta dunque che aspettare l’emanazione definitiva del decreto per valutare il lavoro fatto dal legislatore italiano e per definire il lavoro di adeguamento delle strutture privacy aziendali di tutti gli operatori, del settore della pubblicità e non, tenendo a mente comunque che il GDPR, almeno in Italia, non ha stravolto i concetti e i principi fondamentali in materia di protezione dei dati pe

Questo sito utilizza cookie, anche di terze parti, per inviarti pubblicità e servizi in linea con le tue preferenze. Se vuoi saperne di più o negare il consenso a tutti o ad alcuni cookie clicca qui. Chiudendo questo banner, scorrendo questa pagina o cliccando qualunque suo elemento acconsenti all’uso dei cookie.